COMPANY RISK ENGINEERING GUIDELINE (CREG)

COMPANY RISK ENGINEERING GUIDELINE (CREG)
2. CORPORATE RISK PHILOSOPHY
3. CORPORATE RISK ACCEPTANCE CRITERIA
4. HAZARD IDENTIFICATION REQUIREMENT
5. LOPA METHODOLOGY
6. SIL DETERMINATION POLICY
7. BPCS & SIS SEGREGATION POLICY
8. ALARM MANAGEMENT POLICY
9. PROOF TEST & PERFORMANCE MONITORING
10. MANAGEMENT OF CHANGE (MOC)
11. DOCUMENTATION & AUDIT REQUIREMENT
12. INSURANCE & EXTERNAL AUDIT ALIGNMENT
13. GOVERNANCE STRUCTURE
14. PERIODIC REVIEW

1.1 Strategic Intent

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kerangka tata kelola risiko korporat berbasis lifecycle yang mengendalikan bahaya proses berenergi tinggi pada fasilitas petrokimia (SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene) sehingga tidak berkembang menjadi kejadian catastrophic yang mengakibatkan fatality, major asset loss, atau gangguan operasi jangka panjang.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Fasilitas memiliki karakteristik berikut:

SMR: temperatur >800°C, fuel gas combustion, tekanan tinggi reforming gas
Hydrogenation reactor: reaksi eksotermis, tekanan tinggi H₂, potensi runaway
Distillation: inventory hidrokarbon besar, reboiler heat input
Propylene storage: vapor pressure tinggi, potensi VCE

Mekanisme kegagalan dominan:

Flame instability → fuel accumulation → furnace explosion
Runaway reaction → rapid pressure rise → vessel rupture
Overpressure → PSV relief failure → loss of containment
Overfill → liquid spill → flashing → vapor cloud → ignition

Energi tersimpan tinggi + inventory besar → escalation cepat bila proteksi gagal.

✓ 2.2 Initiating Causes

Mechanical failure (valve stuck, tube rupture, pump failure)
Electrical failure (power dip, MCC trip, UPS failure)
Instrument failure (sensor drift, diagnostic failure)
Control failure (logic error, firmware fault)
Human error (setpoint error, bypass mismanagement)
Utility failure (instrument air, cooling water, nitrogen)

✓ 2.3 Escalation Path (Generic Integrated Case)

Initiating Event → Process Deviation (temperature/pressure/level excursion) → Failure of protection layer → Loss of Containment (LoC) → Fire / Explosion / Structural damage → Multi-unit impact (domino potential) → Business interruption & insurer exposure

Tanpa risk governance lifecycle, proteksi dapat terdegradasi meskipun desain awal compliant.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Functional Requirement

CREG shall define a unified corporate risk governance framework applicable to all lifecycle phases (concept, FEED, EPC, commissioning, operation, MOC).
CREG shall integrate process safety, asset protection, and operational reliability within a single decision structure.
All risk-based protection decisions shall be demonstrably aligned with corporate risk matrix.

✓ 3.2 Performance Requirement

Risk evaluation methodology shall be consistent across all units.
SIL assignment shall be traceable to risk matrix severity & likelihood.
No safety integrity level shall be assigned without documented justification.

✓ 3.3 Independence Requirement

Governance of risk decisions shall be independent from vendor influence.
Risk acceptance shall require corporate-level approval per severity threshold.

✓ 3.4 Lifecycle Requirement

Risk assumptions shall be maintained throughout operation via proof test governance and KPI monitoring.
Any change affecting risk profile shall trigger revalidation under MOC.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menekankan bahwa functional safety harus dikelola sepanjang lifecycle.

FM Global dan insurer-driven governance menilai bukan hanya desain awal, tetapi kemampuan organisasi menjaga integritas proteksi.

Tanpa Strategic Intent yang eksplisit:

SIL inflation dapat terjadi untuk “mengamankan desain”
Vendor dapat mendikte arsitektur
Proteksi dapat terdegradasi di operasi
Risk matrix menjadi formalitas tanpa pengaruh nyata pada engineering

Strategic intent mengikat seluruh bab berikutnya agar:

LOPA tidak berdiri sendiri
SIL bukan keputusan lokal proyek
Segregasi bukan hanya desain kabinet
Alarm tidak menjadi IPL tanpa kontrol performa

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Risk matrix formally approved corporate-level
Defined linkage between severity class and LOPA trigger
Governance structure documented

✓ 5.2 Operational Compliance

Proof test governance implemented
KPI dashboard exists for safety systems
MOC includes risk review step

✓ 5.3 Performance KPI

100% SIL decisions traceable to documented LOPA
0 undocumented bypass conditions
0 unapproved deviation from risk matrix

☑ 6. EVIDENCE & RECORDS

Approved corporate risk matrix
Governance approval matrix
Lifecycle responsibility chart
Document control system reference
Audit trail log template

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan pengecualian terhadap Strategic Intent.

Jika ditemukan ketidaksesuaian dalam implementasi:

Mandatory corporate review
Immediate corrective action plan
Insurer notification if high severity

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Corporate Process Safety Authority Approval: Corporate Risk Committee Review Frequency: Minimum 5 years atau post major incident Escalation Trigger: Any catastrophic scenario misalignment or insurer finding

1.2 Risk Boundary Definition

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan batas sistem risiko yang secara eksplisit mendefinisikan fasilitas, mode operasi, kondisi transien, dan interaksi utilitas yang termasuk dalam cakupan CREG sehingga tidak terjadi interpretasi parsial yang dapat melemahkan integritas proteksi dan menyebabkan eskalasi kejadian catastrophic.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Fasilitas dalam scope memiliki karakteristik:

SMR (Steam Methane Reformer): fired heater dengan radiant box temperatur tinggi, fuel gas combustion, tekanan tinggi reforming gas.
Reaktor Hydrogenation: reaksi eksotermis tekanan tinggi, inventory hidrogen signifikan.
Kolom Distilasi: inventory hidrokarbon, heat input reboiler, potensi overpressure dan flooding.
Storage Propylene (flammable): vapor pressure tinggi, potensi VCE dan domino tank-to-tank escalation.

Mode operasi yang relevan:

Startup (ketidakstabilan kontrol)
Shutdown (thermal stress & depressurization)
Upset (loss of cooling, loss of power, feed variation)
Turnaround
Temporary bypass / override

Mekanisme kegagalan yang sering muncul pada boundary transisi:

Power dip → logic solver reboot → loss of protection
Instrument air loss → final element fail position
Manual bypass saat maintenance → removal of IPL
Package unit internal trip tidak terintegrasi ke ESD utama

Tanpa boundary yang jelas, proteksi pada kondisi non-normal sering terlewat dari analisis risiko.

✓ 2.2 Initiating Causes dalam Boundary Transisi

Mechanical degradation (hydrogen embrittlement, thermal fatigue)
Utility instability (cooling water trip, steam fluctuation)
Shared power feeder trip
Control firmware update
Temporary commissioning override
Package skid local protection tidak terintegrasi

✓ 2.3 Escalation Path (Boundary Failure Example)

Utility failure → Control instability → Protection bypassed or unavailable → Process deviation undetected → Loss of Containment → Fire/Explosion → Multi-unit impact

Jika boundary tidak mencakup temporary mode dan package interface, IPL dapat dianggap ada tetapi tidak aktif.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Scope Definition Requirement

CREG shall apply to all process units within the site including SMR, hydrogenation, distillation, and flammable storage.
CREG shall include startup, shutdown, upset, turnaround, and maintenance modes.
CREG shall include brownfield modifications and Management of Change activities.
CREG shall apply to package units and vendor skids connected to the process.

✓ 3.2 Interface Requirement

All package unit protection systems shall be evaluated under the same risk governance framework.
Shared utilities (power, instrument air, cooling water, nitrogen) shall be considered part of the risk boundary.
Temporary systems (temporary power, bypass logic, commissioning override) shall be treated as risk-altering conditions.

✓ 3.3 Degraded Mode Requirement

Any operation under bypass, override, or degraded condition shall be considered within risk evaluation scope.
Risk profile under degraded mode shall be formally reviewed if IPL is impaired.

✓ 3.4 Lifecycle Continuity Requirement

Risk boundary assumptions defined during FEED shall be validated at commissioning and revalidated during operation.
Any modification affecting utilities, interconnections, or operating envelope shall trigger boundary reassessment under MOC.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menekankan bahwa seluruh lifecycle dan seluruh mode operasi harus termasuk dalam risk assessment.

Banyak insiden besar terjadi saat:

Startup
Shutdown
Maintenance
Temporary bypass

FM Global audit umumnya menemukan gap pada:

Shared utilities
Package isolation logic
Brownfield tie-in
Temporary power routing

Tanpa boundary eksplisit:

LOPA hanya valid pada steady-state
SIL allocation menjadi tidak representatif
Proteksi dapat gagal saat kondisi paling rentan

Boundary definition memastikan bahwa:

Risk Matrix → HAZOP → LOPA → SIL → Segregation → Proof Test → MOC semuanya berlaku dalam kondisi normal dan abnormal.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Documented list of in-scope units
Utility interconnection diagram included in risk evaluation
Package unit safeguarding philosophy reviewed
Boundary statement included in HAZOP charter

✓ 5.2 Operational Compliance

Bypass log integrated with risk management system
Temporary modification reviewed under MOC
Degraded mode documented and time-limited

✓ 5.3 Performance KPI

0 unidentified package protection interfaces
100% MOC with boundary impact review
0 untracked temporary bypass exceeding approved duration

☑ 6. EVIDENCE & RECORDS

Site boundary definition document
Utility single line diagram
Process block diagram with package interface
MOC review template including boundary check
Bypass register
Turnaround risk review record

Traceability:

Unit Scope List → HAZOP Charter → LOPA Scenario → SIF List → MOC Log → KPI Review

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperbolehkan unit proses atau package dioperasikan di luar boundary governance CREG.

Jika temporary condition mengubah boundary:

Formal risk review mandatory
Compensating safeguard documented
Duration limit defined
Approval by Process Safety Authority required

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Site Process Safety Authority Approval Authority: Corporate Risk Committee (untuk perubahan boundary signifikan) Revalidation Trigger:

Unit tie-in baru
Utility architecture change
Major process capacity change
Insurer recommendation

Escalation Trigger:

Incident during startup/shutdown
Repeated degraded mode operation
Unreviewed package modification

1.3 Applicable Standard Hierarchy

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan hierarki standar teknis dan referensi industri yang menjadi dasar wajib dalam seluruh keputusan risk engineering, sehingga tidak terjadi konflik interpretasi antar standar dan seluruh keputusan proteksi (HAZOP, LOPA, SIL, segregasi, alarm, proof test) memiliki dasar normatif yang konsisten dan defensible terhadap audit insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Kegagalan dalam menetapkan hierarki standar dapat menyebabkan:

Penggunaan referensi berbeda antar proyek
Vendor specification overriding corporate criteria
Konflik antara API vs IEC vs FM requirement
Interpretasi selektif untuk menurunkan SIL
Over-reliance pada datasheet vendor tanpa konteks sistem

Pada fasilitas seperti:

SMR (fired heater + BMS)
Hydrogenation (high pressure hydrogen service)
Distillation (overpressure + relief design)
Propylene storage (overfill + fire exposure)

Standar yang digunakan mempengaruhi langsung:

Definisi IPL
Validitas alarm sebagai IPL
PSV credit
SIL target
Segregation requirement
Proof test interval

Tanpa hierarki jelas, keputusan engineering menjadi tidak konsisten dan sulit dipertahankan saat audit.

✓ 2.2 Initiating Causes of Governance Conflict

EPC menggunakan interpretasi IEC tanpa mempertimbangkan FM Data Sheet
Vendor FMEDA dijadikan satu-satunya dasar failure rate
API 521 sizing tidak diintegrasikan ke LOPA consequence assumption
Alarm dianggap IPL tanpa mengacu IEC 62682 KPI
SIL allocation tidak dikaitkan ke risk matrix

✓ 2.3 Escalation Path

Standard ambiguity → Inconsistent design criteria → Protection layer over-credited or under-designed → Residual risk miscalculated → Incident occurs → Insurer dispute / claim challenge

Insurer-driven governance menuntut konsistensi dan prioritas standar yang jelas.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Primary Functional Safety Standard

IEC 61511 shall be the primary normative reference for all Safety Instrumented Functions (SIF) within process units.
IEC 61508 shall be referenced for hardware integrity and systematic capability where applicable.

✓ 3.2 Risk Management Framework

ISO 31000 shall define overarching risk management principles.
Corporate risk matrix shall be aligned with ISO 31000 risk evaluation concepts.

✓ 3.3 LOPA Methodology

CCPS LOPA Guideline shall be the primary reference for IPL qualification and RRF assignment.
No alternative simplified method shall replace formal LOPA where required.

✓ 3.4 Alarm Management

IEC 62682 shall govern alarm design, rationalization, performance monitoring, and IPL eligibility.

✓ 3.5 Pressure Relief & Fired Equipment

API 521 shall govern overpressure and fire case relief scenarios.
API 556 shall govern instrumentation philosophy for fired heaters including SMR.
API 2350 shall govern storage tank overfill protection.

✓ 3.6 Property Loss Prevention

FM Global Data Sheets shall be considered mandatory alignment references for property protection and insurer compliance.
Where conflict exists between engineering standards and insurer requirements, the more conservative requirement shall apply unless formally risk-justified.

✓ 3.7 Conflict Resolution Rule

Any conflict between standards shall be resolved through documented engineering review.
The most conservative risk-reducing interpretation shall prevail unless justified otherwise with quantitative analysis.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mengatur lifecycle SIF tetapi tidak secara detail membahas:

Fired heater instrumentation (API 556)
Fire case relief sizing (API 521)
Tank overfill (API 2350)
Property loss perspective (FM Global)

FM Global audit sering memeriksa:

Independence claim
Fire exposure assumptions
Storage overfill safeguards
Electrical segregation

Tanpa hierarki standar:

SIL dapat ditentukan tanpa mempertimbangkan relief adequacy
Alarm dapat dikreditkan tanpa IEC 62682 compliance
PSV dapat dikreditkan tanpa validasi API 521 fire case

Hierarki ini memastikan bahwa:

Risk Matrix → HAZOP → LOPA → SIL → Design → Proof Test → Audit berdiri di atas referensi normatif yang konsisten.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

All SIF reference IEC 61511 in SRS
All LOPA worksheets reference CCPS methodology
Relief scenarios reference API 521
Tank overfill protection references API 2350
Alarm philosophy references IEC 62682
Insurer alignment review documented

✓ 5.2 Operational Compliance

Proof test and lifecycle documentation reference applicable standard clauses
Any deviation from standard documented with risk justification

✓ 5.3 Performance KPI

0 undocumented deviation from primary standard
100% SIL justification referencing IEC 61511
100% alarm credited as IPL referencing IEC 62682 compliance

☑ 6. EVIDENCE & RECORDS

Corporate standard reference list
Standard applicability matrix (unit vs standard)
SRS referencing clauses
LOPA template referencing CCPS
API 521 relief calculation record
API 2350 compliance checklist
FM Global alignment report

Traceability:

Standard Clause → Engineering Requirement → Design Document → Verification → Operation → Audit

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika proyek mengusulkan penggunaan standar alternatif:

Formal technical justification required
Comparative risk analysis required
Approval by Process Safety Authority mandatory
Insurer consultation required for high-risk deviation

Tidak diperkenankan memilih standar yang kurang konservatif tanpa pembuktian kuantitatif.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Corporate Engineering Authority Approval Authority: Process Safety Authority Conflict Resolution: Corporate Risk Committee Revalidation Trigger:

Standard revision
Insurer recommendation update
Major incident investigation finding

1.4 Governance Objective

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan tujuan tata kelola risiko yang memastikan seluruh keputusan proteksi proses pada fasilitas SMR, hydrogenation, distillation, dan storage flammable dapat ditelusuri, dipertanggungjawabkan, dan dipertahankan secara teknis terhadap audit internal maupun insurer, serta tetap efektif sepanjang lifecycle operasi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Kegagalan tata kelola risiko umumnya bukan berasal dari tidak adanya proteksi, tetapi dari:

Keputusan SIL tanpa dokumentasi kuat
Kredit IPL yang tidak independen
Proof test tidak dilakukan tepat waktu
Bypass tidak terkontrol
MOC tidak memicu revalidasi LOPA
Konflik antara target produksi dan integritas proteksi

Pada fasilitas berenergi tinggi seperti:

SMR (potensi furnace explosion)
Hydrogenation (runaway reaksi tekanan tinggi)
Distillation (overpressure & reboiler fire case)
Propylene storage (VCE & domino tank impact)

kegagalan tata kelola dapat mengubah sistem yang secara desain aman menjadi sistem berisiko tinggi akibat degradasi disiplin operasional.

✓ 2.2 Initiating Causes of Governance Breakdown

Tidak adanya ownership jelas untuk SIL ≥ 2
KPI keselamatan tidak dimonitor secara rutin
Tidak ada escalation rule saat proof test overdue
Alarm flood menyebabkan operator tidak responsif
Shared infrastructure disetujui tanpa risk review formal
Tekanan produksi mengabaikan degraded mode

✓ 2.3 Escalation Path

Weak governance → Protection layer degradation → Increased PFDavg in reality → Residual risk > tolerable → Major incident → Insurer dispute / reputational damage

Governance Objective harus mencegah jalur eskalasi ini.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Risk Defensibility Requirement

All risk-based decisions shall be documented, traceable, and reviewable.
No SIL assignment shall be approved without documented LOPA basis.
Risk acceptance shall follow formally approved corporate risk matrix.

✓ 3.2 Lifecycle Integrity Requirement

Protection performance shall be monitored throughout operation.
Proof test overdue shall trigger formal escalation.
Bypass duration shall be controlled and time-limited.

✓ 3.3 Accountability Requirement

Each SIF shall have defined technical owner.
SIL ≥ 2 approval shall require Process Safety Authority endorsement.
Catastrophic risk acceptance shall require Corporate Risk Committee approval.

✓ 3.4 Audit & Insurer Alignment Requirement

Governance structure shall allow independent review.
All critical decisions shall be reproducible under audit scrutiny.
Insurer recommendations shall be formally reviewed and dispositioned.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menegaskan bahwa functional safety adalah sistem manajemen, bukan hanya desain teknis.

FM Global dan insurer-driven governance menilai:

Apakah risk acceptance terdokumentasi?
Apakah proteksi tetap efektif selama operasi?
Apakah deviasi dikontrol?

Tanpa Governance Objective yang eksplisit:

Risk matrix menjadi simbolik
SIL menjadi angka tanpa ownership
Segregasi hanya desain awal tanpa kontrol lifecycle
Proof test menjadi formalitas administratif

Governance Objective mengikat seluruh 14 bab menjadi satu sistem pengendalian risiko yang hidup.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Governance structure documented and approved
Risk approval matrix defined
SIL approval hierarchy documented

✓ 5.2 Operational Compliance

100% SIF memiliki owner terdaftar
Proof test overdue < threshold yang ditetapkan
Bypass log aktif dan ditinjau rutin
KPI keselamatan ditinjau minimal quarterly

✓ 5.3 Audit Readiness

Semua SIL decision traceable ke LOPA
Semua exception memiliki approval record
Semua insurer recommendation memiliki disposition log

☑ 6. EVIDENCE & RECORDS

Risk approval matrix
SIL approval record
Proof test KPI dashboard
Bypass register
Escalation log
Insurer audit response log
Governance charter document

Traceability:

Risk Matrix → LOPA → SIL Approval → SRS → Proof Test → KPI Review → Escalation Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengabaikan governance objective.

Jika KPI menunjukkan degradasi:

Immediate risk review required
Compensating safeguard implemented
Executive notification jika severity tinggi

Deviasi governance tidak dapat diterima tanpa documented risk acceptance.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Site Process Safety Authority Oversight: Corporate Risk Committee Escalation Trigger:

SIL ≥ 3 case
Repeated proof test overdue
Repeated bypass > approved duration
Insurer finding severity high

Review Frequency:

Annual governance review
Post-incident review mandatory

2. CORPORATE RISK PHILOSOPHY

2.1 Risk Reduction Hierarchy

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan urutan prioritas pengurangan risiko pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene sehingga pengendalian bahaya dilakukan secara sistematis mulai dari eliminasi sumber energi hingga proteksi aktif, dan tidak secara langsung mengandalkan Safety Instrumented System (SIS) sebagai solusi utama.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Fasilitas memiliki sumber energi dan inventory tinggi:

SMR: pembakaran fuel gas pada temperatur sangat tinggi → potensi furnace explosion.
Reaktor hidrogenasi: reaksi eksotermis tekanan tinggi → potensi runaway dan vessel rupture.
Distilasi: overpressure akibat heat input reboiler → PSV activation atau kegagalan relief.
Storage propylene: overfill atau kebocoran → flashing → vapor cloud → ignition.

Jika pengurangan risiko hanya mengandalkan proteksi aktif (SIS), maka:

PFDavg menjadi satu-satunya barrier kuantitatif.
Common cause dapat melumpuhkan beberapa IPL sekaligus.
Degradasi proof test meningkatkan risiko aktual.

Urutan pengurangan risiko harus mengikuti prinsip eliminasi energi terlebih dahulu sebelum bergantung pada instrumented protection.

✓ 2.2 Initiating Causes

Desain inventory terlalu besar (inherent hazard)
Reaksi tidak dikendalikan secara termodinamis
Relief capacity tidak memadai untuk fire case
Shared utility menyebabkan common cause
Operator overload akibat alarm flood

✓ 2.3 Escalation Path

Hazard intrinsik tinggi → Proteksi hanya berbasis SIS → Kegagalan proteksi aktif / bypass → Energi dilepas tanpa barrier pasif → Loss of Containment → Fire / Explosion → Kerusakan multi-unit

Tanpa hierarki jelas, SIL dapat meningkat tetapi risiko sistemik tetap tinggi.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Inherent Safety Requirement

Desain proses shall first evaluate hazard elimination or inventory reduction before allocating SIL.
Heat input, operating pressure, and inventory shall be minimized where technically feasible.
Reactor and furnace design shall incorporate inherently safer design principles prior to reliance on active protection.

✓ 3.2 Passive Protection Requirement

Pressure relief systems shall comply with API 521 fire case and overpressure scenarios.
Mechanical integrity design shall address hydrogen embrittlement and high temperature creep.
Storage containment shall include secondary containment as applicable.

✓ 3.3 Active Protection Requirement

SIS shall only be allocated after inherent and passive measures are evaluated.
Alarm-based protection shall not substitute engineered safeguards unless qualified per IEC 62682.
Distribution of RRF across IPL shall not rely solely on instrumented layers.

✓ 3.4 Administrative Control Limitation

Administrative procedures shall not be credited as primary IPL for catastrophic scenarios unless supported by documented performance evidence.
Operator response shall only be credited where response time is validated against process dynamics.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mengharuskan penerapan risk reduction hierarchy sebelum penentuan SIL.

CCPS Inherently Safer Design menekankan bahwa eliminasi hazard lebih andal dibanding proteksi aktif.

API 521 menunjukkan bahwa relief system harus mampu menangani fire case tanpa bergantung pada operator.

FM Global secara konsisten menilai:

Inventory minimization
Passive fire protection
Separation distance
Relief adequacy

Tanpa hierarki ini:

Proyek cenderung menaikkan SIL untuk “mengamankan risiko”
Ketergantungan pada instrument meningkat
Proteksi pasif terabaikan
Risiko aktual saat degraded mode meningkat

Risk reduction hierarchy memastikan bahwa SIS adalah lapisan terakhir, bukan solusi utama.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Setiap skenario LOPA menunjukkan evaluasi inherent dan passive safeguard sebelum alokasi SIF.
Relief calculation tersedia dan tervalidasi sesuai API 521.
Dokumentasi evaluasi inventory reduction tersedia pada fase desain.

✓ 5.2 Operational Compliance

Tidak ada skenario catastrophic yang hanya bergantung pada alarm + operator.
Tidak ada SIF yang ditetapkan tanpa bukti evaluasi alternatif non-instrumented safeguard.

✓ 5.3 Performance KPI

Rasio SIF terhadap total IPL tidak menunjukkan over-reliance pada SIS.
Tidak ada SIL escalation tanpa documented inherent safety review.

☑ 6. EVIDENCE & RECORDS

Inherent safety evaluation report
Relief sizing calculation (API 521)
LOPA worksheet showing IPL distribution
SRS justification referencing hierarchy
Design review minutes documenting hazard minimization

Traceability:

Hazard Scenario → Inherent Review → Passive Safeguard → LOPA → SIL Allocation → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika inherent atau passive safeguard tidak dapat diterapkan:

Dokumentasi teknis ketidakmungkinan required.
Quantitative LOPA required.
Approval oleh Process Safety Authority mandatory.
Jika resulting SIL ≥ 3, Corporate Risk Committee review required.

Tidak diperkenankan langsung mengalokasikan SIL tinggi tanpa evaluasi hierarki.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

SIL ≥ 3 allocation
Over-reliance pada instrumented protection
Insurer finding terkait passive protection inadequacy

Review dilakukan setiap major project dan post-incident.

2.2 High Energy System Policy

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kebijakan khusus pengendalian risiko pada sistem berenergi tinggi di fasilitas SMR, reaktor hidrogenasi tekanan tinggi, kolom distilasi dengan heat input signifikan, dan storage propylene, sehingga potensi pelepasan energi besar tidak berkembang menjadi kejadian catastrophic akibat kegagalan tunggal, common cause, atau degradasi proteksi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Sistem berenergi tinggi memiliki karakteristik:

SMR (Fired Heater)
- Temperatur sangat tinggi (>800°C)
- Fuel gas combustion berkelanjutan
- Potensi flame instability dan akumulasi gas
Reaktor Hydrogenation
- Tekanan tinggi H₂
- Reaksi eksotermis
- Potensi runaway dan rapid pressure rise
Kolom Distilasi
- Inventory hidrokarbon besar
- Heat input reboiler
- Potensi overpressure dan relief activation
Storage Propylene
- Vapor pressure tinggi
- Potensi flashing dan VCE
- Risiko domino tank-to-tank

Mekanisme kegagalan utama:

Energi panas atau tekanan dilepas secara tidak terkendali
Kegagalan isolasi cepat (slow-closing valve)
Relief tidak memadai untuk fire case
Kehilangan pendinginan atau utilitas
Degradasi material (creep, hydrogen embrittlement)

Energi tersimpan tinggi → waktu eskalasi singkat → konsekuensi luas.

✓ 2.2 Initiating Causes

Flame detector failure atau fuel trip valve gagal menutup
Kegagalan sistem quench pada reaktor
Kegagalan cooling water atau condenser
Power dip yang memengaruhi logic solver
Instrument air loss
Korosi atau degradasi material tekanan tinggi

✓ 2.3 Escalation Path

Initiating Event → Energi tidak terkendali (heat/pressure accumulation) → Kegagalan isolasi atau relief → Vessel rupture / furnace explosion / tank overpressure → Loss of Containment → Fire / Explosion → Domino effect ke unit lain → Major asset loss & insurer exposure

Sistem berenergi tinggi memiliki margin waktu respons lebih sempit dibanding unit energi rendah.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Hazard Identification Requirement

All high energy systems shall be explicitly identified during HAZID and HAZOP.
Consequence severity for high energy systems shall be evaluated at catastrophic level unless demonstrated otherwise.
Specialized study (furnace safety review, runaway analysis, overfill risk assessment) shall be conducted where applicable.

✓ 3.2 Protection Architecture Requirement

High energy systems shall not rely on a single protection layer.
Minimum two independent protection layers shall be demonstrated for catastrophic scenarios.
Protection architecture shall demonstrate independence from common cause domain (power, air, network).

✓ 3.3 Performance & Integrity Requirement

Relief systems shall comply with API 521 fire case and dynamic overpressure scenario.
Isolation valves shall have validated closing time relative to escalation time.
Materials for hydrogen service shall comply with recognized hydrogen embrittlement mitigation practices.
Shutdown logic for fired equipment shall be independent from BPCS.

✓ 3.4 Lifecycle & Monitoring Requirement

High energy system SIF shall be prioritized in proof test schedule.
Demand rate for high energy system SIF shall be trended and reviewed quarterly.
Repeated trip events shall trigger risk re-evaluation.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan identifikasi konsekuensi dan pengurangan risiko proporsional terhadap severity.

API 556 memberikan panduan khusus untuk instrumentasi fired heater, menegaskan bahwa sistem pembakaran memiliki risiko ledakan internal.

API 521 menekankan evaluasi fire case dan dynamic overpressure untuk vessel berenergi tinggi.

FM Global Data Sheets memberikan perhatian khusus pada:

Fired equipment
High pressure systems
Flammable storage
Separation distance dan fire exposure

Sistem berenergi tinggi memiliki:

Waktu eskalasi lebih cepat
Dampak lebih luas
Potensi domino effect
Exposure insurer signifikan

Tanpa kebijakan khusus, sistem ini diperlakukan sama dengan unit energi rendah, sehingga tingkat proteksi menjadi tidak proporsional terhadap risiko.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Daftar high energy system terdokumentasi.
Specialized study tersedia untuk masing-masing sistem berenergi tinggi.
Minimal dua IPL independen ditunjukkan dalam LOPA untuk skenario catastrophic.
Relief calculation tersedia sesuai API 521.

✓ 5.2 Operational Compliance

Proof test high energy SIF tidak overdue.
Demand rate high energy SIF dimonitor.
Tidak ada high energy scenario yang hanya bergantung pada alarm + operator.

✓ 5.3 Performance KPI

0 catastrophic scenario dengan single protection layer.
0 repeated trip tanpa review formal.
100% high energy SIF memiliki owner teknis terdaftar.

☑ 6. EVIDENCE & RECORDS

High energy system register
Furnace safety review report
Runaway reaction analysis
API 521 relief calculation
LOPA worksheet dengan IPL independen
SRS untuk high energy SIF
KPI dashboard high energy protection

Traceability:

High Energy Register → HAZOP Node → LOPA Scenario → IPL Allocation → SIL Decision → Proof Test → KPI Review

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika hanya satu IPL tersedia pada high energy scenario:

Quantitative justification required.
Additional passive or inherent safeguard shall be evaluated.
Approval oleh Process Safety Authority mandatory.
Untuk SIL ≥ 3, Corporate Risk Committee review required.

Deviasi terhadap kebijakan ini tidak diperkenankan tanpa risk acceptance formal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Technical Support: Process & Mechanical Engineering Manager Escalation Trigger:

SIL ≥ 3 pada high energy system
Repeated demand event
Insurer finding terkait fired equipment atau storage
Incident near-miss pada sistem berenergi tinggi

Review Frequency:

Annual review of high energy system protection
Post-incident mandatory review

2.3 Single Failure & Common Cause Doctrine

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan doktrin bahwa tidak ada kegagalan tunggal (single failure) maupun kegagalan akibat penyebab bersama (common cause) yang boleh menyebabkan konsekuensi catastrophic pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga arsitektur proteksi dirancang dengan independensi yang nyata dan terverifikasi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Pada sistem berenergi tinggi, kegagalan tunggal dapat memicu pelepasan energi besar apabila tidak terdapat lapisan proteksi independen.

Contoh mekanisme:

SMR: satu flame detector gagal → fuel tetap mengalir → akumulasi gas → ignition → furnace explosion.
Hydrogenation reactor: satu temperature transmitter drift → runaway tidak terdeteksi → pressure rise → vessel rupture.
Distillation column: satu control valve stuck → overpressure → PSV gagal membuka → rupture.
Storage propylene: satu level transmitter gagal → overfill → flashing → VCE.

Common cause domain dapat berupa:

Power supply bersama
Instrument air bersama
Shared I/O card
Shared logic solver
Shared network switch
Lingkungan fisik (fire zone, flooding)
Firmware defect seragam

Jika beberapa IPL berada dalam domain yang sama, maka satu gangguan dapat melumpuhkan lebih dari satu lapisan proteksi.

✓ 2.2 Initiating Causes

Single Failure:

Sensor failure
Valve fail to close
UPS trip
MCC feeder trip
Single breaker upstream trip

Common Cause:

Power dip upstream
Instrument air header failure
Software bug
Environmental fire exposure
Maintenance error affecting multiple devices

✓ 2.3 Escalation Path

Single Failure atau Common Cause → Multiple protection layer unavailable → Hazard energy tidak terkendali → Loss of Containment → Fire / Explosion → Domino ke unit lain

Tanpa kontrol independensi, LOPA dapat menunjukkan RRF tinggi di atas kertas tetapi tidak berlaku dalam kondisi nyata.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Single Failure Doctrine

No single failure shall lead to catastrophic consequence.
Catastrophic scenarios shall demonstrate minimum two independent protection layers.
Single sensor dependency for catastrophic SIF shall be justified quantitatively or avoided.

✓ 3.2 Independence Requirement

IPL credited in LOPA shall be independent from initiating cause.
IPL shall not share logic solver, I/O module, upstream power feeder, or instrument air source unless justified.
SIS shall not share CPU with BPCS.
Alarm credited as IPL shall not originate from the same failure domain as the initiating cause.

✓ 3.3 Common Cause Control Requirement

Common cause domain analysis shall be performed for all catastrophic scenarios.
Shared infrastructure (power, network, air, JB) shall be explicitly identified.
β-factor assumption in SIL verification shall be documented and justified.

✓ 3.4 Lifecycle Requirement

Modifications affecting power, network, or utility architecture shall trigger common cause re-evaluation under MOC.
Proof test strategy shall consider detection of hidden common cause vulnerability.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan independensi antara protection layers.

CCPS LOPA Guideline menekankan bahwa IPL harus:

Independent
Auditable
Testable
Reliable

IEC 61508 memperkenalkan konsep common cause dan β-factor dalam perhitungan PFDavg.

FM Global audit sering menemukan:

Shared UPS untuk DCS dan SIS
Shared air header untuk control valve dan shutdown valve
Shared JB atau marshalling cabinet
Shared network switch tanpa segregasi

Tanpa doktrin ini:

RRF yang dihitung tidak mencerminkan risiko aktual
SIL verification menjadi tidak valid
Insurer dapat menolak klaim akibat “non-independent protection”

Doktrin ini memastikan bahwa independensi bukan asumsi, tetapi diverifikasi secara fisik dan arsitektural.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Common cause domain checklist tersedia.
Diagram arsitektur menunjukkan segregasi power, I/O, CPU, dan network.
LOPA worksheet mencantumkan independence justification untuk setiap IPL.
β-factor documented dalam SIL calculation.

✓ 5.2 Operational Compliance

Tidak ada shared infrastructure tanpa risk review.
MOC mencakup evaluasi common cause.
Tidak ada catastrophic scenario dengan single IPL dependency.

✓ 5.3 Performance KPI

0 SIL calculation tanpa β-factor documentation.
0 shared UPS untuk BPCS & SIS tanpa approval formal.
100% high-risk IPL memiliki documented independence review.

☑ 6. EVIDENCE & RECORDS

Segregation architecture diagram
Common cause analysis checklist
LOPA worksheet dengan independence column
SIL verification report (β-factor reference)
Power single line diagram
Instrument air distribution diagram
MOC common cause review record

Traceability:

Scenario → IPL Identification → Independence Review → SIL Calculation → Architecture Diagram → Proof Test → Audit Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika shared resource tidak dapat dihindari (brownfield constraint):

Quantitative risk evaluation required.
Additional independent safeguard shall be implemented.
Enhanced proof test interval may be required.
Approval oleh Process Safety Authority mandatory.
Untuk high energy system, Corporate Risk Committee approval required.

Deviasi tanpa documented independence review tidak diperkenankan.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Instrument & Control Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

Discovery of shared domain affecting catastrophic scenario
Insurer finding terkait independence
SIL ≥ 3 dengan shared infrastructure
Incident yang melibatkan common cause domain

Review Frequency:

Setiap major project
Setiap perubahan arsitektur utilitas
Minimal setiap 5 tahun

2.4 Risk Ownership & Escalation

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan struktur kepemilikan risiko (risk ownership) dan mekanisme eskalasi formal sehingga setiap keputusan penerimaan risiko, alokasi SIL, deviasi proteksi, dan kondisi degradasi pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene memiliki otoritas yang jelas, terdokumentasi, dan dapat dipertanggungjawabkan secara korporat maupun kepada insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Kegagalan bukan selalu berasal dari desain teknis, tetapi dari:

Tidak jelas siapa yang berwenang menerima risiko
SIL ditetapkan oleh tim proyek tanpa otorisasi formal
Degradasi proteksi (overdue proof test, bypass) tidak dieskalasi
Konflik antara target produksi dan integritas proteksi
Rekomendasi insurer tidak ditindaklanjuti

Pada sistem berenergi tinggi:

SMR: furnace trip diabaikan sebagai “operational nuisance”
Hydrogenation: high temperature demand berulang tanpa review
Storage: high-high level demand berulang dianggap alarm biasa

Jika ownership tidak jelas, risiko residu dapat melebihi toleransi tanpa diketahui manajemen.

✓ 2.2 Initiating Causes

Tidak adanya matriks otorisasi SIL
Tidak ada threshold eskalasi untuk KPI keselamatan
Tidak ada kewajiban review saat demand rate meningkat
Tidak ada mekanisme formal menerima risiko sementara (temporary degraded mode)
Tidak ada tindak lanjut formal terhadap temuan insurer

✓ 2.3 Escalation Path

Proteksi terdegradasi → KPI tidak dipantau → Tidak ada eskalasi formal → Risiko aktual meningkat → Skenario catastrophic terjadi → Investigasi menemukan “lack of governance” → Dispute dengan insurer / reputational damage

Tanpa struktur ownership dan escalation, sistem proteksi kehilangan akuntabilitas.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Risk Ownership Requirement

Each catastrophic scenario shall have a clearly defined risk owner.
Each SIF shall have a designated technical owner responsible for lifecycle integrity.
Residual risk acceptance shall be approved at defined management level per severity class.

✓ 3.2 SIL Approval Hierarchy

SIL 1 approval shall require Engineering Manager endorsement.
SIL 2 approval shall require Process Safety Authority endorsement.
SIL 3 approval shall require Corporate Risk Committee approval.
No SIL downgrade shall occur without documented LOPA revalidation and formal approval.

✓ 3.3 Escalation Trigger Requirement

The following conditions shall trigger formal escalation:

Proof test overdue beyond defined threshold.
Repeated SIF demand above expected frequency.
Repeated spurious trip affecting availability.
Bypass exceeding approved duration.
Insurer finding classified as high severity.
Any catastrophic scenario exceeding risk matrix tolerability.

✓ 3.4 Temporary Risk Acceptance Requirement

Operation under degraded protection shall require documented temporary risk acceptance.
Temporary risk acceptance shall include duration limit and compensating safeguards.
Expired temporary approval shall trigger automatic escalation.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menekankan bahwa functional safety adalah sistem manajemen dengan peran dan tanggung jawab yang jelas.

ISO 31000 menegaskan pentingnya akuntabilitas dalam risk governance.

Insurer-driven governance (FM Global) menilai:

Apakah keputusan risiko memiliki sign-off level yang sesuai?
Apakah deviasi proteksi disetujui oleh otoritas yang tepat?
Apakah rekomendasi audit ditindaklanjuti?

Tanpa struktur ownership:

Risk matrix tidak memiliki makna eksekutif.
SIL menjadi keputusan teknis tanpa tanggung jawab manajerial.
Degradasi proteksi menjadi kebiasaan operasional.

Risk ownership memastikan bahwa setiap risiko memiliki “pemilik” dan setiap deviasi memiliki jalur eskalasi formal.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Risk ownership matrix terdokumentasi.
SIL approval matrix tersedia dan diterapkan.
Escalation flowchart tersedia.

✓ 5.2 Operational Compliance

100% SIF memiliki owner terdaftar.
Semua SIL ≥ 2 memiliki approval record sesuai hierarki.
Semua temporary risk acceptance memiliki batas waktu dan approval formal.

✓ 5.3 Performance KPI

0 SIF tanpa owner.
0 SIL downgrade tanpa documented LOPA revalidation.
100% high-severity insurer findings memiliki disposition record.

☑ 6. EVIDENCE & RECORDS

Risk ownership register
SIL approval log
Escalation log
Temporary risk acceptance form
KPI dashboard with escalation markers
Insurer finding disposition record

Traceability:

Scenario → LOPA → SIL Decision → Approval Record → SRS → Operation → KPI Monitoring → Escalation Log

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan penerimaan risiko tanpa approval sesuai hierarki.

Jika eskalasi tidak dilakukan dalam batas waktu:

Automatic notification to Corporate Risk Committee.
Immediate risk reassessment required.
Temporary operation may be suspended if catastrophic exposure identified.

Deviasi governance dianggap pelanggaran sistem manajemen risiko.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Site Director Technical Authority: Process Safety Authority Executive Oversight: Corporate Risk Committee

Escalation Review Frequency:

Quarterly safety governance review
Immediate review for catastrophic trigger

Audit Alignment:

Annual internal audit
Insurer audit support mandatory

3. CORPORATE RISK ACCEPTANCE CRITERIA

3.1 Individual Risk Target

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan target risiko individu berbasis risk matrix yang digunakan sebagai dasar evaluasi konsekuensi fatality pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga keputusan pengurangan risiko, alokasi IPL, dan penetapan SIL memiliki acuan kuantitatif/semi-kuantitatif yang konsisten dan defensible.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Skenario dengan potensi fatality pada site ini meliputi:

SMR: furnace explosion akibat flame failure → overpressure internal → structural breach.
Hydrogenation reactor: runaway → rapid pressure rise → vessel rupture → jet fire H₂.
Distillation column: overpressure akibat fire case → PSV gagal → rupture.
Storage propylene: overfill atau leak → flashing → vapor cloud → ignition → VCE.

Konsekuensi fatality dipengaruhi oleh:

Besarnya inventory dan energi tersimpan
Waktu eskalasi
Paparan personel (occupancy)
Potensi domino antar unit

Target risiko individu harus mencerminkan severity tertinggi yang mungkin terjadi dalam boundary site.

✓ 2.2 Initiating Causes

Single failure pada sistem proteksi
Common cause pada power atau instrument air
Kegagalan relief system pada fire case
Human error saat startup/shutdown
Degradasi proteksi (overdue proof test, bypass)

✓ 2.3 Escalation Path

Initiating Event → Proteksi gagal / tidak independen → Loss of Containment → Fire / Explosion → Paparan personel → Fatality

Jika target risiko individu tidak didefinisikan secara eksplisit, maka:

LOPA tidak memiliki ambang kuantitatif jelas.
SIL allocation dapat menjadi subjektif.
Penerimaan risiko tidak konsisten antar proyek.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Risk Matrix Basis

Individual risk target shall be defined within the approved corporate risk matrix.
Severity classification shall explicitly define “single fatality”, “multiple fatality”, and “catastrophic” categories.
Likelihood categories shall be associated with quantitative frequency ranges.

✓ 3.2 Frequency Definition

Frequency basis shall be defined as per scenario-year per site.
Catastrophic fatality scenarios shall not exceed the tolerable frequency defined in corporate matrix.
Borderline frequency cases shall be treated conservatively.

✓ 3.3 Onsite vs Offsite Consideration

Individual risk evaluation shall include onsite personnel exposure.
Offsite exposure shall be evaluated if flammable storage or hydrogen inventory presents credible offsite impact.

✓ 3.4 LOPA Linkage

LOPA shall be triggered for any scenario categorized at or above defined severity threshold in the risk matrix.
Residual risk after IPL application shall not exceed tolerable frequency band defined in the matrix.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

ISO 31000 menekankan bahwa kriteria penerimaan risiko harus ditetapkan sebelum evaluasi risiko dilakukan.

IEC 61511 mensyaratkan bahwa SIL allocation didasarkan pada target risk reduction yang ditentukan oleh risk acceptance criteria.

CCPS LOPA menyatakan bahwa tolerable frequency harus jelas agar RRF dapat dihitung secara objektif.

Tanpa Individual Risk Target yang terdefinisi:

Severity dalam HAZOP menjadi deskriptif tanpa angka.
LOPA tidak memiliki target residual risk.
SIL allocation menjadi tidak defensible saat audit insurer.

Untuk site dengan SMR dan storage propylene, potensi fatality multi-orang dan domino effect nyata, sehingga severity level harus konservatif.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Corporate risk matrix terdokumentasi dan disetujui manajemen.
Definisi severity dan likelihood memiliki rentang frekuensi numerik.
Catastrophic category memiliki frekuensi tolerable maksimum terdefinisi.

✓ 5.2 Design Compliance

Semua skenario fatality dalam HAZOP diklasifikasikan sesuai risk matrix.
Semua LOPA mencantumkan target residual frequency yang mengacu ke matrix.

✓ 5.3 Performance KPI

100% SIL allocation dapat ditelusuri ke severity & likelihood classification.
0 skenario catastrophic tanpa LOPA.
0 penerimaan risiko fatality tanpa approval sesuai hierarki.

☑ 6. EVIDENCE & RECORDS

Approved corporate risk matrix document
Risk classification guideline
HAZOP report dengan severity classification
LOPA worksheet dengan target frequency reference
Risk acceptance approval record (jika applicable)

Traceability:

Hazard Scenario → Severity Classification → LOPA Target Frequency → RRF Requirement → SIL Decision → Approval Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menggunakan interpretasi severity di luar risk matrix yang disetujui.

Jika data frekuensi tidak tersedia:

Conservative assumption shall be used.
Assumption shall be documented.
Process Safety Authority approval required.

Deviasi terhadap target risiko individu memerlukan approval sesuai Bab 2.4 Risk Ownership & Escalation.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Approval Authority: Corporate Risk Committee (untuk catastrophic threshold) Review Trigger:

Perubahan risk matrix corporate
Incident fatality atau near-miss major
Insurer recommendation

Review minimum setiap 5 tahun atau pasca insiden besar.

3.2 Asset Damage Target

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan target toleransi risiko terhadap kerusakan aset (asset damage) pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga keputusan desain proteksi, alokasi IPL, dan kebijakan SIL tidak hanya mempertimbangkan fatality tetapi juga potensi kerugian properti besar dan gangguan bisnis yang menjadi fokus utama insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Kerusakan aset besar pada site ini dapat terjadi akibat:

SMR: furnace explosion → kerusakan radiant box, reformer tubes, struktur baja → shutdown jangka panjang.
Hydrogenation reactor: vessel rupture akibat runaway → kerusakan equipment tekanan tinggi dan piping.
Distillation column: fire case overpressure → kolom runtuh → kerusakan struktur dan peralatan sekitar.
Storage propylene: VCE atau pool fire → domino effect antar tank → kerugian multi-juta dolar.

Mekanisme teknis utama:

Overpressure melebihi design limit
Thermal radiation merusak struktur baja
Jet fire menyebabkan impingement pada equipment kritis
Fragment projection akibat rupture

Asset damage seringkali terjadi bahkan tanpa fatality, namun berdampak besar pada kontinuitas operasi.

✓ 2.2 Initiating Causes

Relief system undersized terhadap fire case (API 521 tidak diterapkan benar)
Kegagalan isolasi cepat pada high energy system
Kegagalan deteksi kebocoran awal
Shared fire zone tanpa separation distance memadai
Ketergantungan pada satu proteksi aktif

✓ 2.3 Escalation Path

Initiating Event → Energi tidak terkendali → Kerusakan equipment primer → Fire exposure ke equipment sekunder → Domino escalation → Major asset loss → Extended business interruption

Tanpa target asset damage yang eksplisit, desain proteksi dapat berfokus pada keselamatan personel saja dan mengabaikan proteksi properti.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Asset Damage Classification

Asset damage severity shall be defined within the corporate risk matrix.
“Major equipment loss” shall be explicitly defined (misalnya: furnace, reactor tekanan tinggi, kolom distilasi utama, tank storage utama).
Domino escalation shall be considered in severity assessment.

✓ 3.2 Frequency Tolerance

Tolerable frequency for major asset loss shall be defined in the risk matrix.
Residual risk after application of IPL shall not exceed the defined tolerable frequency.
Borderline cases shall be treated conservatively.

✓ 3.3 Property Protection Requirement

Fire case and thermal radiation impact shall be evaluated for high energy systems.
Separation distance and fireproofing shall be evaluated per insurer guidance.
Storage tank protection shall align with API 2350 and insurer fire protection expectations.

✓ 3.4 Business Interruption Consideration

Risk evaluation shall consider business interruption impact for single-unit catastrophic loss.
SIL or additional IPL shall not be reduced solely on the basis that no fatality is predicted if asset loss is catastrophic.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

FM Global dan insurer-driven governance sangat menekankan:

Major equipment loss frequency
Fire exposure propagation
Domino prevention
Business interruption exposure

API 521 mengharuskan evaluasi fire case relief sizing untuk mencegah vessel rupture.

NFPA 30 dan FM Data Sheets memberikan panduan separation distance dan fire protection untuk storage flammable.

Tanpa Asset Damage Target:

LOPA hanya berfokus pada fatality.
Risiko kerugian finansial besar tidak dikendalikan secara sistemik.
Insurer dapat menilai proteksi tidak memadai walaupun SIL terpenuhi.

Asset damage target memastikan proteksi dirancang untuk menjaga keberlangsungan operasi, bukan hanya keselamatan personal.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Risk matrix mencantumkan kategori major asset loss.
Semua skenario major equipment loss diklasifikasikan dalam HAZOP.
Relief calculation tersedia untuk fire case sesuai API 521.
Evaluasi separation distance terdokumentasi.

✓ 5.2 Operational Compliance

Tidak ada skenario major asset loss yang hanya bergantung pada satu IPL.
Tidak ada pengurangan proteksi tanpa evaluasi dampak asset damage.
Semua insurer recommendation terkait property protection memiliki disposition.

✓ 5.3 Performance KPI

0 catastrophic asset loss scenario tanpa LOPA.
100% high value equipment memiliki documented protection review.
0 unresolved high-severity insurer finding terkait property loss.

☑ 6. EVIDENCE & RECORDS

Corporate risk matrix (asset damage section)
HAZOP report (asset consequence classification)
API 521 relief calculation record
Fire protection & separation evaluation document
LOPA worksheet (asset damage scenario)
Insurer audit report & response log

Traceability:

Equipment Criticality → Hazard Scenario → Severity Classification → LOPA → Protection Allocation → Approval Record → Audit Log

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika proteksi pasif (fireproofing/separation) tidak dapat diterapkan:

Quantitative justification required.
Additional active protection shall be implemented.
Approval oleh Process Safety Authority mandatory.
Untuk exposure insurer signifikan, Corporate Risk Committee review required.

Deviasi yang meningkatkan potensi major asset loss tidak diperkenankan tanpa formal risk acceptance.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Engineering Manager Oversight: Process Safety Authority Insurer Interface: Site Management

Escalation Trigger:

Major asset damage near-miss
Repeated fire protection deficiency
Insurer high-severity finding
SIL reduction affecting high-value equipment

Review minimum setiap 5 tahun atau pasca insiden signifikan.

3.3 Environmental Criteria

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kriteria penerimaan risiko terhadap dampak lingkungan pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga pelepasan bahan berbahaya, kebakaran besar, atau ledakan yang berdampak ke lingkungan sekitar dapat dikendalikan secara sistematis dan selaras dengan ekspektasi insurer serta peraturan yang berlaku.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Potensi dampak lingkungan pada site meliputi:

SMR: kebocoran syngas atau fuel gas → jet fire → pelepasan emisi pembakaran.
Hydrogenation reactor: rupture → pelepasan hidrokarbon dan hidrogen → fire/explosion dengan residu lingkungan.
Distillation column: overpressure → pelepasan hidrokarbon cair → soil contamination.
Storage propylene: kebocoran besar → flashing → vapor cloud → ignition atau dispersi gas ke area sekitar.

Mekanisme utama:

Loss of Containment (LoC)
Relief discharge tidak tertangani dengan baik
Drain system tidak memadai
Secondary containment tidak efektif

Dampak lingkungan dapat terjadi meskipun tidak terjadi fatality atau major asset loss.

✓ 2.2 Initiating Causes

Korosi atau degradasi material
Kegagalan flange atau gasket
Tank overfill
Relief valve lifting akibat fire case
Human error saat transfer atau loading

✓ 2.3 Escalation Path

Initiating Event → Loss of Containment → Release to atmosphere / soil / drainage system → Fire / Explosion atau Dispersion → Dampak lingkungan lokal atau offsite → Regulatory action / Insurer concern / Reputational impact

Tanpa kriteria lingkungan yang jelas, evaluasi risiko hanya fokus pada fatality dan aset.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Environmental Severity Classification

Environmental consequence categories shall be defined within the corporate risk matrix.
Severity shall consider volume released, toxicity, flammability, and potential offsite impact.
Domino and secondary contamination shall be evaluated.

✓ 3.2 Regulatory Alignment Requirement

Environmental risk evaluation shall align with applicable local environmental regulation.
Offsite impact potential shall be evaluated for flammable storage and high-pressure hydrogen systems.
Environmental compliance shall be considered in risk acceptance decisions.

✓ 3.3 Protection Requirement

Secondary containment shall be evaluated for flammable storage.
Drainage and spill management systems shall be assessed in HAZOP.
Relief discharge shall be directed to safe location consistent with API 521.

✓ 3.4 LOPA Trigger Requirement

Scenarios categorized as high environmental severity shall trigger LOPA.
Residual risk shall not exceed tolerable band defined in corporate risk matrix.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

ISO 31000 mensyaratkan bahwa organisasi menetapkan kriteria risiko yang mencakup dampak lingkungan.

API 521 mengatur pengelolaan relief discharge untuk mencegah pelepasan tak terkendali.

NFPA 30 dan pedoman insurer menekankan pentingnya secondary containment dan spill control untuk storage flammable.

Insurer-driven governance memperhatikan:

Potensi pencemaran luas
Potensi litigasi
Gangguan operasi akibat tindakan regulator

Tanpa Environmental Criteria:

LOPA dapat mengabaikan dampak non-fatal.
Risk acceptance menjadi tidak lengkap.
Eksposur reputasi dan regulasi tidak dikendalikan secara formal.

Environmental criteria memastikan bahwa pelepasan signifikan diperlakukan setara dengan risiko fatality atau asset damage bila dampaknya luas.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Risk matrix mencantumkan kategori environmental severity.
HAZOP mengidentifikasi potensi dampak lingkungan untuk setiap LoC scenario.
Secondary containment dan drain system terdokumentasi dalam desain.
Relief discharge path terdokumentasi dan tervalidasi.

✓ 5.2 Operational Compliance

Tidak ada skenario environmental high severity tanpa evaluasi LOPA.
Spill response procedure terdokumentasi dan diuji.
Environmental incident log tersedia.

✓ 5.3 Performance KPI

0 major release tanpa root cause review.
100% high environmental severity scenario memiliki documented protection review.
Semua insurer finding terkait environmental exposure memiliki disposition record.

☑ 6. EVIDENCE & RECORDS

Corporate risk matrix (environment section)
HAZOP environmental consequence identification
LOPA worksheet untuk environmental high severity
Relief discharge calculation (API 521 reference)
Secondary containment design drawing
Environmental incident log
Insurer audit report terkait environmental exposure

Traceability:

Hazard Scenario → Environmental Severity Classification → LOPA → Protection Allocation → Approval → Monitoring → Incident Log

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika secondary containment atau discharge routing tidak dapat memenuhi desain ideal:

Risk evaluation required.
Additional monitoring or detection shall be implemented.
Approval oleh Process Safety Authority mandatory.
Regulator consultation required if offsite impact credible.

Deviasi yang meningkatkan potensi dampak lingkungan signifikan tidak diperkenankan tanpa documented risk acceptance.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: HSE Manager Technical Support: Process & Mechanical Engineering Oversight: Process Safety Authority

Escalation Trigger:

Major environmental release
Repeated spill incident
Insurer high-severity environmental finding
Regulatory notice

Review minimum setiap 5 tahun atau pasca insiden lingkungan signifikan.

3.4 Risk Matrix Alignment

☑ 1. INTENT

Klausul ini bertujuan untuk memastikan bahwa seluruh proses identifikasi bahaya (HAZOP), evaluasi risiko (LOPA), alokasi SIL, dan penerimaan risiko pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene selaras secara konsisten dengan corporate risk matrix yang telah disetujui, sehingga tidak terjadi inkonsistensi klasifikasi severity, likelihood, dan keputusan proteksi antar proyek maupun antar unit.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Tanpa alignment yang ketat terhadap risk matrix:

Severity dalam HAZOP ditentukan subjektif oleh tim studi.
Likelihood tidak konsisten dengan rentang frekuensi LOPA.
SIL allocation tidak memiliki dasar target residual risk yang jelas.
Risk acceptance berbeda antara proyek brownfield dan greenfield.

Pada fasilitas berenergi tinggi:

Skenario furnace explosion bisa diklasifikasikan berbeda oleh tim berbeda.
Storage overfill bisa dianggap “moderate” di satu proyek dan “major” di proyek lain.
Hydrogen runaway bisa diremehkan jika tidak ada fatality historis.

Hal ini menghasilkan:

Ketidakkonsistenan RRF
Under-design atau over-design proteksi
Kesulitan mempertahankan keputusan saat audit insurer

✓ 2.2 Initiating Causes

Tidak adanya panduan klasifikasi severity yang terdefinisi jelas.
Tidak adanya pemetaan frekuensi kuantitatif terhadap kategori likelihood.
Tidak ada aturan kapan LOPA wajib dilakukan.
Tidak ada aturan konservatif untuk borderline case.

✓ 2.3 Escalation Path

Subjective severity classification → LOPA tidak dipicu → SIL tidak dialokasikan → Residual risk melebihi tolerable level → Incident terjadi → Audit menemukan inconsistency risk evaluation → Governance credibility menurun

Alignment risk matrix adalah fondasi defensibility numerik.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Severity Mapping Requirement

All HAZOP consequence classifications shall use the approved corporate risk matrix definitions.
Severity categories shall include explicit definitions for fatality, asset damage, and environmental impact.
Catastrophic classification shall not be downgraded without documented quantitative justification.

✓ 3.2 Likelihood Mapping Requirement

Likelihood categories shall be mapped to defined quantitative frequency ranges.
Initiating event frequencies used in LOPA shall be consistent with likelihood definitions in the matrix.
Conservative assumption shall be applied for uncertainty in frequency data.

✓ 3.3 LOPA Trigger Rule

Any scenario classified at or above defined severity threshold shall trigger LOPA.
LOPA shall explicitly reference the target residual frequency derived from the risk matrix.
Borderline cases between matrix cells shall be treated as higher risk category.

✓ 3.4 Cross-Project Consistency Requirement

Risk classification guideline shall be used consistently for greenfield and brownfield projects.
Revalidation shall be performed if risk matrix is revised.
No project-specific risk matrix shall override corporate matrix without executive approval.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

ISO 31000 mengharuskan kriteria risiko ditetapkan sebelum analisis dilakukan.

IEC 61511 mensyaratkan bahwa target risk reduction ditentukan berdasarkan risk acceptance criteria.

CCPS LOPA menghubungkan target residual frequency dengan tolerable risk.

Tanpa alignment formal:

Risk matrix hanya menjadi dokumen administratif.
LOPA kehilangan referensi target numerik.
SIL allocation menjadi tidak defensible.

Insurer-driven governance menilai konsistensi antar proyek sebagai indikator kematangan sistem manajemen risiko.

Risk Matrix Alignment memastikan bahwa:

Severity → Likelihood → LOPA → RRF → SIL adalah rantai logika yang utuh dan terdokumentasi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Risk classification guideline tersedia dan digunakan dalam HAZOP.
Semua LOPA mencantumkan target residual frequency dari matrix.
Tidak ada skenario severity tinggi tanpa LOPA.

✓ 5.2 Operational Compliance

Tidak ada penerimaan risiko di luar matrix tanpa approval formal.
Perubahan risk matrix memicu revalidation terdokumentasi.

✓ 5.3 Performance KPI

100% SIL allocation traceable ke matrix cell.
0 project menggunakan risk matrix alternatif tanpa approval.
0 downgrade severity tanpa documented justification.

☑ 6. EVIDENCE & RECORDS

Approved corporate risk matrix
Risk classification guideline document
HAZOP report dengan severity mapping
LOPA worksheet dengan target frequency reference
SIL approval record
Risk matrix revision log

Traceability:

Hazard Scenario → Severity Classification → Likelihood Category → Matrix Cell → LOPA Target → RRF → SIL → Approval Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika proyek mengusulkan penyesuaian klasifikasi:

Quantitative justification required.
Approval oleh Process Safety Authority mandatory.
Untuk perubahan signifikan matrix threshold, Corporate Risk Committee approval required.
Insurer consultation required bila berdampak pada catastrophic category.

Deviasi tanpa approval formal tidak diperkenankan.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Oversight: Corporate Risk Committee Revalidation Trigger:

Revision of corporate risk matrix
Major incident affecting severity assumption
Insurer recommendation

Review minimum setiap 5 tahun atau saat revisi matrix.

3.5 Quantitative Enforcement Reference

Risk acceptance criteria shall comply with Annex A – A1
All residual risk shall be numerically compared against Annex A – A1 target frequency.
Risk matrix classification shall comply with Annex A – A2
No qualitative risk classification shall override numerical criteria defined in Annex A

4. HAZARD IDENTIFICATION REQUIREMENT

4.1 Study Selection Matrix

Severity and likelihood assignment shall use numerical definitions per Annex A – A2.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan matriks pemilihan studi bahaya yang wajib dilakukan pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga setiap tipe unit, tingkat kompleksitas, dan tingkat energi diperlakukan dengan metode identifikasi bahaya yang proporsional dan tidak ada skenario berisiko tinggi yang terlewat akibat pemilihan studi yang tidak memadai.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Kegagalan dalam pemilihan jenis studi dapat menyebabkan:

SMR hanya dilakukan What-if tanpa HAZOP terstruktur.
Reaktor eksotermis tidak dilakukan runaway analysis khusus.
Storage tank tidak dilakukan overfill risk assessment terpisah.
Brownfield tie-in tidak melalui revalidation HAZOP.

Akibatnya:

Deviation tidak teridentifikasi sistematis.
Skenario catastrophic tidak dianalisis secara kuantitatif.
LOPA tidak dipicu.
SIL tidak dialokasikan.

Pada sistem berenergi tinggi, kekurangan studi awal dapat langsung berujung pada underestimation risiko.

✓ 2.2 Initiating Causes

Proyek mengurangi lingkup studi demi jadwal.
Tidak ada kriteria formal kapan HAZID vs HAZOP vs What-if digunakan.
Tidak ada pemicu studi khusus untuk fired heater atau runaway reaction.
MOC minor dianggap tidak perlu revalidation.

✓ 2.3 Escalation Path

Inadequate study selection → Hazard tidak teridentifikasi → Tidak ada LOPA → Tidak ada SIL / IPL tambahan → Residual risk melebihi tolerable level → Incident catastrophic

Study Selection Matrix adalah gerbang pertama defensibility.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Study Type Requirement

HAZID shall be conducted for all new projects and major modifications.
HAZOP shall be conducted for all process units involving flammable, high-pressure, or high-temperature systems.
What-if analysis may only be applied for low-complexity, low-energy systems with documented justification.

✓ 3.2 High Energy System Requirement

SMR and fired heater systems shall undergo dedicated furnace safety review.
Hydrogenation reactors shall undergo runaway reaction analysis.
Storage tanks containing flammable liquid shall undergo overfill risk assessment in alignment with API 2350.

✓ 3.3 Brownfield & MOC Requirement

Brownfield tie-ins shall trigger focused HAZOP revalidation.
MOC involving setpoint, equipment change, or utility architecture shall trigger study re-evaluation per defined criteria.
Temporary modification shall undergo risk review proportionate to severity.

✓ 3.4 LOPA Trigger Integration

Study outcome shall explicitly identify scenarios requiring LOPA.
No scenario classified at or above defined severity threshold shall proceed without LOPA evaluation.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan hazard and risk assessment sebagai bagian awal lifecycle.

CCPS menekankan bahwa HAZOP adalah metode sistematis untuk mengidentifikasi deviation.

API 556 mengharuskan perhatian khusus pada fired heater system.

API 2350 mengharuskan analisis proteksi overfill untuk storage tank.

Insurer-driven governance menilai apakah metode studi sesuai dengan tingkat risiko unit.

Tanpa Study Selection Matrix:

Metode studi menjadi keputusan ad-hoc.
Unit berenergi tinggi bisa dianalisis secara dangkal.
Hasil LOPA menjadi tidak lengkap.
SIL menjadi tidak defensible.

Matriks ini memastikan proportionality antara tingkat energi dan kedalaman studi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Study Selection Matrix terdokumentasi dan disetujui.
Semua unit dalam boundary memiliki jenis studi yang sesuai.
Furnace safety review tersedia untuk SMR.
Runaway analysis tersedia untuk reaktor eksotermis.
Overfill risk assessment tersedia untuk storage.

✓ 5.2 Operational Compliance

Semua MOC ditinjau terhadap matriks pemicu studi.
Tidak ada perubahan signifikan tanpa studi yang sesuai.

✓ 5.3 Performance KPI

100% unit berenergi tinggi menjalani HAZOP formal.
0 catastrophic scenario tanpa documented hazard study.
0 major modification tanpa study revalidation.

☑ 6. EVIDENCE & RECORDS

Approved Study Selection Matrix
HAZID report
HAZOP report
Furnace safety review report
Runaway reaction analysis report
Overfill risk assessment
MOC study trigger checklist

Traceability:

Unit Classification → Study Type Selection → Hazard Identification → LOPA Trigger → SIL Decision → Approval Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika proyek mengusulkan metode studi lebih ringan:

Justifikasi teknis terdokumentasi.
Severity assessment awal dilakukan.
Approval oleh Process Safety Authority mandatory.
Untuk high energy system, Corporate Risk Committee approval required.

Tidak diperkenankan menurunkan tingkat studi pada unit berenergi tinggi tanpa risk justification formal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

Proyek menghindari HAZOP pada unit high energy
Insurer finding terkait insufficient hazard study
Incident yang menunjukkan hazard tidak teridentifikasi

Review matriks dilakukan minimal setiap 5 tahun atau pasca insiden signifikan.

4.2 Team Competency Requirement

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan kompetensi tim dalam pelaksanaan HAZID, HAZOP, studi runaway, furnace safety review, dan LOPA pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga identifikasi bahaya dan evaluasi risiko dilakukan oleh personel yang memahami mekanisme fisik, interaksi lintas disiplin, dan implikasi proteksi secara komprehensif serta defensible terhadap audit insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Kegagalan studi sering terjadi bukan karena metode salah, tetapi karena:

Tim tidak memahami dinamika furnace flame instability.
Tidak memahami kinetika runaway reaksi eksotermis.
Tidak memahami konsekuensi common cause pada sistem kontrol.
Tidak memahami batas kemampuan relief system (API 521).

Akibatnya:

Deviation dinilai “credible but unlikely” tanpa dasar.
IPL dikreditkan tanpa independensi nyata.
Alarm dianggap cukup tanpa analisis response time.
Skenario startup/shutdown diabaikan.

Pada sistem berenergi tinggi, miskonsepsi teknis kecil dapat menyebabkan underestimation risiko catastrophic.

✓ 2.2 Initiating Causes

Tidak ada persyaratan formal kompetensi tim.
Tidak ada fasilitator HAZOP tersertifikasi.
Tidak ada keterlibatan operasi.
Tidak ada representasi mechanical integrity atau electrical.
LOPA dilakukan oleh tim terbatas (instrument only).

✓ 2.3 Escalation Path

Inadequate team competency → Hazard tidak teridentifikasi → IPL salah dikreditkan → SIL under-allocated → Residual risk > tolerable → Incident → Audit menemukan governance failure

Kompetensi tim adalah pengendali kualitas utama hasil studi.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Multidisciplinary Requirement

HAZID, HAZOP, dan LOPA shall include representatives from:

Process Engineering
Operations
Mechanical Engineering
Electrical Engineering
Instrument & Control Engineering
Integrity / Inspection
HSE

Absence of critical discipline shall require formal justification.

✓ 3.2 Facilitator Requirement

HAZOP shall be led by a trained and competent facilitator.
LOPA shall be led by personnel trained in CCPS LOPA methodology.
Facilitator shall be independent from design authority where practical.

✓ 3.3 Unit-Specific Competency Requirement

Furnace safety review shall include personnel experienced in fired heater operation.
Runaway reaction analysis shall include process engineer knowledgeable in reaction kinetics.
Storage overfill assessment shall include tank operation representative.

✓ 3.4 Lifecycle Competency Requirement

Revalidation studies shall include at least one member familiar with original study assumptions.
Team competency records shall be maintained and periodically reviewed.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan bahwa personel yang terlibat dalam lifecycle functional safety harus kompeten.

CCPS HAZOP dan LOPA guideline menekankan pentingnya multidisciplinary team.

Insurer-driven governance menilai:

Apakah studi dilakukan oleh tim berpengalaman?
Apakah operasi dilibatkan?
Apakah kompetensi terdokumentasi?

Pada sistem seperti SMR dan hydrogenation:

Tanpa pemahaman kinetika reaksi, runaway dapat diremehkan.
Tanpa pemahaman flame dynamics, furnace hazard tidak teridentifikasi.
Tanpa pemahaman electrical segregation, common cause tidak dikenali.

Kompetensi tim adalah syarat utama agar dokumen CREG tidak menjadi formalitas administratif.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Daftar disiplin yang wajib hadir terdokumentasi.
CV atau rekam pelatihan fasilitator tersedia.
Matrix kompetensi tim tersedia.

✓ 5.2 Study Compliance

Attendance list setiap studi tersedia.
Tidak ada studi high energy tanpa keterlibatan operasi.
Tidak ada LOPA tanpa personel yang memahami SIL verification.

✓ 5.3 Performance KPI

100% HAZOP dipimpin fasilitator kompeten.
0 studi catastrophic scenario tanpa multidisciplinary attendance.
Semua anggota tim memiliki catatan pelatihan terdokumentasi.

☑ 6. EVIDENCE & RECORDS

Competency matrix
Training record
HAZOP attendance list
LOPA attendance list
Facilitator certification record
Revalidation attendance record

Traceability:

Study Charter → Attendance List → Competency Record → Hazard Identification → LOPA → SIL → Approval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika salah satu disiplin tidak tersedia:

Justifikasi tertulis required.
Additional technical review shall be performed.
Approval oleh Process Safety Authority mandatory.
Untuk high energy study, penundaan studi dapat dipertimbangkan sampai tim lengkap tersedia.

Tidak diperkenankan melakukan studi catastrophic scenario dengan tim yang tidak kompeten.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: HR / Training Department Escalation Trigger:

Insurer finding terkait kualitas studi
Incident akibat hazard yang seharusnya teridentifikasi
Studi dilakukan tanpa disiplin kritis

Review kompetensi dilakukan minimal setiap 2 tahun.

4.3 Node Selection & Documentation Rule

All scenarios requiring LOPA shall follow trigger criteria defined in Annex A – A2.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan aturan pemilihan node dan tata cara dokumentasi dalam HAZOP pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga seluruh deviasi proses yang relevan terhadap risiko fatality, asset damage, dan dampak lingkungan dapat diidentifikasi secara sistematis serta memiliki keterlacakan langsung menuju LOPA dan penentuan SIL.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Kesalahan pemilihan node dapat menyebabkan:

Furnace radiant section dan convection section digabung dalam satu node → flame instability tidak dianalisis detail.
Reaktor hidrogenasi dan sistem quench dianalisis terpisah tanpa mempertimbangkan interaksi runaway.
Reboiler dan kolom distilasi dipisah tanpa mempertimbangkan dynamic overpressure.
Storage tank dianalisis tanpa mempertimbangkan loading/unloading line sebagai node terpisah.

Akibatnya:

Deviasi tekanan/temperatur kritis tidak muncul.
Mode operasi startup/shutdown tidak dianalisis.
Skenario overfill atau fire exposure tidak lengkap.

Node yang terlalu besar → kehilangan detail. Node yang terlalu kecil → kehilangan konteks sistemik.

✓ 2.2 Initiating Causes

Tidak ada aturan formal pembagian node.
Node ditentukan berdasarkan P&ID sheet boundary, bukan risk boundary.
Tidak ada standar deviation list.
Dokumentasi tidak menghubungkan deviasi ke LOPA ID.
Mode transien tidak dimasukkan sebagai bagian analisis.

✓ 2.3 Escalation Path

Node tidak tepat → Deviation kritis tidak dianalisis → Skenario catastrophic tidak teridentifikasi → LOPA tidak dipicu → SIL tidak dialokasikan → Risiko residu melebihi toleransi

Dokumentasi yang tidak terstruktur menyebabkan kehilangan traceability dan melemahkan defensibility.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Node Definition Requirement

Node selection shall be based on process functionality and hazard boundary, not solely on drawing segmentation.
High energy interfaces (furnace inlet/outlet, reactor feed, reboiler loop, tank inlet/outlet) shall be defined as dedicated nodes.
Startup, shutdown, and abnormal operating modes shall be considered during node evaluation.

✓ 3.2 Deviation Standardization Requirement

Standard deviation guidewords shall be used consistently (No flow, More flow, Less flow, High temperature, Low pressure, Reverse flow, etc.).
Deviation list shall include utility failure and instrument failure where credible.
Human error shall be considered where operationally relevant.

✓ 3.3 Documentation Structure Requirement

Each HAZOP entry shall include:

Deviation
Cause
Consequence
Existing safeguard
Severity classification (per risk matrix)
LOPA trigger indication
Recommendation (if required)

✓ 3.4 Traceability Requirement

Each scenario requiring LOPA shall have unique LOPA ID reference.
Deviation ID shall be traceable to SIF ID where applicable.
HAZOP revalidation shall reference original deviation numbering.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

CCPS HAZOP Guideline menekankan pentingnya pemilihan node yang sesuai dengan batas proses dan fungsi.

IEC 61511 mensyaratkan keterlacakan antara hazard identification dan SIF specification.

Pada unit seperti:

SMR → furnace feed, combustion air, fuel gas harus dianalisis sebagai node terpisah.
Hydrogenation → reaktor dan sistem pendinginan tidak boleh dipisahkan secara analisis risiko.
Storage → tank body, inlet line, dan overfill protection harus dianalisis sistemik.

Tanpa aturan ini:

LOPA dapat berdiri tanpa akar dari HAZOP.
SIF tidak memiliki referensi deviation yang jelas.
Audit insurer dapat menemukan ketidakkonsistenan dokumentasi.

Node Selection & Documentation Rule memastikan bahwa rantai:

Node → Deviation → Severity → LOPA → SIL → SRS terjaga secara logis dan terdokumentasi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Node selection guideline terdokumentasi.
High energy interface memiliki node khusus.
Deviation guideword list tersedia.

✓ 5.2 Study Compliance

Semua deviation dengan severity tinggi memiliki indikasi LOPA trigger.
Tidak ada skenario catastrophic tanpa deviation ID.
Revalidation study menggunakan numbering konsisten.

✓ 5.3 Performance KPI

100% SIF dapat ditelusuri ke deviation ID.
0 LOPA tanpa referensi HAZOP.
0 catastrophic scenario tanpa documented deviation.

☑ 6. EVIDENCE & RECORDS

HAZOP node selection guideline
HAZOP worksheet lengkap
Deviation guideword reference
LOPA worksheet dengan cross-reference
SIF register dengan deviation linkage
Revalidation record

Traceability:

Node ID → Deviation ID → Severity Classification → LOPA ID → SIF ID → SRS Clause → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika node tidak dapat dianalisis secara detail (misalnya keterbatasan data brownfield):

Assumption shall be documented.
Conservative severity classification shall be applied.
Additional focused review shall be scheduled.
Approval oleh Process Safety Authority mandatory.

Tidak diperkenankan menggabungkan node high energy hanya untuk menyederhanakan studi.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

LOPA tidak memiliki deviation reference
Insurer finding terkait insufficient hazard documentation
Incident yang menunjukkan deviation tidak dianalisis

Review dilakukan setiap proyek besar dan setiap revalidation 5 tahunan.

4.4 Revalidation & Trigger

Revalidation shall be mandatory if performance triggers defined in Annex A – A8 are exceeded.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan revalidasi dan pemicu (trigger) formal terhadap HAZID, HAZOP, LOPA, dan keputusan SIL pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga asumsi risiko yang digunakan saat desain tetap relevan terhadap kondisi operasi aktual dan tidak terjadi degradasi proteksi yang tidak terdeteksi sepanjang lifecycle.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Asumsi risiko dapat menjadi tidak valid akibat:

Perubahan feed composition pada reaktor hidrogenasi → kinetika reaksi berubah → runaway severity meningkat.
Peningkatan kapasitas furnace SMR → heat input naik → margin keselamatan relief berubah.
Modifikasi reboiler duty → overpressure scenario berubah.
Perubahan service tank storage → vapor pressure berbeda.
Degradasi material akibat hydrogen embrittlement atau creep.

Jika studi tidak direvalidasi:

Initiating frequency tidak lagi representatif.
IPL tidak lagi independen.
SIL tidak lagi mencerminkan risiko aktual.

✓ 2.2 Initiating Causes

Revalidation wajib dipicu oleh:

Time-based lapse (misal 5 tahun).
Major process modification.
Perubahan arsitektur power atau instrument air.
Perubahan firmware logic solver.
Repeated SIF demand atau spurious trip.
Incident atau near-miss signifikan.
Perubahan risk matrix corporate.
Rekomendasi insurer.

✓ 2.3 Escalation Path

Perubahan tidak direview → Asumsi lama tetap digunakan → Residual risk meningkat → Proteksi tidak lagi memadai → Incident → Audit menemukan studi outdated

Revalidation adalah mekanisme pencegahan degradasi sistemik.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Time-Based Revalidation

Full HAZOP revalidation shall be conducted at maximum interval of 5 years.
LOPA and SIL verification shall be reviewed during revalidation.
High energy system scenarios shall receive focused review.

✓ 3.2 Event-Based Revalidation

The following events shall trigger mandatory review:

Major process modification.
Feedstock change affecting reaction kinetics.
Capacity increase beyond original design envelope.
Power architecture or utility distribution change.
Firmware or logic modification in SIS.
Major incident or near-miss.
Insurer high-severity finding.

✓ 3.3 Performance-Based Revalidation

Repeated SIF demand exceeding expected frequency shall trigger review.
Repeated spurious trip pattern shall trigger analysis.
Proof test overdue beyond threshold shall trigger risk review.
Repeated bypass events shall trigger reassessment.

✓ 3.4 Scope of Revalidation

Revalidation shall reassess initiating event frequency.
Independence of IPL shall be re-evaluated.
SIL justification shall be confirmed or updated.
Documentation shall reference original deviation and LOPA IDs.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan revalidation berkala sebagai bagian dari lifecycle functional safety.

CCPS menyatakan bahwa perubahan proses dapat mengubah profil risiko secara signifikan.

FM Global audit sering menemukan:

Studi lebih dari 10 tahun tidak direview.
Perubahan kapasitas tanpa revalidasi relief.
Modifikasi logic tanpa update LOPA.

Pada sistem seperti SMR dan hydrogenation:

Perubahan kecil pada duty dapat mempengaruhi margin keselamatan secara signifikan.
Degradasi material dapat mengubah konsekuensi rupture.

Tanpa mekanisme revalidation formal:

Dokumen tetap ada tetapi tidak mencerminkan kondisi aktual.
Defensibility terhadap insurer hilang.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Time Compliance

Tidak ada HAZOP yang melebihi 5 tahun tanpa revalidation.
High energy system memiliki review khusus dalam periode tersebut.

✓ 5.2 Event Compliance

Semua MOC signifikan menunjukkan bukti evaluasi trigger.
Semua firmware update memiliki review risiko terdokumentasi.
Semua capacity change memiliki review relief dan LOPA.

✓ 5.3 Performance KPI

0 catastrophic scenario dengan studi outdated.
100% repeated SIF demand memiliki documented review.
0 overdue proof test tanpa risk escalation.

☑ 6. EVIDENCE & RECORDS

HAZOP revalidation report
LOPA update worksheet
SIL re-verification calculation
MOC trigger checklist
Firmware change log
Incident investigation report
Insurer finding disposition record

Traceability:

Trigger Event → Revalidation Decision → Study Update → LOPA Review → SIL Confirmation → Approval Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika revalidation tidak dapat dilakukan tepat waktu:

Temporary risk assessment shall be conducted.
High energy scenarios shall be prioritized.
Executive approval required for extension beyond defined interval.
Duration of extension shall be limited and documented.

Tidak diperkenankan memperpanjang interval revalidation tanpa formal risk review.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Engineering & Operations Escalation Trigger:

HAZOP > 5 tahun tanpa revalidation
Major modification tanpa review
Insurer finding terkait outdated study
Incident yang menunjukkan assumption mismatch

Review minimum setiap 5 tahun atau segera setelah trigger event.

5. LOPA METHODOLOGY

5.1 Initiating Event Governance

Initiating event frequency shall be determined strictly in accordance with Annex A – A3.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan tata kelola penentuan frekuensi initiating event dalam LOPA pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga nilai frekuensi yang digunakan tidak bersifat asumtif, tidak vendor-driven, dan konsisten dengan corporate risk matrix serta dapat dipertanggungjawabkan secara teknis kepada auditor maupun insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Dalam LOPA, initiating event adalah pemicu awal deviasi proses, misalnya:

Control valve gagal menutup pada furnace fuel gas → heat input berlebih.
Cooling water loss pada reaktor → kenaikan temperatur eksotermis.
Level transmitter gagal mendeteksi kenaikan level tank → overfill.
Power dip menyebabkan trip pompa sirkulasi → distilasi tidak stabil.

Jika frekuensi initiating event ditetapkan terlalu rendah tanpa dasar kuat:

RRF yang dibutuhkan menjadi lebih kecil.
SIL dapat diturunkan.
Residual risk menjadi tidak realistis.

Sebaliknya, jika terlalu konservatif tanpa konsistensi:

Terjadi SIL inflation.
Biaya meningkat tanpa justifikasi.

Governance diperlukan agar initiating frequency berbasis hierarki data dan transparan.

✓ 2.2 Initiating Causes

Penggunaan data vendor tanpa validasi.
Tidak ada referensi ke database industri.
Tidak ada pembeda antara steady-state dan startup/shutdown.
Tidak mempertimbangkan site historical failure data.
Tidak mempertimbangkan hydrogen service atau fired heater exposure khusus.

✓ 2.3 Escalation Path

Frekuensi initiating event tidak realistis → LOPA menghasilkan RRF tidak akurat → SIL under-allocated atau over-allocated → Proteksi tidak proporsional → Residual risk > tolerable → Incident atau audit dispute

Initiating event governance adalah fondasi numerik defensibility LOPA.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Data Hierarchy Requirement

Initiating event frequency shall be determined using the following hierarchy:

Site historical data (if reliable and statistically sufficient).
Corporate aggregated data.
Recognized industry database (e.g., CCPS, OREDA, published failure rate sources).
Conservative engineering judgement (documented).

Lower hierarchy source shall only be used if higher hierarchy data unavailable.

✓ 3.2 High Energy System Adjustment

Initiating frequency for fired heater fuel system shall consider flame failure and combustion instability data.
Hydrogen service failure frequency shall consider material degradation mechanisms.
Startup and shutdown mode shall apply conditional modifier where credible.

✓ 3.3 Consistency Requirement

Initiating event frequencies shall be consistent across similar equipment types within the site.
Any deviation from corporate reference frequency shall be documented and justified.
Human error frequency shall reference recognized guideline ranges.

✓ 3.4 Documentation Requirement

Each initiating event shall include documented data source reference.
Assumptions shall be explicitly recorded in LOPA worksheet.
Uncertainty in frequency data shall be treated conservatively.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

CCPS LOPA Guideline menekankan bahwa initiating event frequency harus berbasis data yang dapat dipertanggungjawabkan.

IEC 61511 mensyaratkan bahwa risk reduction target harus didasarkan pada evaluasi risiko yang konsisten.

FM Global audit sering memeriksa:

Apakah data frekuensi berasal dari referensi kredibel?
Apakah frekuensi disesuaikan dengan kondisi site?
Apakah asumsi terdokumentasi?

Pada sistem seperti:

SMR → flame failure frequency memiliki karakteristik khusus.
Hydrogenation → kegagalan pada hydrogen service dapat dipengaruhi embrittlement.
Storage tank → pump failure dan level control failure memiliki data industri luas.

Tanpa governance:

Proyek dapat memilih angka paling menguntungkan.
LOPA menjadi tidak defensible.
SIL dapat dipertanyakan saat klaim insurer.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Data hierarchy guideline tersedia.
Corporate initiating event reference table tersedia.
LOPA template memiliki kolom “data source”.

✓ 5.2 Study Compliance

100% initiating event memiliki referensi data.
Tidak ada frekuensi berbasis opini tanpa dokumentasi.
Semua high energy scenario menunjukkan evaluasi khusus.

✓ 5.3 Performance KPI

0 LOPA tanpa data source reference.
100% deviation frekuensi memiliki justification terdokumentasi.
Konsistensi frekuensi antar unit serupa terjaga.

☑ 6. EVIDENCE & RECORDS

Corporate initiating event frequency table
LOPA worksheet dengan data source column
Site failure history log
Industry database reference list
Engineering judgement memo (jika digunakan)

Traceability:

Deviation ID → Initiating Event → Frequency Source → LOPA Calculation → RRF → SIL Decision → Approval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika data tidak tersedia:

Conservative upper-bound frequency shall be used.
Assumption shall be documented.
Approval oleh Process Safety Authority mandatory.

Penggunaan frekuensi yang lebih rendah dari referensi industri tanpa justifikasi kuantitatif tidak diperkenankan.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Reliability Engineering Escalation Trigger:

Insurer challenge terhadap initiating frequency
Inconsistent frequency antar proyek
Incident yang menunjukkan initiating frequency underestimated

Review dilakukan minimal setiap 5 tahun atau saat tersedia data site baru signifikan.

5.2 Conditional Modifier Policy

Conditional modifiers shall comply with Annex A – A3 limitation rules.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kebijakan penggunaan conditional modifier dalam LOPA pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga faktor seperti occupancy, ignition probability, dan escalation factor diterapkan secara konsisten, konservatif, dan tidak digunakan untuk menurunkan risiko secara tidak defensible.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Conditional modifier dalam LOPA umumnya mencakup:

Probability of ignition (untuk flammable release)
Probability of personnel presence (occupancy)
Probability of escalation (domino/fire exposure)
Probability of detection prior to consequence

Contoh pada site:

Kebocoran propylene → ignition probability bergantung pada sumber ignition.
Rupture hydrogen line → ignition hampir pasti karena energi tinggi.
Furnace explosion → occupancy mungkin rendah jika area terbatas.
Tank overfill → ignition probability bergantung pada ventilasi dan ignition source.

Jika modifier digunakan secara agresif (misalnya ignition probability sangat rendah tanpa dasar):

Residual risk turun signifikan.
RRF yang dibutuhkan menjadi kecil.
SIL dapat diturunkan.

Padahal pada high energy system, ignition probability seringkali tinggi.

✓ 2.2 Initiating Causes

Penggunaan default modifier terlalu optimis.
Tidak ada data pendukung occupancy.
Tidak mempertimbangkan startup/shutdown occupancy berbeda.
Tidak mempertimbangkan ignition source permanen (furnace, motor, hot surface).
Tidak ada aturan konservatif untuk hydrogen service.

✓ 2.3 Escalation Path

Conditional modifier terlalu rendah → Consequence frequency underestimated → RRF underestimated → SIL under-allocated → Catastrophic scenario tidak terlindungi → Audit insurer menemukan optimistic assumption

Conditional modifier adalah titik paling rentan manipulasi numerik dalam LOPA.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 General Application Rule

Conditional modifiers shall only be applied when supported by documented evidence.
Default conservative values shall be used in absence of site-specific data.
Conditional modifiers shall not be used to avoid required SIL allocation without technical justification.

✓ 3.2 Ignition Probability Policy

Ignition probability for hydrogen releases shall be considered high unless justified otherwise.
For releases near fired equipment or rotating machinery, ignition probability shall not be assumed low.
Documentation of ignition source evaluation shall be included in LOPA.

✓ 3.3 Occupancy Policy

Occupancy factor shall be based on documented personnel exposure study.
Startup, shutdown, and turnaround occupancy shall be considered where relevant.
Administrative control shall not be solely relied upon to justify low occupancy.

✓ 3.4 Escalation & Domino Factor

Escalation probability shall be considered where equipment spacing or fire exposure credible.
Storage tank scenarios shall evaluate tank-to-tank escalation potential.
Conditional modifier reducing domino probability shall require documented fire separation analysis.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

CCPS LOPA Guideline menyatakan bahwa conditional modifier hanya boleh digunakan bila ada dasar kuat.

ISO 31000 menekankan perlunya transparansi asumsi dalam evaluasi risiko.

FM Global secara konservatif menilai:

Ignition probability pada area proses flammable sering tinggi.
Domino effect harus diasumsikan kredibel bila separation distance terbatas.
Occupancy assumption harus realistis.

Pada sistem seperti:

SMR → ignition source selalu ada.
Hydrogenation → hidrogen memiliki rentang flammability luas.
Storage propylene → vapor cloud dapat menjalar sebelum ignition.

Tanpa kebijakan ini:

Conditional modifier dapat digunakan untuk “mengamankan angka”.
SIL menjadi tidak defensible.
Insurer dapat menolak asumsi optimis.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

LOPA worksheet mencantumkan conditional modifier secara eksplisit.
Setiap modifier memiliki referensi atau justification.
Tidak ada ignition probability rendah tanpa evaluasi ignition source.

✓ 5.2 Study Compliance

Occupancy factor memiliki referensi studi atau data shift.
Domino evaluation terdokumentasi untuk storage dan high energy system.
Tidak ada modifier digunakan tanpa kolom justification.

✓ 5.3 Performance KPI

0 LOPA menggunakan ignition probability < konservatif tanpa dokumentasi.
100% modifier memiliki reference note.
Semua high energy hydrogen scenario menggunakan conservative ignition assumption.

☑ 6. EVIDENCE & RECORDS

LOPA worksheet dengan conditional modifier column
Ignition source assessment document
Personnel occupancy study
Fire separation evaluation drawing
Corporate guideline for default modifier values

Traceability:

Deviation → Initiating Event → Conditional Modifier → Adjusted Frequency → RRF → SIL → Approval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika modifier optimis diusulkan:

Quantitative justification required.
Approval oleh Process Safety Authority mandatory.
Untuk catastrophic scenario, Corporate Risk Committee review required.
Insurer consultation required jika berdampak pada asset damage exposure.

Tidak diperkenankan menggunakan modifier sebagai pengganti engineering safeguard.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: HSE & Fire Protection Engineering Escalation Trigger:

Insurer challenge terhadap ignition assumption
Incident menunjukkan ignition lebih cepat dari asumsi
Repeated optimistic modifier use detected in audit

Review guideline modifier dilakukan minimal setiap 5 tahun.

5.3 IPL Qualification Framework

IPL qualification and independence criteria shall comply with Annex A – A4.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kerangka kualifikasi Independent Protection Layer (IPL) pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga hanya proteksi yang benar-benar independen, dapat diuji, dan memiliki keandalan terverifikasi yang boleh dikreditkan dalam LOPA, serta mencegah over-crediting yang dapat menyebabkan alokasi SIL yang tidak defensible.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Pada sistem berenergi tinggi:

Furnace fuel trip valve dapat gagal menutup.
Quench valve pada reaktor dapat gagal merespons.
PSV dapat gagal membuka akibat fouling.
Alarm dapat tidak ditindaklanjuti operator saat alarm flood.

Jika IPL dikreditkan tanpa memenuhi kriteria independensi dan testability:

RRF aktual lebih rendah dari yang dihitung.
Residual risk menjadi lebih tinggi dari tolerable level.
SIL dialokasikan lebih rendah dari kebutuhan aktual.

IPL yang hanya “terlihat ada” tetapi tidak memenuhi syarat adalah sumber utama kegagalan sistemik.

✓ 2.2 Initiating Causes

Alarm + operator dikreditkan tanpa studi response time.
BPCS loop dikreditkan sebagai IPL padahal tidak independen dari initiating cause.
PSV dikreditkan tanpa validasi sizing fire case.
Mechanical interlock dikreditkan tanpa bukti reliability.
Shared power membuat dua IPL berada dalam common cause domain.

✓ 2.3 Escalation Path

Non-qualified IPL dikreditkan → RRF overestimated → SIL under-allocated → High energy deviation tidak terkontrol → Loss of Containment → Fire / Explosion → Insurer dispute terhadap independence claim

IPL Qualification adalah jantung defensibility LOPA.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Independence Requirement

Sebuah IPL shall:

Be independent from the initiating cause.
Be independent from other credited IPL.
Not share logic solver, I/O module, upstream power feeder, or instrument air source unless justified.
Not reside within the same common cause domain.

✓ 3.2 Functional Effectiveness Requirement

IPL shall be capable of preventing or mitigating the consequence to a defined safe state.
Response time shall be validated against process dynamic analysis.
Final element shall be capable of achieving required action (e.g., valve closing time verified).

✓ 3.3 Reliability & Integrity Requirement

IPL shall have documented reliability basis.
For instrumented IPL, SIL verification (PFDavg) shall be available where applicable.
PSV credited as IPL shall be sized per API 521 and mechanically maintained.
Alarm credited as IPL shall comply with IEC 62682 performance criteria.

✓ 3.4 Testability & Auditability Requirement

IPL shall be periodically testable.
Proof test interval shall be defined.
Failure detection mechanism shall exist.
IPL performance shall be auditable via KPI.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

CCPS LOPA Guideline mendefinisikan IPL sebagai lapisan proteksi yang:

Independent
Auditable
Testable
Reliable

IEC 61511 menegaskan pentingnya independensi dan verifikasi SIL.

API 521 mengatur bahwa PSV hanya boleh dikreditkan bila sizing dan maintenance valid.

IEC 62682 mensyaratkan alarm hanya dapat dikreditkan bila:

Alarm rasionalisasi selesai
Flood index terkendali
Operator response time terdokumentasi

FM Global audit sering menemukan:

BPCS dikreditkan sebagai IPL tanpa independensi.
PSV dikreditkan tanpa validasi fire case.
Alarm dikreditkan tanpa KPI performa.

Tanpa framework ini:

IPL menjadi sekadar daftar safeguard.
RRF menjadi angka teoretis.
SIL tidak defensible.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Checklist kualifikasi IPL tersedia.
Setiap IPL dalam LOPA memiliki kolom independence justification.
PSV yang dikreditkan memiliki calculation record API 521.
Alarm yang dikreditkan memiliki IEC 62682 compliance record.

✓ 5.2 Operational Compliance

IPL memiliki proof test record.
Tidak ada IPL dikreditkan tanpa jadwal pengujian.
Tidak ada IPL dalam degraded state tanpa risk review.

✓ 5.3 Performance KPI

0 IPL tanpa documented qualification checklist.
100% instrumented IPL memiliki proof test interval terdokumentasi.
0 alarm dikreditkan sebagai IPL tanpa KPI compliance.

☑ 6. EVIDENCE & RECORDS

IPL qualification checklist
LOPA worksheet dengan independence column
SIL verification report (jika applicable)
API 521 relief calculation
Alarm rationalization record
Proof test procedure & record
Common cause analysis document

Traceability:

Deviation → Initiating Event → IPL Identification → Qualification Checklist → RRF Assignment → SIL Allocation → Proof Test → KPI

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika suatu safeguard tidak memenuhi seluruh kriteria IPL:

Safeguard shall not be credited as IPL.
Additional independent safeguard shall be implemented.
Quantitative justification required for exception.
Approval oleh Process Safety Authority mandatory.
Untuk high energy system, Corporate Risk Committee review required.

Tidak diperkenankan mengkreditkan IPL parsial.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Instrument & Control Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

Insurer challenge terhadap independence
IPL gagal saat demand
Repeated degraded IPL condition
SIL underestimation ditemukan dalam audit

Review framework dilakukan minimal setiap 5 tahun atau pasca insiden signifikan.

5.4 IPL Credit Limitation

Maximum RRF credit per IPL shall comply with Annex A – A4.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan batas maksimum Risk Reduction Factor (RRF) yang dapat dikreditkan untuk setiap jenis IPL pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga tidak terjadi over-crediting dalam LOPA yang dapat menyebabkan under-allocation SIL dan meningkatkan risiko catastrophic secara tersembunyi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Pada sistem berenergi tinggi:

Furnace fuel gas overfeed dapat berkembang sangat cepat.
Runaway reaksi hidrogenasi dapat meningkatkan tekanan dalam hitungan detik.
Overpressure kolom dapat melampaui design pressure sebelum operator merespons.
Storage overfill dapat berkembang menjadi vapor cloud dalam waktu singkat.

Jika satu IPL diberi kredit RRF terlalu tinggi (misalnya alarm + operator dianggap RRF 100 tanpa bukti), maka:

Total RRF dalam LOPA menjadi tidak realistis.
SIL requirement menjadi lebih rendah.
Residual risk aktual lebih tinggi dari hasil perhitungan.

Over-crediting adalah salah satu penyebab utama LOPA tidak defensible.

✓ 2.2 Initiating Causes

Menggunakan nilai RRF maksimum tanpa validasi performa.
Mengkreditkan dua IPL dengan domain kegagalan yang sama.
Mengkreditkan alarm dengan response time tidak tervalidasi.
Mengkreditkan PSV tanpa mempertimbangkan fire case sizing.
Tidak menerapkan batas RRF sesuai pedoman industri.

✓ 2.3 Escalation Path

IPL over-credited → Total RRF inflated → SIL under-allocated → Proteksi aktual tidak memadai → High energy release → Fire / Explosion → Audit menemukan optimistic RRF assumption

IPL Credit Limitation mencegah manipulasi numerik dalam LOPA.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Maximum RRF Policy

Maximum RRF per IPL type shall not exceed the following conservative limits unless justified:

BPCS control loop: RRF ≤ 10
Alarm + operator response: RRF ≤ 10
Mechanical relief device (PSV) properly sized: RRF ≤ 100
Mechanical interlock: RRF ≤ 100
SIL 1 SIF: RRF ≤ 100
SIL 2 SIF: RRF ≤ 1000
SIL 3 SIF: RRF ≤ 10000

No rounding down shall be permitted when determining required SIL.

✓ 3.2 No Double Counting Rule

IPL within the same functional loop shall not be double counted.
BPCS and alarm derived from same sensor shall not be credited as independent IPL.
Multiple relief devices connected to same header shall be evaluated for common cause.

✓ 3.3 Alarm Credit Restriction

Alarm credited as IPL shall meet IEC 62682 performance criteria.
Alarm flood condition shall invalidate alarm IPL credit until resolved.

✓ 3.4 High Energy System Limitation

High energy catastrophic scenarios shall demonstrate minimum two independent IPL regardless of total RRF.
RRF allocation shall not rely solely on one high-SIL SIF.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

CCPS LOPA Guideline memberikan batas tipikal RRF untuk jenis IPL tertentu.

IEC 61511 membatasi rentang RRF sesuai SIL band.

IEC 62682 menyatakan alarm hanya efektif bila:

Tidak terjadi flood.
Operator response time sesuai dinamika proses.

FM Global audit sering memeriksa:

Apakah alarm diberi kredit berlebihan?
Apakah PSV dikreditkan tanpa validasi sizing?
Apakah BPCS dan SIS benar-benar independen?

Tanpa batas kredit:

LOPA dapat “diatur” untuk menghasilkan SIL lebih rendah.
Proteksi terlihat cukup secara numerik tetapi tidak secara fisik.
Defensibility hilang saat audit insurer.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

LOPA worksheet mencantumkan RRF per IPL.
Tidak ada IPL melebihi batas maksimum tanpa justification formal.
Tidak ada rounding down saat menentukan SIL band.

✓ 5.2 Operational Compliance

Alarm yang dikreditkan menunjukkan KPI dalam batas IEC 62682.
PSV yang dikreditkan memiliki record sizing dan maintenance.
Tidak ada catastrophic scenario dengan single high-SIL reliance.

✓ 5.3 Performance KPI

0 LOPA menggunakan RRF melebihi batas tanpa approval.
100% SIL allocation konsisten dengan RRF band.
Tidak ada double counting IPL dalam audit internal.

☑ 6. EVIDENCE & RECORDS

Corporate IPL credit table
LOPA worksheet lengkap
SIL verification report
Alarm KPI report
PSV sizing calculation (API 521 reference)
Independence checklist

Traceability:

Deviation → Initiating Event → IPL List → RRF per IPL → Total RRF → Required SIL → Approval → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika proyek mengusulkan RRF lebih tinggi dari batas:

Quantitative justification required (misalnya detailed reliability analysis).
Approval oleh Process Safety Authority mandatory.
Untuk high energy system, Corporate Risk Committee approval required.
Insurer consultation required bila berdampak pada catastrophic exposure.

Tidak diperkenankan menurunkan SIL melalui manipulasi RRF.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Instrument & Control Engineering Escalation Trigger:

RRF exceedance ditemukan saat audit
Insurer challenge terhadap IPL credit
Incident menunjukkan IPL performa lebih rendah dari asumsi

Review tabel RRF dilakukan minimal setiap 5 tahun atau saat revisi standar industri.

5.5 Residual Risk Rule

Required RRF and residual risk comparison shall comply with Annex A – A5 and Annex A – A1.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan aturan perhitungan dan penerimaan residual risk dalam LOPA pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga hasil akhir evaluasi risiko tidak hanya berhenti pada perhitungan RRF, tetapi diverifikasi secara eksplisit terhadap tolerable frequency dalam corporate risk matrix dan tidak ada skenario catastrophic yang diterima tanpa pengurangan risiko tambahan atau persetujuan formal sesuai governance.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Residual risk adalah frekuensi kejadian setelah seluruh IPL dikreditkan:

Residual Risk = Initiating Event Frequency ÷ (Product of IPL RRF)

Pada sistem berenergi tinggi:

SMR fuel gas overfeed
Runaway reaktor hidrogenasi
Overpressure kolom distilasi
Tank overfill propylene

Jika total RRF terlihat cukup tetapi:

IPL tidak independen,
Conditional modifier terlalu optimis,
RRF over-credited,

maka residual risk aktual lebih tinggi dari hasil LOPA.

Kesalahan umum:

Residual risk sedikit di atas tolerable tetapi diterima tanpa eskalasi.
Borderline case dibulatkan ke bawah untuk menghindari peningkatan SIL.

✓ 2.2 Initiating Causes

Tidak ada aturan konservatif untuk borderline frequency.
Tidak ada verifikasi terhadap risk matrix.
Tidak ada kewajiban tambahan IPL bila residual risk mendekati batas.
Tidak ada formal risk acceptance bila melebihi tolerable band.

✓ 2.3 Escalation Path

Residual risk > tolerable → Tidak ada tambahan proteksi → Risiko aktual di atas threshold corporate → Catastrophic event → Audit menemukan risk acceptance tidak terdokumentasi → Governance failure

Residual Risk Rule adalah pagar terakhir sebelum keputusan SIL dikunci.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Calculation Rule

Residual risk shall be calculated explicitly in every LOPA.
All IPL RRF values shall be multiplied without rounding down.
Borderline results shall be treated conservatively toward higher risk.

✓ 3.2 Tolerable Comparison Rule

Residual risk shall be compared against the tolerable frequency defined in corporate risk matrix.
If residual risk exceeds tolerable frequency, additional protection shall be required.
Residual risk shall not be accepted informally.

✓ 3.3 Borderline Treatment Rule

If residual risk falls within 10% of tolerable threshold, next higher SIL shall be selected unless justified.
No downward adjustment of initiating frequency shall be used to force compliance.

✓ 3.4 Formal Risk Acceptance Rule

Acceptance of residual risk within tolerable band shall follow defined approval hierarchy.
Residual risk exceeding tolerable band shall require Corporate Risk Committee approval if temporary acceptance is considered.
Catastrophic scenario exceeding tolerable frequency shall not proceed without additional IPL unless executive-level approval documented.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan bahwa risk reduction target harus dicapai sebelum SIF dianggap memadai.

CCPS LOPA menegaskan bahwa residual risk harus dibandingkan dengan tolerable frequency yang telah ditetapkan.

ISO 31000 menekankan bahwa penerimaan risiko harus eksplisit dan terdokumentasi.

FM Global audit sering memeriksa:

Apakah residual risk benar-benar di bawah threshold?
Apakah borderline case ditangani konservatif?
Apakah ada formal sign-off untuk risk acceptance?

Tanpa Residual Risk Rule:

LOPA hanya menjadi latihan matematis.
Keputusan SIL dapat dipengaruhi target biaya.
Risiko catastrophic dapat diterima tanpa transparansi manajerial.

Residual Risk Rule memastikan bahwa angka akhir LOPA memiliki konsekuensi governance yang jelas.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Setiap LOPA menunjukkan residual risk calculation.
Tolerable frequency reference dicantumkan.
Tidak ada rounding down dalam SIL determination.

✓ 5.2 Governance Compliance

Semua residual risk dalam tolerable band memiliki approval record.
Semua exceedance memiliki record tambahan IPL atau eskalasi.

✓ 5.3 Performance KPI

0 LOPA tanpa residual risk calculation.
0 catastrophic scenario dengan residual risk > tolerable tanpa documented escalation.
100% borderline case memiliki justification formal.

☑ 6. EVIDENCE & RECORDS

LOPA worksheet lengkap (including residual risk column)
Corporate risk matrix reference
SIL approval log
Additional IPL justification memo
Executive risk acceptance record (jika applicable)

Traceability:

Deviation → Initiating Event → IPL → Total RRF → Residual Risk → Matrix Comparison → SIL Decision → Approval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika residual risk tidak dapat dikurangi segera:

Temporary compensating safeguard shall be implemented.
Duration limit shall be defined.
Executive approval mandatory.
Revalidation schedule shall be defined.

Tidak diperkenankan menerima residual risk catastrophic secara permanen tanpa additional engineering safeguard.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Approval Authority: Corporate Risk Committee (untuk exceedance) Escalation Trigger:

Residual risk > tolerable threshold
Borderline SIL case
Insurer challenge terhadap LOPA result

Review dilakukan setiap kali LOPA diperbarui atau saat risk matrix direvisi.

6. SIL DETERMINATION POLICY

6.1 RRF Allocation Strategy

RRF to SIL mapping shall strictly follow Annex A – A5.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan strategi distribusi Risk Reduction Factor (RRF) antar IPL pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga alokasi SIL tidak menjadi solusi tunggal untuk memenuhi target residual risk dan pembagian proteksi dilakukan secara seimbang antara inherent, passive, dan active safeguard dengan mempertimbangkan independensi serta keandalan jangka panjang.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Pada skenario berenergi tinggi:

SMR fuel overfeed dapat berkembang cepat → membutuhkan isolasi cepat.
Runaway reaktor hidrogenasi → tekanan meningkat eksponensial.
Kolom distilasi fire case → overpressure sebelum operator bereaksi.
Tank overfill → flashing → vapor cloud.

Jika seluruh RRF dibebankan pada satu SIF dengan SIL tinggi:

Ketergantungan pada satu logic solver meningkat.
Common cause (power, air, firmware) dapat melumpuhkan seluruh proteksi.
Degradasi proof test berdampak signifikan pada risk profile aktual.

Distribusi RRF yang tidak seimbang menciptakan single-point reliance terselubung.

✓ 2.2 Initiating Causes

Keinginan proyek meminimalkan modifikasi mechanical/pasif.
Over-reliance pada SIS karena lebih “mudah” ditambahkan.
Tidak ada batas maksimum RRF dari satu layer.
Tidak ada evaluasi alternatif inherent/passive safeguard.

✓ 2.3 Escalation Path

Total RRF besar dari satu SIF → Proteksi terlihat cukup secara numerik → Single failure atau common cause terjadi → Semua RRF hilang sekaligus → Catastrophic event

Strategi alokasi RRF harus mencegah ketergantungan terpusat.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Balanced Allocation Requirement

RRF shall be distributed across independent protection layers where feasible.
SIS shall not be the first option for risk reduction if inherent or passive safeguard feasible.
No single IPL shall provide more than 90% of total required RRF unless justified.

✓ 3.2 High Energy System Rule

High energy catastrophic scenarios shall demonstrate minimum two independent IPL contributing to total RRF.
SIL 3 allocation shall not replace evaluation of passive safeguards (e.g., relief, fireproofing, separation).

✓ 3.3 Maximum Reliance on SIS

SIS contribution shall be capped within its SIL band.
Additional RRF beyond SIL 3 range shall not be achieved through single SIF escalation.
SIL 4 shall not be used in process industry context.

✓ 3.4 Lifecycle Sustainability Requirement

Allocation strategy shall consider maintainability and proof test feasibility.
RRF distribution shall consider realistic availability and diagnostic coverage.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menyatakan bahwa SIF adalah bagian dari keseluruhan strategi risk reduction, bukan satu-satunya solusi.

CCPS LOPA menekankan pentingnya independensi antar IPL.

API 521 menunjukkan bahwa relief system adalah bagian fundamental proteksi overpressure.

FM Global menilai desain yang hanya mengandalkan SIS sebagai kurang robust terhadap:

Power failure
Fire exposure
Maintenance error
Cyber domain common cause

Distribusi RRF memastikan bahwa kegagalan satu layer tidak langsung menghilangkan seluruh margin keselamatan.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

LOPA menunjukkan distribusi RRF antar minimal dua IPL untuk skenario catastrophic.
Tidak ada skenario high energy yang bergantung pada satu SIF saja.
Evaluasi inherent/passive safeguard terdokumentasi sebelum peningkatan SIL.

✓ 5.2 Verification Compliance

SIL band konsisten dengan RRF allocated.
Tidak ada SIL 3 digunakan untuk menghindari modifikasi mechanical yang feasible.

✓ 5.3 Performance KPI

0 catastrophic scenario dengan >90% RRF dari satu IPL tanpa justification.
100% SIL ≥ 2 memiliki documented allocation review.
Tidak ada SIL 4 dalam dokumen site.

☑ 6. EVIDENCE & RECORDS

LOPA worksheet dengan RRF breakdown
SIL allocation summary table
Inherent safety evaluation record
Relief calculation record (API 521)
Approval record untuk SIL ≥ 2

Traceability:

Scenario → Required RRF → IPL List → RRF per IPL → Total RRF → Residual Risk → SIL → Approval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika distribusi RRF tidak memungkinkan (misalnya brownfield constraint):

Quantitative risk justification required.
Additional independent safeguard shall be evaluated.
Approval oleh Process Safety Authority mandatory.
Untuk SIL 3 dominance, Corporate Risk Committee approval required.
Insurer consultation required jika exposure signifikan.

Tidak diperkenankan mengonsentrasikan seluruh risk reduction pada satu SIF tanpa dokumentasi formal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Process & Instrument Engineering Escalation Trigger:

SIL 3 allocation pada high energy system
RRF concentration >90% pada satu IPL
Insurer challenge terhadap architecture robustness
Incident menunjukkan single-layer vulnerability

Review strategi dilakukan minimal setiap 5 tahun atau saat revisi risk matrix.

6.2 Minimum SIL for High Energy Systems

High energy mandatory SIL floor shall comply with Annex A – A7.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kebijakan SIL minimum pada sistem berenergi tinggi di fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga skenario dengan potensi catastrophic tidak bergantung pada hasil LOPA yang terlalu optimis dan tetap memiliki tingkat integritas proteksi minimum yang konsisten serta defensible terhadap audit insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Sistem berenergi tinggi memiliki karakteristik:

SMR (fired heater): kegagalan flame detection atau fuel trip → akumulasi gas → furnace explosion.
Hydrogenation reactor: runaway eksotermis → rapid pressure rise → vessel rupture.
Distillation column dengan fire exposure: overpressure dinamis → rupture.
Storage propylene: overfill → flashing → vapor cloud → ignition.

Waktu eskalasi seringkali sangat singkat dan margin kesalahan kecil.

Jika SIL ditentukan hanya berdasarkan angka LOPA tanpa batas minimum:

Conditional modifier optimis dapat menurunkan kebutuhan SIL.
Initiating frequency rendah dapat menghasilkan SIL 1 padahal konsekuensi catastrophic.
Proteksi tidak proporsional terhadap severity.

✓ 2.2 Initiating Causes

LOPA menghasilkan RRF rendah karena ignition modifier kecil.
Over-crediting IPL pasif.
Penggunaan initiating frequency historis rendah tanpa mempertimbangkan high energy exposure.
Tekanan proyek untuk menekan biaya instrumentasi.

✓ 2.3 Escalation Path

SIL terlalu rendah pada high energy system → Kegagalan tunggal tidak tertangani → Energi dilepas tanpa isolasi cepat → Catastrophic event → Investigasi menunjukkan “insufficient integrity level” → Governance & insurer challenge

Minimum SIL policy adalah lapisan konservatif tambahan.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Fired Heater (SMR) Requirement

Automatic fuel shutoff function for SMR shall be minimum SIL 2.
Flame failure detection and burner management critical trip shall be minimum SIL 2.
Shared BPCS logic shall not be credited as equivalent to SIL.

✓ 3.2 Hydrogenation Reactor Requirement

High temperature trip preventing runaway shall be minimum SIL 2.
High pressure trip protecting reactor mechanical integrity shall be minimum SIL 2.
Where consequence classified catastrophic and escalation rapid, SIL 3 shall be evaluated.

✓ 3.3 Distillation with Fire Case Exposure

High pressure shutdown protecting column from fire-induced overpressure shall be minimum SIL 1, and SIL 2 where consequence catastrophic.
Reboiler heat input shutdown shall be evaluated for SIL 2 if runaway heat input credible.

✓ 3.4 Flammable Storage (Propylene) Requirement

High-high level automatic shutdown preventing overfill shall be minimum SIL 2.
Independent overfill protection shall comply with API 2350 and meet SIL requirement derived from LOPA, but not below SIL 2 for large inventory catastrophic exposure.

✓ 3.5 Override & Downgrade Restriction

SIL downgrade below defined minimum shall not be permitted without Corporate Risk Committee approval.
Conditional modifier shall not be used to justify reduction below minimum SIL.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 memungkinkan penetapan target SIL berbasis risk assessment, namun tidak melarang kebijakan minimum untuk sistem kritikal.

API 556 menekankan pentingnya sistem trip independen pada fired heater.

API 2350 mensyaratkan independent overfill protection untuk storage tank.

FM Global secara konsisten menilai:

Fired equipment sebagai high hazard category.
Hydrogen service sebagai high consequence exposure.
Large flammable storage sebagai major property loss risk.

Minimum SIL policy memberikan:

Margin konservatif terhadap ketidakpastian data.
Konsistensi antar proyek.
Perlindungan tambahan terhadap manipulasi numerik LOPA.

Tanpa kebijakan ini, SIL dapat turun akibat asumsi optimis meskipun konsekuensi catastrophic.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Semua high energy SIF menunjukkan SIL ≥ minimum policy.
Tidak ada furnace fuel trip dengan SIL < 2.
Tidak ada storage overfill SIF dengan SIL < 2 untuk tank besar.

✓ 5.2 Governance Compliance

Semua SIL downgrade dari minimum memiliki approval Corporate Risk Committee.
LOPA menunjukkan bahwa minimum SIL policy dipertimbangkan.

✓ 5.3 Performance KPI

100% high energy SIF memenuhi minimum SIL policy.
0 catastrophic high energy scenario dengan SIL 1 tanpa justification formal.
Tidak ada override terhadap minimum SIL tanpa documented approval.

☑ 6. EVIDENCE & RECORDS

High energy SIF register
LOPA worksheet
SIL verification report
SRS document
API 2350 compliance checklist
Furnace safety review record
SIL approval log

Traceability:

High Energy Scenario → LOPA → Required RRF → Minimum SIL Policy Check → Final SIL → Approval → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika minimum SIL tidak dapat dipenuhi (misalnya brownfield limitation):

Quantitative risk evaluation required.
Additional independent safeguard shall be implemented.
Approval oleh Process Safety Authority mandatory.
Corporate Risk Committee approval mandatory.
Insurer consultation required for catastrophic exposure.

Tidak diperkenankan mengurangi SIL di bawah minimum untuk high energy system tanpa documented executive acceptance.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Instrument & Control Engineering Approval Authority: Corporate Risk Committee (untuk deviasi)

Escalation Trigger:

Proposal SIL < minimum policy
Insurer finding terkait fired heater atau storage protection
Incident near-miss pada high energy system

Review kebijakan minimum dilakukan minimal setiap 5 tahun atau pasca insiden signifikan.

6.3 SIL Verification Method

PFDavg calculation, β-factor, architecture constraint, and proof test interval shall comply with Annex A – A6.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan metode verifikasi SIL yang konsisten dan kuantitatif pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga nilai SIL yang telah ditentukan melalui LOPA benar-benar dicapai secara teknis melalui perhitungan PFDavg, evaluasi arsitektur, dan validasi interval proof test, serta dapat dipertahankan secara defensible terhadap audit regulator dan insurer.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

SIF yang secara konseptual ditetapkan sebagai SIL 2 atau SIL 3 dapat gagal memenuhi target jika:

Failure rate sensor terlalu tinggi.
Final element memiliki stroke time lebih lambat dari dinamika proses.
Proof test interval terlalu panjang.
Diagnostic coverage tidak realistis.
Common cause (β-factor) tidak diperhitungkan.

Pada sistem berenergi tinggi:

SMR fuel trip harus menutup sebelum akumulasi gas berbahaya.
Reactor high temperature trip harus bertindak sebelum runaway tidak terkendali.
Tank overfill shutdown harus lebih cepat dari kenaikan level kritis.

Tanpa verifikasi matematis, SIL hanya menjadi label administratif.

✓ 2.2 Initiating Causes

Mengandalkan datasheet vendor tanpa FMEDA valid.
Tidak menghitung PFDavg secara eksplisit.
Tidak memasukkan β-factor pada arsitektur redundan.
Tidak memvalidasi closing time valve.
Tidak mempertimbangkan common cause power atau instrument air.

✓ 2.3 Escalation Path

SIL assigned but not verified → Actual PFDavg > target range → Required RRF tidak tercapai → Residual risk underestimated → Catastrophic event → Audit menemukan lack of verification

Verifikasi SIL adalah jembatan antara teori LOPA dan performa aktual sistem.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Quantitative Verification Requirement

SIL verification shall be performed using PFDavg calculation for low demand SIF.
Calculation shall include sensor, logic solver, and final element.
Target PFDavg shall fall within IEC 61511 SIL band.

✓ 3.2 Failure Data Requirement

Failure rate data shall be sourced from recognized database or validated FMEDA.
Data source shall be documented.
Conservative assumption shall be applied for uncertainty.

✓ 3.3 Architectural Constraint Requirement

Hardware fault tolerance shall comply with IEC 61511 requirements.
β-factor shall be applied for redundant architecture.
Common cause assumptions shall be documented.

✓ 3.4 Proof Test & Diagnostic Coverage Requirement

Proof test interval shall be explicitly included in PFDavg calculation.
Diagnostic coverage shall be included only if documented and validated.
Partial stroke testing shall only be credited if effectiveness validated.

✓ 3.5 Response Time Validation

Total SIF response time (sensor + logic + final element) shall be less than process safety time.
Closing time of valves shall be field validated.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan verifikasi kuantitatif bahwa SIF memenuhi target SIL.

IEC 61508 mengatur systematic capability dan arsitektur hardware.

CCPS menyatakan bahwa LOPA hanya menentukan RRF target, bukan membuktikan pencapaian RRF tersebut.

FM Global audit sering meminta:

Bukti perhitungan PFDavg.
Validasi data failure rate.
Bukti test interval sesuai desain.
Bukti bahwa response time cukup terhadap dinamika proses.

Tanpa verifikasi:

SIL dapat “ditetapkan” tanpa integritas aktual.
Perubahan proof test interval dapat meningkatkan PFDavg tanpa terdeteksi.
Risiko aktual dapat meningkat diam-diam selama operasi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

PFDavg calculation tersedia untuk setiap SIF.
PFDavg berada dalam rentang SIL yang ditetapkan.
β-factor dan proof test interval tercantum dalam perhitungan.
Response time calculation tersedia dan diverifikasi.

✓ 5.2 Operational Compliance

Proof test interval aktual sesuai dengan asumsi dalam perhitungan.
Tidak ada SIF beroperasi di luar arsitektur yang diverifikasi.
Firmware update memicu re-verification jika relevan.

✓ 5.3 Performance KPI

100% SIF memiliki SIL verification report.
0 SIF dengan PFDavg melebihi SIL band tanpa corrective action.
0 deviation antara assumed dan actual proof test interval > threshold.

☑ 6. EVIDENCE & RECORDS

SIL verification calculation report
Failure rate data source reference
FMEDA document (jika applicable)
Proof test interval record
Valve stroke time test record
Architecture diagram (sensor, logic, final element)

Traceability:

Deviation → LOPA → Required RRF → Target SIL → PFDavg Calculation → Verified SIL → Proof Test → KPI Monitoring

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika PFDavg tidak memenuhi target:

Architecture upgrade shall be implemented (e.g., 1oo2, 2oo3).
Proof test interval shall be reduced.
Higher integrity final element shall be selected.
Approval oleh Process Safety Authority mandatory.
Untuk high energy system, Corporate Risk Committee review required.

Tidak diperkenankan menerima PFDavg di luar band SIL tanpa corrective action.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Instrument & Control Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

PFDavg exceeds SIL band
Proof test overdue beyond tolerance
Insurer request for SIL audit
Incident involving SIF failure

Review dilakukan setiap perubahan arsitektur, perubahan interval proof test, atau setiap revalidation HAZOP.

6.4 Documentation of Justification

SIL justification shall demonstrate full compliance with Annex A – A3 through A6:
A3 – INITIATING EVENT FREQUENCY GOVERNANCE
A4 – IPL CREDIT GOVERNANCE
A5 – RRF TO SIL MAPPING & MINIMUM SIL FLOOR
A6 – PFDavg Calculation & Hardware Integrity Governance

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan dokumentasi pembenaran (justification) atas setiap keputusan SIL pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga seluruh asumsi, perhitungan, batasan, dan persetujuan terdokumentasi secara lengkap dan memungkinkan penelusuran menyeluruh dari deviation HAZOP hingga performa aktual SIF selama operasi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

SIL sering kali “benar secara angka” tetapi tidak defensible karena:

Tidak ada referensi deviation HAZOP.
Tidak ada catatan initiating frequency source.
Tidak ada dokumentasi conditional modifier.
Tidak ada alasan pemilihan arsitektur 1oo2 vs 2oo3.
Tidak ada bukti bahwa minimum SIL policy telah dipertimbangkan.
Tidak ada bukti bahwa response time lebih cepat dari process safety time.

Pada sistem berenergi tinggi:

Kegagalan dokumentasi dapat menyebabkan ketidakmampuan membuktikan bahwa furnace trip SIL 2 memang memenuhi target.
Reaktor runaway trip dapat dipertanyakan jika β-factor tidak terdokumentasi.
Overfill protection tank dapat ditantang jika API 2350 alignment tidak dicatat.

Ketiadaan dokumentasi = ketiadaan defensibility.

✓ 2.2 Initiating Causes

LOPA dan SIL verification disimpan terpisah tanpa cross-reference.
Tidak ada format baku untuk SRS justification.
Tidak ada log perubahan asumsi setelah MOC.
Tidak ada approval record formal untuk SIL ≥ 2.

✓ 2.3 Escalation Path

SIL decision undocumented → Audit atau incident investigation → Assumption tidak dapat dibuktikan → Governance credibility hilang → Insurer challenge / claim dispute

Dokumentasi adalah penghubung antara engineering dan governance.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Traceability Requirement

Each SIF shall have documented linkage to:

HAZOP Deviation ID
LOPA Scenario ID
Initiating event frequency source
Conditional modifier justification
Required RRF calculation
Final SIL determination

✓ 3.2 Assumption Documentation Requirement

All initiating frequency assumptions shall be recorded.
All conditional modifiers shall include written justification.
β-factor and diagnostic coverage assumptions shall be explicitly stated.
Process safety time basis shall be documented.

✓ 3.3 Architecture Justification Requirement

Selection of voting architecture (1oo1, 1oo2, 2oo3) shall be justified.
Proof test interval selection shall include rationale.
Any deviation from minimum SIL policy shall include approval record.

✓ 3.4 Approval & Sign-off Requirement

SIL ≥ 2 shall require Process Safety Authority approval.
SIL 3 shall require Corporate Risk Committee acknowledgment.
All justification documents shall be controlled under document management system.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan dokumentasi lifecycle functional safety, termasuk SRS dan verifikasi.

IEC 61508 menekankan pentingnya systematic documentation untuk menghindari systematic failure.

ISO 31000 mengharuskan keputusan penerimaan risiko terdokumentasi.

FM Global audit biasanya meminta:

Bukti bahwa SIL decision berbasis LOPA.
Bukti bahwa proof test interval sesuai perhitungan.
Bukti bahwa independence claim terdokumentasi.
Bukti approval untuk high-risk scenario.

Tanpa dokumentasi formal:

SIL tidak dapat dipertahankan secara hukum maupun asuransi.
Perubahan asumsi selama operasi tidak terdeteksi.
Risiko dapat meningkat tanpa jejak audit.

Dokumentasi pembenaran menjamin kesinambungan antara desain, operasi, dan audit.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Setiap SIF memiliki SRS yang mencantumkan SIL dan dasar penentuannya.
LOPA ID tercantum dalam SRS.
SIL verification report tersedia dan direferensikan.
Approval record tersedia untuk SIL ≥ 2.

✓ 5.2 Operational Compliance

Semua perubahan SIF melalui MOC mencantumkan update justification.
Tidak ada SIF aktif tanpa SRS terdokumentasi.
Firmware update memiliki review dokumentasi SIL.

✓ 5.3 Performance KPI

100% SIF memiliki full traceability mapping.
0 SIL ≥ 2 tanpa approval record.
0 SIF tanpa documented initiating frequency reference.

☑ 6. EVIDENCE & RECORDS

Safety Requirement Specification (SRS)
LOPA worksheet
SIL verification report
Initiating frequency reference table
Conditional modifier justification memo
β-factor calculation record
Approval log (PSA / Corporate Risk Committee)
Document control revision log

Traceability:

Deviation ID → LOPA ID → Required RRF → SIL Decision → SRS Clause → Verification Report → Proof Test Record → KPI Monitoring

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika dokumentasi tidak lengkap:

SIF shall be classified as non-compliant.
Immediate documentation recovery plan shall be initiated.
Risk review mandatory for high energy system.
Executive notification required if catastrophic exposure involved.

Tidak diperkenankan mengoperasikan SIF tanpa dokumentasi pembenaran lengkap untuk high energy scenario.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Instrument & Control Engineering Document Control: Corporate Engineering Governance

Escalation Trigger:

Missing SIL justification in audit
Insurer request for documentation
Incident involving undocumented SIF assumption

Review dokumentasi dilakukan pada setiap revalidation HAZOP dan setiap perubahan SIF melalui MOC.

7. BPCS & SIS SEGREGATION POLICY

7.1 Functional Independence Requirement

Independence claim shall satisfy Annex A – A4 independence criteria.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan independensi fungsional antara BPCS dan SIS pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga kegagalan pada sistem kontrol dasar (BPCS) tidak secara simultan menonaktifkan fungsi proteksi keselamatan (SIS) dan tidak terjadi common cause failure yang menghilangkan seluruh RRF pada skenario catastrophic.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Pada sistem berenergi tinggi:

SMR: kegagalan kontrol rasio fuel/air dapat menyebabkan flame instability.
Reaktor hidrogenasi: kegagalan kontrol temperatur dapat memicu runaway.
Kolom distilasi: kegagalan kontrol level dapat menyebabkan flooding dan overpressure.
Storage propylene: kegagalan kontrol level dapat menyebabkan overfill.

Jika BPCS dan SIS tidak independen secara fungsional:

Logic solver shared → firmware fault mematikan keduanya.
Shared input module → failure I/O menghilangkan kontrol & proteksi.
Shared power upstream → power dip mematikan dua sistem.
Shared engineering workstation → cyber event berdampak ke dua sistem.

Dalam kondisi ini, satu initiating cause dapat melumpuhkan seluruh proteksi aktif.

✓ 2.2 Initiating Causes

Integrasi BPCS dan SIS dalam satu CPU.
Penggunaan shared I/O untuk efisiensi biaya.
Shared network tanpa zoning.
Shared power supply tanpa segregation.
Shared configuration database.

✓ 2.3 Escalation Path

BPCS failure → Process deviation → SIS tidak independen (logic/power shared) → SIF gagal bertindak → Loss of Containment → Fire / Explosion → Insurer menemukan common cause architecture

Functional independence adalah syarat utama agar SIS benar-benar lapisan proteksi independen.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Logic Independence

SIS shall use independent logic solver separate from BPCS CPU.
SIS application program shall be segregated from BPCS control program.
Modification of BPCS logic shall not affect SIS functionality.

✓ 3.2 Input/Output Independence

SIS shall not share input modules with BPCS for the same safety function.
Shared sensor shall only be permitted with documented independence analysis.
Voting architecture for SIS shall be independent from BPCS processing.

✓ 3.3 Functional Domain Independence

SIS function shall not rely on BPCS calculation or control output.
SIS shall be capable of operating under BPCS failure condition.
Network communication between BPCS and SIS shall not compromise SIS autonomy.

✓ 3.4 Power Supply Functional Separation

SIS logic solver shall be supplied from independent power source.
Upstream breaker feeding SIS shall not be common with BPCS upstream breaker.
UPS segregation shall be maintained for high energy system.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan independensi antara BPCS dan SIS untuk menghindari common cause failure.

IEC 61508 menekankan pentingnya separation untuk mencegah systematic fault propagation.

FM Global audit sering memeriksa:

Apakah SIS benar-benar independen dari BPCS?
Apakah shared architecture berpotensi melanggar independence claim?
Apakah power segregation cukup untuk mencegah simultaneous loss?

Pada sistem seperti SMR:

Flame control sering berada di BPCS, tetapi trip harus berada di SIS independen.
Pada reaktor hidrogenasi, control temperature loop tidak boleh menjadi satu-satunya proteksi runaway.

Tanpa independensi fungsional:

LOPA credit untuk SIS menjadi tidak valid.
RRF aktual lebih rendah dari perhitungan.
Catastrophic scenario dapat berkembang tanpa intervensi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Architecture diagram menunjukkan logic solver terpisah.
Tidak ada shared CPU antara BPCS dan SIS.
Tidak ada shared I/O untuk SIF tanpa documented independence analysis.
Power supply upstream segregation terdokumentasi.

✓ 5.2 Verification Compliance

Independence checklist tersedia untuk setiap SIF.
SIL verification mempertimbangkan architecture separation.
Network zoning diagram menunjukkan segregation.

✓ 5.3 Performance KPI

0 SIF bergantung pada BPCS logic.
100% high energy SIF memiliki independent logic solver.
Tidak ada shared upstream breaker antara BPCS dan SIS pada high energy unit.

☑ 6. EVIDENCE & RECORDS

Control system architecture diagram
SIS & BPCS segregation checklist
Power single line diagram
Network zoning diagram
SIL verification report referencing architecture
MOC record untuk perubahan arsitektur

Traceability:

Deviation → LOPA → Required SIL → Architecture Selection → Independence Verification → SRS → Installation → Audit

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika arsitektur shared tidak dapat dihindari (brownfield constraint):

Detailed common cause analysis shall be conducted.
Additional independent safeguard shall be implemented.
Approval oleh Process Safety Authority mandatory.
Corporate Risk Committee approval required for high energy exposure.
Insurer consultation required.

Tidak diperkenankan mengklaim SIS sebagai IPL independen bila functional independence tidak dapat dibuktikan.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Instrument & Control Engineering Manager Oversight: Process Safety Authority Escalation Trigger:

Proposal shared CPU/I-O architecture
Insurer finding terkait common cause
Incident involving simultaneous BPCS & SIS failure

Review independensi dilakukan setiap perubahan arsitektur dan setiap revalidation HAZOP.

7.2 Physical & Electrical Segregation

Shared infrastructure limitations shall comply with Annex A – A6 β-factor rules and Annex A – A7 utility dependency cap.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan segregasi fisik dan elektrikal antara BPCS dan SIS serta antar IPL kritikal pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga kejadian kebakaran, kegagalan catu daya, gangguan listrik, atau kerusakan fisik lokal tidak secara simultan melumpuhkan lebih dari satu lapisan proteksi dan tidak menciptakan common cause domain tersembunyi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Pada sistem berenergi tinggi:

SMR radiant box fire dapat merambat ke area kabinet kontrol terdekat.
Arc flash pada MCC dapat mematikan feeder bersama.
Kebakaran pada cable tray dapat merusak kabel BPCS dan SIS sekaligus.
UPS failure tunggal dapat melumpuhkan dua sistem jika tidak dipisah.

Mekanisme fisik dominan:

Fire exposure
Thermal radiation
Arc flash & short circuit
Flooding atau water ingress
Mechanical impact

Jika kabinet, tray kabel, atau feeder tidak dipisahkan:

Satu kejadian fisik → Kehilangan BPCS & SIS simultan → Tidak ada intervensi otomatis → Escalation cepat → Catastrophic event

✓ 2.2 Initiating Causes

Cabinet BPCS dan SIS berada dalam satu ruangan tanpa fire separation.
Kabel BPCS dan SIS dalam tray yang sama.
UPS dan battery bank shared.
MCC feeder upstream breaker sama.
Tidak ada fire rating pada dinding pemisah.

✓ 2.3 Escalation Path

Local fire / arc flash → Kabel & power shared rusak → BPCS & SIS mati → Process deviation tidak terkendali → Loss of Containment → Multi-unit impact

Segregasi fisik dan elektrikal adalah proteksi terhadap kejadian eksternal non-proses.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Cabinet & Room Segregation

SIS cabinet shall be physically separated from BPCS cabinet.
High energy unit SIS cabinet shall be located in separate fire zone where practicable.
Fire rating of separation barrier shall meet site fire protection requirement.

✓ 3.2 Cable Segregation

SIS signal and power cables shall not share the same cable tray with BPCS where high energy exposure exists.
Minimum separation distance shall be defined.
Fire-resistant cable or fire barrier shall be applied for high energy SIF.

✓ 3.3 Power Supply Segregation

SIS shall be supplied from independent UPS or battery system.
Upstream feeder breaker for SIS shall not be common with BPCS.
MCC feeder segregation shall be demonstrated in single line diagram.

✓ 3.4 Fire & Hazard Exposure Control

SIS equipment shall not be installed within direct radiant heat exposure zone of fired heater.
Flood-prone areas shall not house critical SIS components without protection.
Cable routing shall avoid high fire load zones where possible.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan independensi yang mencakup aspek fisik dan elektrikal.

IEC 61508 menekankan perlunya mitigasi common cause failure, termasuk environmental influence.

NFPA dan FM Global Data Sheets menekankan:

Fire separation
Cable routing segregation
Power redundancy
Electrical room protection

FM Global audit sering menemukan:

Shared cable tray tanpa fire barrier.
UPS tunggal untuk BPCS dan SIS.
Kabinet berdekatan tanpa fire-rated wall.

Tanpa segregasi fisik:

Independence yang secara logika benar menjadi tidak berarti.
RRF aktual jauh lebih rendah dari asumsi LOPA.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Layout menunjukkan kabinet terpisah.
Cable routing diagram menunjukkan tray terpisah atau barrier.
Single line diagram menunjukkan feeder independen.
UPS segregation terdokumentasi.

✓ 5.2 Installation Compliance

Field verification menunjukkan jarak fisik sesuai desain.
Fire barrier terpasang sesuai spesifikasi.
Tidak ada shared upstream breaker.

✓ 5.3 Performance KPI

0 high energy SIF dengan shared UPS tanpa justification.
100% high energy SIS memiliki documented segregation review.
Tidak ada audit finding terkait cable common routing.

☑ 6. EVIDENCE & RECORDS

Control room layout drawing
Cable routing diagram
Electrical single line diagram
Fire zone layout
Segregation checklist
Field inspection report
FM Global alignment review

Traceability:

High Energy Scenario → SIL Requirement → Architecture → Physical Layout → Electrical SLD → Segregation Verification → Audit Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika segregasi penuh tidak dapat dicapai (brownfield constraint):

Detailed fire risk analysis shall be conducted.
Fire-rated enclosure or cable coating shall be implemented.
Additional independent safeguard shall be evaluated.
Approval oleh Process Safety Authority mandatory.
Corporate Risk Committee approval required for catastrophic exposure.
Insurer consultation required.

Tidak diperkenankan mengklaim independensi bila segregasi fisik dan elektrikal tidak dapat dibuktikan.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Electrical Engineering Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Shared cable routing ditemukan pada high energy unit
Insurer finding terkait fire exposure
Arc flash incident affecting multiple systems

Review dilakukan pada setiap proyek baru, setiap brownfield tie-in, dan setiap revalidation 5 tahunan.

7.3 Common Cause Domain Control

Common cause factor shall be evaluated per Annex A – A6.

☑ 1. INTENT

Klausul ini bertujuan untuk mengendalikan domain common cause yang dapat secara simultan melumpuhkan lebih dari satu IPL atau lebih dari satu kanal dalam arsitektur redundan pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga klaim independensi dalam LOPA dan SIL verification tetap valid secara fisik dan operasional.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

Common cause failure (CCF) terjadi ketika satu penyebab memicu kegagalan ganda atau multipel, misalnya:

Kehilangan instrument air → semua control valve & shutdown valve fail ke posisi yang sama.
Gangguan jaringan → BPCS dan SIS kehilangan komunikasi.
Power dip upstream → beberapa feeder mati bersamaan.
Kesalahan firmware → dua kanal redundant gagal secara simultan.
Junction box flooding → beberapa signal hilang sekaligus.

Pada sistem berenergi tinggi:

SMR: hilangnya instrument air dapat menyebabkan fuel valve tidak bergerak saat trip.
Reaktor hidrogenasi: dua sensor temperatur redundant dapat gagal jika impulse line terkontaminasi bersama.
Storage propylene: overfill protection gagal jika kedua transmitter berbagi tapping nozzle yang sama.

Jika CCF tidak dikendalikan:

Redundant architecture → secara teoritis 1oo2 Namun secara fisik → 1oo1 tersembunyi

✓ 2.2 Initiating Causes

Shared instrument air header tanpa reliability assessment.
Shared tapping point untuk dua transmitter SIL 2.
Shared JB dan marshalling cabinet.
Shared network switch.
Shared maintenance practice yang menyebabkan systematic error.

✓ 2.3 Escalation Path

Common cause event → Multiple IPL channels fail → Effective RRF collapse → SIF gagal pada demand → Catastrophic release → Audit menemukan independence assumption invalid

Common cause domain adalah ancaman terbesar terhadap SIL tinggi.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Instrument Air Independence

Instrument air supply for SIS final element shall be evaluated for reliability.
Shared instrument air header shall not invalidate independence claim without documented assessment.
Where credible, redundant air supply or fail-safe design shall be implemented.

✓ 3.2 Sensor Installation Independence

Redundant transmitters shall not share the same process tapping without documented justification.
Impulse lines for redundant sensors shall be physically separated.
Environmental exposure affecting multiple sensors shall be assessed.

✓ 3.3 Electrical & Network Domain Control

Redundant channels shall not share the same network switch unless justified.
Cyber domain separation between BPCS and SIS shall be maintained.
Shared marshalling/JB shall be evaluated for fire and flooding exposure.

✓ 3.4 β-factor Policy

β-factor shall be explicitly applied in SIL verification.
Conservative β-factor shall be used where common cause cannot be fully eliminated.
Assumed β-factor shall be documented with justification.

✓ 3.5 Maintenance & Human Error Domain

Maintenance practice affecting multiple channels simultaneously shall be controlled.
Bypass of multiple channels simultaneously shall require higher-level approval.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 dan IEC 61508 mensyaratkan pertimbangan common cause dalam arsitektur redundan.

β-factor digunakan untuk merepresentasikan probabilitas kegagalan bersama.

FM Global audit sering menyoroti:

Shared instrument air tanpa backup.
Dual transmitter dengan satu tapping.
Shared cable routing tanpa barrier.
Cyber domain tanpa segregation.

Pada high energy system:

Runaway reaktor dapat terjadi lebih cepat dari kemampuan manual intervention.
Furnace explosion dapat terjadi dalam detik.

Jika common cause tidak dikontrol, SIL 3 secara praktis dapat berperilaku seperti SIL 1.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Common cause assessment tersedia untuk setiap SIF ≥ SIL 2.
β-factor tercantum dalam SIL verification report.
Redundant transmitter memiliki tapping dan impulse line terpisah (atau justification terdokumentasi).
Instrument air reliability assessment tersedia.

✓ 5.2 Operational Compliance

Tidak ada bypass simultan pada kanal redundant tanpa approval.
Maintenance procedure tidak mengizinkan pengujian dua kanal sekaligus tanpa risk review.

✓ 5.3 Performance KPI

0 SIF ≥ SIL 2 tanpa documented β-factor.
100% redundant architecture memiliki common cause review.
Tidak ada audit finding terkait shared tapping tanpa justification.

☑ 6. EVIDENCE & RECORDS

Common cause analysis report
SIL verification report (including β-factor)
Instrument air reliability assessment
P&ID showing separate tapping
Cable & JB layout
Maintenance procedure
Bypass log

Traceability:

Deviation → LOPA → Required SIL → Architecture → Common Cause Review → β-factor → PFDavg → Approval → Proof Test

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika eliminasi common cause tidak memungkinkan (brownfield constraint):

Conservative β-factor shall be applied.
Additional independent safeguard shall be evaluated.
Approval oleh Process Safety Authority mandatory.
Corporate Risk Committee approval required for SIL 3.
Insurer consultation required for catastrophic exposure.

Tidak diperkenankan mengklaim independensi penuh tanpa evaluasi common cause terdokumentasi.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Instrument & Control Engineering Manager Support: Electrical & Reliability Engineering Oversight: Process Safety Authority

Escalation Trigger:

Proposal redundant sensor with shared tapping
Instrument air single point failure ditemukan
Insurer finding terkait common cause exposure
Incident menunjukkan multi-channel failure

Review dilakukan setiap perubahan arsitektur dan setiap revalidation SIL.

7.4 Exception & Shared Infrastructure Approval

[Any deviation impacting RRF shall be evaluated under Annex A – A4 and A6.]:
A4 – IPL CREDIT GOVERNANCE
A6 – PFDavg Calculation & Hardware Integrity Governance

☑ 1. INTENT

Klausul ini bertujuan untuk mengatur mekanisme persetujuan formal terhadap setiap pengecualian (exception) atas persyaratan independensi, segregasi, atau common cause control, serta penggunaan shared infrastructure pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga tidak ada deviasi arsitektur yang mengurangi integritas proteksi tanpa evaluasi risiko kuantitatif dan persetujuan governance yang memadai.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Governance Mechanism

Dalam praktik brownfield atau constraint proyek, sering muncul kondisi:

Shared UPS antara BPCS dan SIS.
Shared instrument air tanpa redundancy.
Shared network switch untuk efisiensi biaya.
Shared marshalling cabinet.
Dual transmitter menggunakan satu tapping karena keterbatasan nozzle.

Secara fisik, ini menciptakan common cause domain.

Secara governance, jika deviasi ini tidak direview:

Shared infrastructure → Common cause failure → Collapse multiple IPL simultaneously → Effective RRF jauh lebih rendah → Catastrophic release → Audit menemukan independence claim invalid

✓ 2.2 Initiating Causes

Tekanan biaya atau schedule.
Brownfield limitation.
Vendor default architecture.
Tidak ada mekanisme approval formal untuk deviasi.
Tidak ada kewajiban kuantifikasi dampak terhadap PFDavg.

✓ 2.3 Escalation Path

Architecture deviation → Tidak direview secara kuantitatif → SIL verification tidak mencerminkan real condition → Residual risk meningkat → Incident → Governance & insurer challenge

Exception governance adalah kontrol terakhir terhadap degradasi integritas desain.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Mandatory Risk Review

Any deviation from functional, physical, or electrical independence requirement shall undergo formal risk review.
Quantitative impact on PFDavg and β-factor shall be evaluated.
Impact on LOPA RRF shall be reassessed if independence compromised.

✓ 3.2 Shared Infrastructure Assessment

Shared power, network, instrument air, JB, or cabinet shall be evaluated for common cause exposure.
Fire and environmental exposure shall be assessed.
Compensating engineering measure shall be proposed where risk increased.

✓ 3.3 Approval Hierarchy

Exception affecting SIL 1 shall require Process Safety Authority approval.
Exception affecting SIL ≥ 2 shall require Corporate Risk Committee approval.
Exception affecting high energy system shall require executive acknowledgment.
Insurer consultation shall be mandatory for catastrophic exposure scenarios.

✓ 3.4 Time Limitation for Temporary Exception

Temporary deviation shall have defined maximum duration.
Compensating safeguard shall be implemented during deviation period.
Revalidation shall be mandatory before permanent acceptance.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan bahwa perubahan yang mempengaruhi SIF harus melalui lifecycle management.

IEC 61508 menekankan systematic capability dan pengendalian perubahan desain.

ISO 31000 mengharuskan transparansi dalam penerimaan risiko.

FM Global audit sangat sensitif terhadap:

Shared infrastructure tanpa dokumentasi.
Power architecture yang memungkinkan single point failure.
Exception yang tidak memiliki executive approval.

Tanpa mekanisme exception formal:

Deviasi kecil dapat terakumulasi menjadi risiko sistemik.
Independence claim menjadi tidak valid.
Defensibility CREG runtuh saat audit.

Exception governance memastikan bahwa setiap kompromi desain memiliki konsekuensi manajerial dan kuantitatif yang jelas.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Exception register tersedia dan terkontrol.
Risk review report tersedia untuk setiap deviasi.
SIL verification diperbarui jika diperlukan.
Approval record sesuai hierarchy tersedia.

✓ 5.2 Operational Compliance

Temporary deviation memiliki expiry date.
Compensating safeguard terdokumentasi dan aktif.
Tidak ada shared infrastructure pada high energy SIF tanpa approval.

✓ 5.3 Performance KPI

0 shared infrastructure pada SIL ≥ 2 tanpa documented risk review.
100% exception memiliki approval sesuai level risiko.
Tidak ada exception tanpa defined duration.

☑ 6. EVIDENCE & RECORDS

Exception register
Risk review report (including PFDavg impact)
Updated SIL verification report (jika applicable)
Approval log (PSA / Corporate Risk Committee / Executive)
Insurer consultation record (jika required)
Compensating safeguard documentation
Expiry tracking log

Traceability:

Architecture Deviation → Risk Review → PFDavg Impact → LOPA Recheck → Approval → Compensating Measure → Monitoring → Closure

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika exception disetujui:

Additional independent IPL shall be considered.
Proof test interval may be reduced.
Online monitoring may be added.
Operational restriction may be imposed (temporary).
Executive-level risk acceptance shall be documented for catastrophic exposure.

Exception permanen tanpa analisis kuantitatif tidak diperkenankan.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Instrument, Electrical, Reliability Engineering Approval Authority: Corporate Risk Committee / Executive (sesuai severity)

Escalation Trigger:

Proposal shared UPS/network for SIL ≥ 2
Brownfield constraint affecting high energy SIF
Insurer finding terkait independence
Incident menunjukkan architecture vulnerability

Review exception register dilakukan setiap tahun dan pada setiap revalidation 5 tahunan.

8. ALARM MANAGEMENT POLICY

8.1 Alarm Philosophy

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan filosofi alarm pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga alarm berfungsi sebagai alat deteksi dan intervensi operator yang efektif, tidak menjadi beban kognitif (alarm flood), dan hanya dikreditkan sebagai IPL bila memenuhi kriteria performa yang terukur sesuai standar industri.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Human Mechanism

Pada sistem berenergi tinggi:

SMR: kenaikan temperatur tube dapat berkembang cepat sebelum rupture.
Reaktor hidrogenasi: runaway dapat terjadi dalam hitungan menit.
Kolom distilasi: overpressure dapat meningkat akibat loss of cooling.
Storage propylene: level dapat naik cepat saat loading.

Alarm berperan sebagai:

Process deviation detection → Operator intervention → Mitigasi sebelum consequence

Namun, kegagalan alarm sering terjadi karena:

Alarm flood saat upset.
Standing alarm yang diabaikan.
Tidak ada response procedure jelas.
Response time lebih lambat dari process safety time.

Jika alarm tidak dikelola dengan benar:

Alarm muncul → Operator tidak merespons tepat waktu → Deviation berkembang → SIF atau relief menjadi lapisan terakhir → Escalation

Alarm tanpa filosofi terstruktur bukan proteksi yang dapat diandalkan.

✓ 2.2 Initiating Causes

Tidak ada alarm rationalization.
Tidak ada prioritas alarm berbasis severity.
Alarm digunakan sebagai pengganti engineering safeguard.
Tidak ada evaluasi beban kerja operator.
Tidak ada KPI performa alarm.

✓ 2.3 Escalation Path

Process upset → Multiple alarms triggered → Operator overload → Missed critical alarm → No corrective action → Catastrophic consequence

Alarm Philosophy adalah pengendali risiko human factor dalam rantai proteksi.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Definition Requirement

Alarm shall be defined as an audible and/or visible indication requiring operator action.
Informational alerts shall not be classified as alarm.

✓ 3.2 Rationalization Requirement

All alarms shall undergo formal rationalization.
Each alarm shall have defined purpose, cause, consequence, and operator response.
Alarm priority shall be assigned based on severity and response time requirement.

✓ 3.3 Performance Requirement

Alarm system shall comply with IEC 62682.
Operator workload during normal and upset conditions shall be evaluated.
Standing alarms shall be eliminated or justified.
Alarm flood shall be monitored and controlled.

✓ 3.4 Alarm as IPL Eligibility Rule

Alarm shall not be credited as IPL unless IEC 62682 performance KPI met.
Documented operator response time shall be less than process safety time.
Alarm used as IPL shall have defined response procedure and training record.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 62682 mensyaratkan:

Alarm rationalization
Performance monitoring
Operator workload assessment
Continuous improvement

CCPS LOPA menyatakan alarm + operator dapat menjadi IPL hanya jika independen dan efektif.

FM Global audit sering menemukan:

Alarm flood saat upset.
Alarm dikreditkan tanpa performance KPI.
Tidak ada documented response procedure.

Pada high energy system:

Hydrogen release dapat menyala dalam detik.
Furnace overtemperature dapat merusak tube sebelum operator bertindak.

Tanpa Alarm Philosophy:

Alarm menjadi noise.
Human reliability menjadi tidak terkendali.
RRF untuk alarm menjadi tidak valid.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Alarm philosophy document tersedia.
Alarm rationalization record tersedia.
Priority assignment rule terdokumentasi.
Response procedure terdokumentasi untuk alarm prioritas tinggi.

✓ 5.2 Operational Compliance

Alarm flood index dimonitor.
Standing alarm < defined threshold.
Operator training record tersedia untuk critical alarm.

✓ 5.3 Performance KPI

Average alarm rate dalam batas IEC 62682 guideline.
0 alarm IPL tanpa documented response time.
100% high priority alarm memiliki response procedure terdokumentasi.

☑ 6. EVIDENCE & RECORDS

Alarm philosophy document
Alarm rationalization log
Alarm priority matrix
Operator workload study
Alarm KPI dashboard
Training record
LOPA worksheet (jika alarm dikreditkan)

Traceability:

Deviation → Alarm Detection → Rationalization Record → Priority Assignment → Response Procedure → LOPA Credit (if applicable) → KPI Monitoring

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika alarm performance tidak memenuhi KPI:

Alarm shall not be credited as IPL.
Additional engineering safeguard shall be evaluated.
Alarm flood root cause analysis shall be conducted.
Approval oleh Process Safety Authority required jika alarm tetap dikreditkan.

Tidak diperkenankan menggunakan alarm sebagai pengganti SIF pada high energy scenario tanpa bukti performa.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Operations Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Alarm flood event
Repeated missed critical alarm
Insurer finding terkait alarm performance
Incident menunjukkan operator overload

Review alarm philosophy dilakukan minimal setiap 3 tahun dan setiap revalidation HAZOP.

8.2 Alarm as IPL Requirement

Alarm credited as IPL shall comply with Annex A – A4 and Annex A – A8 performance thresholds.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan teknis dan operasional agar alarm dapat dikreditkan sebagai Independent Protection Layer (IPL) dalam LOPA pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga kredit RRF untuk alarm benar-benar mencerminkan kemampuan operator melakukan intervensi tepat waktu dan tidak menjadi sumber over-crediting yang melemahkan defensibility SIL.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Human Reliability Mechanism

Alarm + operator sebagai IPL bekerja melalui mekanisme berikut:

Process deviation terdeteksi → Alarm muncul → Operator mengenali prioritas → Operator melakukan tindakan korektif → Deviasi dihentikan sebelum consequence

Pada high energy system:

SMR: alarm high temperature harus direspons sebelum tube rupture.
Hydrogenation reactor: alarm high temperature harus ditangani sebelum runaway tak terkendali.
Distillation: alarm high pressure harus ditindaklanjuti sebelum relief lifting.
Storage propylene: alarm high level harus direspons sebelum overfill.

Kegagalan alarm sebagai IPL dapat terjadi karena:

Alarm flood.
Operator tidak tersedia (occupancy assumption salah).
Tidak ada prosedur respons yang jelas.
Response time lebih lama dari process safety time.

Jika alarm tetap dikreditkan tanpa memenuhi syarat:

Alarm credited RRF 10 → Actual human response unreliable → Effective RRF < assumed → SIL under-allocated → Catastrophic escalation

✓ 2.2 Initiating Causes

Alarm dikreditkan tanpa rationalization.
Tidak ada analisis process safety time.
Tidak ada dokumentasi response time.
Alarm berasal dari sensor yang sama dengan initiating cause.
Tidak ada bukti bahwa operator memiliki waktu cukup untuk bertindak.

✓ 2.3 Escalation Path

Deviation → Alarm muncul → Operator overload / delay → Tidak ada tindakan → SIF menjadi lapisan terakhir → Jika SIF gagal → catastrophic event → Audit menemukan alarm IPL unjustified

Alarm sebagai IPL hanya valid jika human reliability dapat dibuktikan.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Independence Requirement

Alarm credited as IPL shall be independent from the initiating cause.
Alarm shall not rely on the same sensor failure mode that initiated the deviation.
Alarm processing shall not depend on SIS logic if claimed as independent IPL.

✓ 3.2 Performance Requirement

Alarm shall comply with IEC 62682 KPI thresholds.
Alarm flood index shall be within defined acceptable range.
Standing alarms shall not exceed defined threshold.

✓ 3.3 Response Time Validation

Documented operator response time shall be less than process safety time.
Process safety time analysis shall be documented.
Operator workload study shall confirm feasible intervention.

✓ 3.4 Human Reliability Assumption

Occupancy assumption shall be documented.
Alarm shall have clear written response procedure.
Operator training record shall exist for critical alarm.
Administrative controls alone shall not justify alarm IPL credit.

✓ 3.5 RRF Limitation

Alarm + operator RRF shall not exceed 10.
Alarm shall not be sole IPL for catastrophic high energy scenario.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

CCPS LOPA Guideline menyatakan bahwa alarm + operator dapat dikreditkan dengan RRF tipikal ≤10, dengan syarat independen dan efektif.

IEC 62682 mensyaratkan pengendalian performa alarm secara berkelanjutan.

Human reliability literature menunjukkan bahwa:

Under alarm flood, missed alarm probability meningkat signifikan.
Response time sangat bergantung pada beban kerja.

FM Global audit sering menolak alarm sebagai IPL bila:

Tidak ada KPI performa.
Tidak ada documented response time.
Tidak ada bukti occupancy realistis.

Pada high energy system seperti SMR dan hydrogenation:

Escalation time seringkali pendek.
Margin untuk human intervention terbatas.

Tanpa kontrol ketat, alarm sebagai IPL menjadi titik manipulasi RRF.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

LOPA worksheet menunjukkan alarm IPL justification.
Process safety time analysis tersedia.
Response time < process safety time terdokumentasi.
Alarm rationalization record tersedia.

✓ 5.2 Operational Compliance

Alarm KPI dalam batas IEC 62682.
Training record tersedia untuk operator.
Tidak ada alarm IPL dalam kondisi flood atau degraded.

✓ 5.3 Performance KPI

0 alarm IPL tanpa documented response procedure.
100% alarm IPL memiliki response time validation.
Alarm flood rate dalam batas korporat.

☑ 6. EVIDENCE & RECORDS

LOPA worksheet (alarm IPL entry)
Process safety time calculation
Alarm rationalization log
Alarm KPI dashboard
Operator training record
Occupancy study
Response procedure document

Traceability:

Deviation → Initiating Event → Alarm Detection → Rationalization → Process Safety Time → Human Response Validation → RRF Assignment → Residual Risk

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika alarm performance tidak memenuhi persyaratan:

Alarm shall not be credited as IPL.
Additional independent engineering safeguard shall be implemented.
Temporary alarm credit shall require Process Safety Authority approval.
For catastrophic exposure, Corporate Risk Committee approval required.

Tidak diperkenankan menggantikan SIF dengan alarm pada high energy scenario tanpa pembuktian kuantitatif.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Operations Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Alarm flood event
Missed critical alarm incident
Insurer challenge terhadap alarm IPL
KPI performance degradation

Review alarm IPL eligibility dilakukan minimal setiap 3 tahun dan pada setiap revalidation LOPA.

8.3 Special Alarm Category

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kategori alarm khusus (Special Alarm Category) pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga alarm dengan potensi dampak catastrophic mendapatkan perlakuan desain, prioritas, monitoring, dan governance yang lebih ketat dibanding alarm proses biasa, serta tidak tereduksi efektivitasnya akibat alarm flood atau degradasi sistem.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Escalation Mechanism

Special alarm umumnya terkait dengan:

Hydrogen leak detection
Furnace flame instability
High-high reactor temperature
High-high column pressure
High-high tank level (overfill)
Fire & gas detection

Mekanisme eskalasi khas:

Deviation kritikal → Alarm muncul → Operator tidak menyadari atau terlambat merespons → SIF atau relief menjadi lapisan terakhir → Jika gagal → Loss of Containment → Fire / Explosion

Pada sistem seperti:

SMR: flame instability dapat berkembang menjadi furnace explosion.
Reaktor hidrogenasi: kenaikan temperatur dapat memicu runaway eksponensial.
Storage propylene: overfill dapat berkembang menjadi vapor cloud explosion.

Special alarm memiliki karakter:

Severity tinggi
Response window terbatas
Potensi domino multi-unit

✓ 2.2 Initiating Causes

Special alarm diperlakukan sama dengan alarm biasa.
Tidak ada perlindungan terhadap alarm flood.
Tidak ada distinctive visual/audio differentiation.
Tidak ada monitoring KPI khusus.
Tidak ada drill khusus untuk skenario kritikal.

✓ 2.3 Escalation Path

Critical deviation → Alarm tenggelam dalam flood → Operator gagal mengenali prioritas → No timely action → Catastrophic consequence → Audit menemukan lack of differentiation

Special Alarm Category mencegah alarm kritikal kehilangan visibilitas.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Definition Requirement

Special Alarm Category shall be defined for alarms associated with catastrophic or major asset damage consequence.
Special alarm shall be clearly identified in alarm philosophy document.

✓ 3.2 Priority & Differentiation Requirement

Special alarms shall be assigned highest priority level.
Distinct visual and/or audible indication shall be implemented.
Special alarms shall not be suppressed by alarm shelving without formal approval.

✓ 3.3 Performance Requirement

Special alarms shall be excluded from alarm flood masking.
KPI for special alarms shall be monitored separately.
Response time requirement shall be documented and validated against process safety time.

✓ 3.4 High Energy Specific Application

Special Alarm Category shall include at minimum:

Hydrogen leak detection in hydrogenation unit.
Furnace flame instability / flame failure in SMR.
Reactor high-high temperature in exothermic service.
Column high-high pressure with catastrophic classification.
Tank high-high level for large flammable storage.
Fire & gas detection affecting high energy unit.

✓ 3.5 Governance Restriction

Special alarms shall not be downgraded without Process Safety Authority approval.
Removal or modification shall trigger MOC and LOPA review.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 62682 memungkinkan pengelompokan alarm berdasarkan criticality dan konsekuensi.

CCPS menyatakan bahwa alarm dengan konsekuensi tinggi memerlukan perhatian khusus terhadap human reliability.

FM Global audit biasanya memeriksa:

Flame failure alarm pada fired heater.
Gas detection alarm pada hydrogen unit.
Tank high-high level alarm pada storage flammable.

Tanpa kategori khusus:

Alarm kritikal dapat hilang dalam noise.
Operator tidak memiliki visual cue yang cukup.
Risiko catastrophic bergantung pada sistem alarm generik.

Special Alarm Category memperkuat lapisan deteksi pada high energy scenario tanpa menggantikan kebutuhan SIF.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

Daftar Special Alarm tersedia.
Prioritas dan distinctive indication terdokumentasi.
Response procedure tersedia untuk setiap special alarm.
Mapping ke HAZOP deviation tersedia.

✓ 5.2 Operational Compliance

KPI khusus special alarm dimonitor.
Tidak ada shelving tanpa approval formal.
Drill dilakukan untuk skenario terkait special alarm.

✓ 5.3 Performance KPI

0 special alarm dalam kondisi standing alarm > threshold.
100% special alarm memiliki documented response time validation.
Alarm flood tidak menyebabkan masking special alarm.

☑ 6. EVIDENCE & RECORDS

Special Alarm Register
Alarm philosophy document
Rationalization record
KPI report khusus special alarm
Training & drill record
MOC record untuk perubahan alarm
LOPA linkage document

Traceability:

Hazard Scenario → HAZOP Deviation → Special Alarm Identification → Rationalization → Response Procedure → KPI Monitoring → Audit

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika special alarm tidak dapat diimplementasikan secara penuh:

Additional engineering safeguard shall be evaluated.
Temporary risk assessment shall be conducted.
Approval oleh Process Safety Authority mandatory.
Untuk catastrophic exposure, Corporate Risk Committee approval required.

Tidak diperkenankan menurunkan prioritas special alarm untuk alasan operasional tanpa risk review formal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Operations Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Incident terkait hydrogen leak / furnace instability
Insurer finding pada high energy alarm
Repeated operator delay in special alarm response

Review kategori special alarm dilakukan minimal setiap 3 tahun dan setiap revalidation HAZOP.

8.4 Periodic Performance Review

Alarm KPI shall be evaluated against Annex A – A8 thresholds.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan mekanisme review performa alarm secara periodik pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga efektivitas alarm sebagai lapisan deteksi dan (bila dikreditkan) sebagai IPL tetap terjaga sepanjang lifecycle, serta degradasi performa yang dapat meningkatkan risiko catastrophic terdeteksi sebelum terjadi insiden.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Human Performance Mechanism

Alarm system dapat terdegradasi seiring waktu akibat:

Peningkatan jumlah alarm tanpa rationalization ulang.
Standing alarm yang dibiarkan.
Alarm flood saat upset atau startup.
Perubahan proses tanpa update response procedure.
Operator fatigue akibat beban alarm tinggi.

Pada high energy system:

SMR flame instability alarm dapat terlewat saat alarm flood.
Reactor high temperature alarm dapat tidak ditindaklanjuti jika prioritas tidak jelas.
Tank high-high level alarm dapat terabaikan saat loading intensif.

Degradasi performa alarm → Human response probability menurun → RRF alarm IPL turun → Residual risk aktual meningkat

✓ 2.2 Initiating Causes

Tidak ada KPI alarm yang dimonitor.
Tidak ada audit alarm berkala.
Tidak ada review pasca incident / near miss.
Tidak ada integrasi KPI alarm dengan LOPA review.
Tidak ada trigger untuk menghapus atau menurunkan alarm tidak relevan.

✓ 2.3 Escalation Path

Alarm rate meningkat → Operator overload → Missed critical alarm → Tidak ada intervensi tepat waktu → Catastrophic event → Investigasi menemukan alarm performance degradation

Periodic review mencegah degradasi sistemik yang tidak terlihat.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 KPI Monitoring Requirement

Alarm system performance shall be monitored using defined KPI including at minimum:

Average alarm rate per operator per hour.
Alarm flood frequency.
Standing alarm count.
Chattering alarm frequency.
Special alarm response delay (where applicable).

✓ 3.2 Review Frequency Requirement

Alarm performance review shall be conducted at minimum quarterly.
Comprehensive alarm system audit shall be conducted at minimum every 3 years.
Review shall include high energy units as priority focus.

✓ 3.3 Degraded Performance Trigger

The following conditions shall trigger corrective action:

Alarm rate exceeding defined threshold.
Repeated alarm flood events.
Standing alarm exceeding defined limit.
Missed response to special alarm.
Insurer finding related to alarm performance.

✓ 3.4 IPL Impact Review

If alarm credited as IPL, KPI degradation shall trigger LOPA review.
Alarm IPL credit shall be suspended if performance KPI not met.
Compensating safeguard shall be evaluated if alarm performance degraded.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 62682 mensyaratkan monitoring performa alarm secara berkelanjutan.

CCPS LOPA menyatakan bahwa IPL harus auditable dan maintainable.

FM Global audit sering menilai:

Apakah alarm KPI dipantau?
Apakah ada bukti perbaikan setelah alarm flood?
Apakah alarm IPL masih memenuhi performa?

Pada high energy system:

Window waktu intervensi sering sempit.
Human reliability sangat dipengaruhi beban alarm.

Tanpa periodic review:

Alarm system dapat memburuk tanpa terdeteksi.
RRF alarm IPL menjadi tidak valid.
Risiko catastrophic meningkat secara laten.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

KPI dashboard alarm tersedia.
Threshold KPI terdokumentasi.
Jadwal review periodik terdokumentasi.

✓ 5.2 Operational Compliance

Quarterly review report tersedia.
Corrective action terdokumentasi untuk KPI breach.
LOPA review dilakukan bila alarm IPL terdampak.

✓ 5.3 Performance KPI

Alarm rate dalam batas yang ditetapkan korporat.
0 special alarm terabaikan tanpa investigasi.
Standing alarm di bawah threshold korporat.
100% alarm flood event memiliki root cause analysis.

☑ 6. EVIDENCE & RECORDS

Alarm KPI dashboard
Quarterly alarm review report
Alarm flood investigation report
Standing alarm register
Corrective action tracking log
LOPA update record (jika alarm IPL terpengaruh)
Insurer audit response record

Traceability:

Alarm KPI → Threshold Comparison → Deviation Detection → Corrective Action → LOPA Impact Review → Governance Approval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika KPI alarm tidak memenuhi target dan tidak dapat segera diperbaiki:

Alarm shall not be credited as IPL.
Additional engineering safeguard shall be evaluated.
Temporary operational restriction may be applied.
Approval oleh Process Safety Authority mandatory.
Untuk high energy exposure, Corporate Risk Committee notification required.

Tidak diperkenankan mempertahankan alarm IPL dalam kondisi KPI degraded tanpa review formal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Operations Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Repeated alarm flood
KPI breach berulang
Missed response to special alarm
Insurer finding terkait alarm system

Review menyeluruh alarm system dilakukan minimal setiap 3 tahun atau pasca insiden signifikan.

9. PROOF TEST & PERFORMANCE MONITORING

9.1 Proof Test Strategy

Proof test interval shall comply with Annex A – A6 maximum interval rule.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan strategi proof test yang memastikan seluruh Safety Instrumented Function (SIF) pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene mempertahankan PFDavg sesuai SIL yang ditetapkan, sehingga degradasi tersembunyi (undetected failure) tidak mengurangi integritas proteksi dan tidak meningkatkan residual risk tanpa terdeteksi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Mechanism

SIF dapat mengalami dangerous undetected failure akibat:

Sensor drift atau plugging (impulse line).
Final element valve stuck atau partial stroke tidak efektif.
Solenoid failure.
Logic solver internal fault.
Fouling pada PSV (jika dikreditkan sebagai IPL mekanikal).

Pada high energy system:

SMR fuel trip valve gagal menutup → furnace explosion.
Reactor shutdown valve tidak bergerak → runaway tidak terhentikan.
Column feed isolation gagal → overpressure berlanjut.
Tank inlet shutdown valve gagal → overfill tidak dicegah.

Jika proof test tidak dilakukan sesuai interval dan cakupan:

Undetected failure probability meningkat → PFDavg aktual naik → SIL band terlampaui → Residual risk aktual > tolerable

✓ 2.2 Initiating Causes

Interval proof test diperpanjang tanpa update PFDavg.
Partial stroke dikreditkan tanpa validasi coverage.
Valve tidak diuji full stroke karena alasan operasional.
Proof test tidak mencakup seluruh failure mode.
Tidak ada integrasi hasil proof test dengan SIL verification.

✓ 2.3 Escalation Path

Proof test tidak efektif → Undetected failure terakumulasi → SIF gagal saat demand → Catastrophic consequence → Audit menemukan proof test governance lemah

Proof test adalah mekanisme utama menjaga SIL sepanjang lifecycle.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Interval Definition Requirement

Proof test interval shall be defined in SRS.
Interval shall be included in PFDavg calculation.
Any change in interval shall trigger SIL re-verification.

✓ 3.2 Test Coverage Requirement

Proof test shall detect all dangerous undetected failure modes assumed in SIL verification.
Partial stroke testing shall only be credited if diagnostic coverage validated.
Valve closing time shall be periodically verified.

✓ 3.3 High Energy System Requirement

Fuel shutoff valves in SMR shall undergo full functional verification at defined interval.
Reactor shutdown valves in hydrogen service shall include leak test and stroke verification.
Tank overfill shutdown valve shall be functionally tested per API 2350 alignment.

✓ 3.4 Documentation & Execution Requirement

Proof test procedure shall be written and controlled.
Test result shall be recorded and reviewed.
Failed proof test shall trigger immediate corrective action and risk review.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan proof test untuk mendeteksi dangerous undetected failure.

PFDavg sangat dipengaruhi oleh:

Failure rate (λ)
Proof test interval (T)
Diagnostic coverage
β-factor

FM Global audit sering memeriksa:

Apakah interval proof test sesuai asumsi desain?
Apakah test benar-benar dilakukan?
Apakah failure rate diperbarui berdasarkan pengalaman site?

Pada high energy system:

Kegagalan satu final element dapat langsung berujung catastrophic.
Undetected failure pada hydrogen valve dapat berakibat fatal.

Tanpa proof test strategy yang disiplin:

SIL hanya berlaku saat commissioning.
Integritas sistem menurun secara laten.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

SRS mencantumkan proof test interval.
PFDavg calculation mencantumkan interval tersebut.
Proof test procedure tersedia untuk setiap SIF.

✓ 5.2 Operational Compliance

Proof test dilakukan sesuai jadwal.
Tidak ada overdue melebihi threshold tanpa escalation.
Hasil test direview dan disetujui.

✓ 5.3 Performance KPI

0 SIF dengan proof test overdue tanpa risk review.
100% high energy SIF memiliki documented full functional test.
Failure rate aktual dibandingkan dengan asumsi desain secara periodik.

☑ 6. EVIDENCE & RECORDS

Safety Requirement Specification (SRS)
Proof test procedure
Proof test record
Valve stroke time test report
Leak test report (untuk hydrogen service)
Updated SIL verification (jika interval berubah)
Overdue tracking log

Traceability:

Deviation → LOPA → SIL → PFDavg Assumption → Proof Test Interval → Execution Record → KPI Monitoring → Revalidation

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika proof test tidak dapat dilakukan sesuai jadwal:

Temporary risk assessment shall be conducted.
Proof test interval extension shall require Process Safety Authority approval.
Additional temporary safeguard may be required.
For high energy SIF, Corporate Risk Committee notification required if extension significant.

Tidak diperkenankan memperpanjang interval proof test tanpa evaluasi dampak terhadap PFDavg.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Maintenance Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Proof test overdue beyond defined limit
Failed proof test on high energy SIF
Repeated final element failure
Insurer finding terkait maintenance governance

Review strategi proof test dilakukan minimal setiap 5 tahun atau setelah incident signifikan.

9.2 Interval Governance

Overdue limit shall comply with Annex A – A8.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan tata kelola (governance) interval proof test dan pengendalian overdue pada seluruh SIF di fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga asumsi interval dalam perhitungan PFDavg tetap valid sepanjang operasi dan tidak terjadi peningkatan residual risk akibat perpanjangan interval yang tidak terkendali.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Mathematical Mechanism

PFDavg pada low demand SIF berbanding lurus dengan proof test interval (T).

Jika interval aktual lebih panjang dari asumsi desain:

T aktual > T desain → PFDavg aktual meningkat → SIL band dapat terlampaui → Required RRF tidak tercapai

Pada high energy system:

SMR fuel shutoff valve overdue test → probability gagal saat demand meningkat.
Reactor shutdown valve overdue → runaway tidak dapat dihentikan.
Tank overfill shutdown overdue → isolation gagal saat loading peak.

Overdue yang tidak dikontrol mengubah integritas sistem secara matematis dan fisik.

✓ 2.2 Initiating Causes

Tidak ada sistem tracking interval terpusat.
Turnaround delay tanpa risk review.
Perubahan maintenance window tanpa update SIL verification.
Keterbatasan operasi yang menunda full stroke test.
Tidak ada escalation threshold untuk overdue.

✓ 2.3 Escalation Path

Proof test overdue → Undetected failure probability meningkat → PFDavg > target → Residual risk underestimated → Demand terjadi → SIF gagal → Catastrophic event

Interval governance menjaga integritas SIL sepanjang lifecycle.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Interval Control Requirement

All proof test intervals shall be tracked in centralized system.
Actual execution date shall be recorded.
System shall automatically flag approaching due date.

✓ 3.2 Overdue Threshold Requirement

Defined grace period shall be established.
Exceeding grace period shall trigger formal risk review.
High energy SIF overdue shall trigger immediate escalation.

✓ 3.3 Interval Change Control

Any change to proof test interval shall trigger SIL re-verification.
Extension beyond design interval shall require Process Safety Authority approval.
For SIL ≥ 2 in high energy system, Corporate Risk Committee approval required if extension significant.

✓ 3.4 Turnaround Alignment

Proof test planning shall be aligned with maintenance window.
If full stroke cannot be performed, compensating measure shall be evaluated.
Partial testing shall not replace full interval without documented coverage validation.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menekankan bahwa proof test interval adalah bagian dari lifecycle functional safety.

PFDavg formula menunjukkan sensitivitas terhadap interval (T).

FM Global audit sering memeriksa:

Apakah interval aktual sesuai asumsi desain?
Apakah ada overdue yang tidak terdokumentasi?
Apakah extension interval memiliki risk justification?

Pada sistem seperti SMR dan hydrogenation:

Satu demand dapat berujung catastrophic.
Margin kesalahan sangat kecil.

Tanpa interval governance:

SIL hanya berlaku di atas kertas.
Risiko aktual meningkat tanpa disadari.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 System Compliance

Centralized proof test tracking system tersedia.
Interval dan due date terdokumentasi untuk setiap SIF.
Grace period terdokumentasi.

✓ 5.2 Operational Compliance

100% SIF berada dalam interval atau dalam grace period yang disetujui.
Tidak ada overdue high energy SIF tanpa escalation record.
Interval change memiliki SIL re-verification record.

✓ 5.3 Performance KPI

Proof test overdue < corporate threshold.
0 SIL ≥ 2 SIF dengan interval extension tanpa approval.
100% overdue memiliki documented risk review.

☑ 6. EVIDENCE & RECORDS

Proof test tracking database
Overdue report
Risk review record untuk extension
Updated SIL verification report (jika interval berubah)
Approval log (PSA / Corporate Risk Committee)
Maintenance planning record

Traceability:

SRS Interval → PFDavg Assumption → Maintenance Schedule → Execution Date → Overdue Flag → Risk Review → Approval → KPI Monitoring

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika interval tidak dapat dipenuhi:

Temporary risk assessment shall be performed.
Additional monitoring or restriction shall be applied.
Proof test shall be rescheduled at earliest opportunity.
High energy exposure shall trigger executive notification if overdue critical.

Tidak diperkenankan memperpanjang interval secara informal atau administratif tanpa evaluasi risiko kuantitatif.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Maintenance Manager Support: Instrument & Control Engineering Oversight: Process Safety Authority

Escalation Trigger:

Overdue beyond grace period
Repeated interval extension
Insurer finding terkait maintenance discipline
Incident melibatkan SIF overdue

Review interval governance dilakukan minimal setiap tahun dan saat revalidation HAZOP.

9.3 KPI Monitoring

Performance KPI shall be monitored against Annex A – A8.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan sistem pemantauan Key Performance Indicator (KPI) terhadap kinerja SIF pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga degradasi integritas, peningkatan demand, kenaikan spurious trip, atau peningkatan bypass dapat terdeteksi secara dini sebelum mengarah pada kegagalan proteksi dan eskalasi catastrophic.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Statistical Mechanism

Integritas SIF tidak hanya dipengaruhi oleh desain awal, tetapi oleh performa aktual selama operasi.

Parameter kritikal yang mempengaruhi risiko aktual:

Demand rate aktual vs asumsi LOPA.
Spurious trip rate yang terlalu tinggi (menurunkan availability dan mendorong bypass).
Bypass duration yang berlebihan.
Repeated failure pada final element.
Deviation antara assumed dan actual proof test interval.

Pada high energy system:

Frequent spurious trip pada SMR fuel trip dapat mendorong operator menonaktifkan proteksi.
Frequent nuisance trip pada reaktor hidrogenasi dapat menurunkan disiplin terhadap alarm dan SIF.
Tank overfill SIF yang sering false trip dapat memicu bypass saat loading peak.

Jika KPI tidak dimonitor:

Performance drift → Integritas menurun → PFDavg aktual meningkat → Residual risk tidak lagi dalam toleransi

✓ 2.2 Initiating Causes

Tidak ada dashboard SIF performance.
Demand event tidak direkam.
Spurious trip dianggap normal tanpa analisis.
Bypass tidak dimonitor secara kuantitatif.
Tidak ada korelasi antara KPI dan LOPA review.

✓ 2.3 Escalation Path

SIF frequent nuisance trip → Operator frustration → Temporary bypass → Extended bypass → Demand terjadi saat bypass → Catastrophic release → Audit menemukan lack of performance monitoring

KPI monitoring adalah sistem peringatan dini terhadap degradasi integritas.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 KPI Definition Requirement

The following KPI shall be monitored at minimum:

Spurious trip rate per SIF.
Demand rate per SIF.
Bypass duration per SIF.
Proof test overdue percentage.
Final element failure frequency.
SIL verification assumption deviation.

✓ 3.2 High Energy SIF Monitoring

High energy SIF KPI shall be reviewed monthly.
Repeated demand event shall trigger LOPA review.
Repeated spurious trip shall trigger root cause analysis.

✓ 3.3 Threshold & Trigger Requirement

Corporate threshold shall be defined for each KPI.
Exceeding threshold shall trigger formal review.
KPI degradation shall require corrective action plan.

✓ 3.4 Integration with Risk Governance

KPI results shall be reviewed in Process Safety meeting.
Significant KPI deviation shall trigger MOC review.
KPI trend shall be considered during HAZOP revalidation.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mengharuskan monitoring performa SIF selama operasi.

SIL adalah probabilistic measure; oleh karena itu:

Demand rate aktual mempengaruhi actual risk exposure.
Spurious trip mempengaruhi human behavior dan availability.

FM Global audit sering menilai:

Apakah SIF sering trip?
Apakah bypass dikontrol?
Apakah data performa dianalisis?

Pada high energy system:

Demand event jarang, tetapi konsekuensi tinggi.
Frequent nuisance trip dapat menciptakan budaya bypass.

Tanpa KPI monitoring:

Degradasi tidak terlihat sampai insiden terjadi.
Residual risk tidak lagi sesuai risk matrix.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

SIF KPI dashboard tersedia.
KPI threshold terdokumentasi.
Monthly review record tersedia untuk high energy SIF.

✓ 5.2 Operational Compliance

Root cause analysis tersedia untuk repeated spurious trip.
Bypass duration tidak melebihi threshold.
Demand event terdokumentasi dan direview.

✓ 5.3 Performance KPI

Spurious trip rate < corporate threshold.
0 extended bypass pada high energy SIF tanpa approval.
Demand rate sesuai asumsi LOPA atau telah direview ulang.

☑ 6. EVIDENCE & RECORDS

KPI dashboard report
Monthly SIF performance review minutes
Root cause analysis report
Bypass register
Demand event log
Corrective action tracking
LOPA revalidation record (jika dipicu)

Traceability:

SIF ID → SIL → Assumed Demand Rate → Actual Demand Log → KPI Comparison → Review → Corrective Action → Governance Escalation

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika KPI melebihi threshold:

Formal risk review shall be conducted.
Additional safeguard may be required.
Proof test interval may be reduced.
Architecture upgrade may be evaluated.
For high energy exposure, Corporate Risk Committee notification required.

Tidak diperkenankan mengabaikan KPI degradation sebagai isu operasional biasa tanpa evaluasi risiko.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Instrument & Control Engineering Operational Data Owner: Operations Manager

Escalation Trigger:

Repeated spurious trip
Repeated demand on high energy SIF
Extended bypass beyond threshold
Insurer audit finding terkait performance monitoring

Review KPI dilakukan minimal bulanan untuk high energy unit dan triwulanan untuk unit lainnya.

9.4 Risk Escalation Trigger

Escalation shall follow Annex A – A9 numeric trigger.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan mekanisme pemicu eskalasi risiko (risk escalation trigger) apabila indikator performa SIF, alarm, atau proteksi lain menunjukkan degradasi yang berpotensi meningkatkan residual risk di atas batas toleransi corporate risk matrix pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene.

Klausul ini memastikan bahwa peningkatan risiko tidak berhenti pada level teknis, tetapi tereskalasi secara governance hingga level otoritas yang sesuai.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Risk Drift Mechanism

Risk escalation terjadi ketika asumsi dalam LOPA dan SIL verification tidak lagi sesuai dengan kondisi aktual, misalnya:

Demand rate aktual lebih tinggi dari asumsi desain.
Proof test overdue berulang.
Spurious trip tinggi mendorong bypass.
Alarm IPL tidak lagi memenuhi KPI.
Shared infrastructure exception bertambah.

Pada high energy system:

Reaktor hidrogenasi dengan demand berulang menunjukkan instability proses.
SMR flame trip berulang menunjukkan degradation burner control.
Tank overfill alarm sering bypass saat loading peak.

Risk drift yang tidak di-escalate:

Performance degradation → PFDavg aktual naik → Residual risk > tolerable → Catastrophic exposure meningkat

✓ 2.2 Initiating Causes

KPI breach tidak dikaitkan dengan risk review.
Tidak ada threshold formal untuk eskalasi.
Governance hanya bersifat administratif.
Tidak ada linkage antara performance dan corporate risk matrix.

✓ 2.3 Escalation Path

KPI breach → Tidak ada risk review → Degradation berlanjut → Demand terjadi saat sistem degraded → Catastrophic event → Audit menemukan lack of escalation governance

Risk escalation trigger adalah mekanisme koreksi sebelum insiden terjadi.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Escalation Threshold Definition

Corporate shall define escalation thresholds for at minimum:

Proof test overdue beyond grace period.
Repeated demand event on same SIF.
Spurious trip rate exceeding threshold.
Extended bypass duration.
Alarm IPL performance degradation.
Common cause exposure identified.

✓ 3.2 Mandatory Risk Review

Exceeding defined threshold shall trigger formal risk review.
Risk review shall reassess residual risk against corporate risk matrix.
Impact on SIL assumption shall be evaluated.

✓ 3.3 High Energy Immediate Escalation

For high energy SIF:

Single missed proof test beyond grace period shall trigger review.
Repeated demand event shall trigger LOPA revalidation.
Extended bypass beyond defined duration shall trigger Process Safety Authority notification.
Catastrophic exposure shall trigger Corporate Risk Committee notification.

✓ 3.4 Documentation Requirement

Escalation event shall be recorded.
Corrective action plan shall be defined.
Approval and closure shall be documented.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 menekankan bahwa lifecycle functional safety mencakup monitoring dan corrective action.

ISO 31000 mengharuskan risk evaluation ulang bila kondisi berubah.

CCPS LOPA menyatakan bahwa perubahan pada initiating frequency atau IPL effectiveness memerlukan re-evaluasi.

FM Global audit biasanya menanyakan:

Apa yang terjadi ketika KPI melebihi batas?
Apakah ada bukti risk review?
Apakah executive aware terhadap catastrophic exposure?

Tanpa escalation trigger:

Risk drift menjadi tidak terlihat.
Governance kehilangan fungsi kontrol.
Defensibility hilang karena tidak ada jejak tindakan saat risiko meningkat.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Escalation threshold document tersedia.
Escalation matrix terdokumentasi.
Risk review template tersedia.

✓ 5.2 Operational Compliance

Semua KPI breach memiliki escalation record.
Risk review dilakukan sesuai threshold.
Corrective action terdokumentasi dan ditutup.

✓ 5.3 Performance KPI

100% high energy KPI breach memiliki documented risk review.
0 extended bypass tanpa escalation record.
0 repeated demand event tanpa LOPA impact review.

☑ 6. EVIDENCE & RECORDS

Escalation threshold document
Escalation log register
Risk review report
Updated LOPA worksheet (jika applicable)
Corrective action plan
Corporate Risk Committee minutes (jika triggered)

Traceability:

KPI Deviation → Threshold Breach → Escalation Log → Risk Review → Residual Risk Re-evaluation → Approval → Corrective Action → Closure

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengabaikan escalation trigger.

Jika corrective action memerlukan waktu:

Temporary operational restriction shall be applied.
Additional monitoring shall be implemented.
Executive acknowledgment required for catastrophic exposure.
Insurer notification required if exposure significant.

Risk escalation tidak boleh diselesaikan secara informal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Operations, Instrument, Maintenance Approval Authority: Corporate Risk Committee (untuk catastrophic exposure)

Escalation Trigger Examples:

Proof test overdue high energy SIF > grace period.
Repeated spurious trip causing bypass.
Demand frequency doubling from design assumption.
Insurer finding terkait integrity degradation.

Review escalation governance dilakukan setiap tahun dan pada setiap periodic CREG review.

10. MANAGEMENT OF CHANGE (MOC)

10.1 Change Categories

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kategori perubahan (change categories) yang wajib dikendalikan dalam kerangka Management of Change (MOC) pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga setiap perubahan yang berpotensi memengaruhi initiating frequency, efektivitas IPL, independensi sistem, atau SIL tidak terjadi tanpa evaluasi risiko formal dan tanpa menjaga defensibility CREG.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Risk Mechanism

Perubahan teknis atau operasional dapat mengubah parameter risiko secara signifikan, misalnya:

Perubahan komposisi feed → meningkatkan heat release reaktor.
Perubahan setpoint → mempersempit margin safety.
Penggantian sensor → failure rate berbeda.
Upgrade firmware → systematic failure risk.
Perubahan arsitektur power → common cause domain baru.
Perubahan service tank → perubahan klasifikasi flammable.

Pada high energy system:

Feed lebih reaktif pada hydrogenation reactor → runaway lebih cepat.
Firing rate SMR meningkat → heat flux lebih tinggi.
Propylene tank digunakan untuk service lain → perubahan vapor pressure profile.

Jika perubahan tidak diklasifikasikan dengan jelas:

Minor modification dianggap rutin → Tidak ada LOPA review → SIL assumption tidak lagi valid → Residual risk meningkat

✓ 2.2 Initiating Causes

Tidak ada definisi jelas perubahan yang wajib MOC.
Perubahan dianggap “operasional” bukan “engineering”.
Tidak ada kategori untuk firmware dan cyber change.
Temporary modification tidak dikontrol.

✓ 2.3 Escalation Path

Unclassified change → Tidak melalui risk review → Parameter risiko berubah → Proteksi tidak lagi memadai → Catastrophic scenario terealisasi → Investigasi menemukan MOC gap

Change categorization adalah pintu masuk governance risiko.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Process Parameter Change

The following changes shall require MOC review:

Setpoint modification (temperature, pressure, level).
Change in operating envelope.
Feed composition change.
Catalyst change affecting reaction rate.
Capacity increase affecting inventory.

✓ 3.2 Instrument & Control Change

The following shall require MOC:

Sensor type change.
Voting logic modification.
Logic solver firmware update.
Alarm priority modification.
SIS architecture change.
Proof test interval modification.

✓ 3.3 Mechanical & Utility Change

The following shall require MOC:

Power architecture modification.
Instrument air system modification.
Relief valve resizing.
Piping rerouting affecting segregation.
Tank service reclassification.

✓ 3.4 Temporary Modification

Temporary bypass of SIF shall require MOC.
Temporary power supply change shall require MOC.
Commissioning override beyond defined duration shall require MOC.
Temporary operation outside normal envelope shall require risk review.

✓ 3.5 High Energy Escalation

Any change affecting high energy SIF shall require Process Safety Authority approval.
Changes affecting SIL ≥ 2 shall require documented SIL impact evaluation.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan bahwa perubahan yang mempengaruhi SIF harus melalui lifecycle management.

ISO 31000 menekankan evaluasi ulang risiko saat kondisi berubah.

CCPS LOPA menyatakan bahwa perubahan initiating frequency atau IPL effectiveness harus memicu re-evaluation.

FM Global audit sering menemukan:

Firmware update tanpa review.
Setpoint change tanpa risk assessment.
Temporary bypass tanpa documentation.

Pada high energy system:

Perubahan kecil dapat mengubah process safety time.
Margin runaway dapat menyempit tanpa disadari.

Tanpa kategori perubahan yang jelas:

MOC menjadi selektif.
Risiko meningkat tanpa jejak audit.
CREG kehilangan defensibility.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Change category matrix tersedia.
MOC form mencantumkan kategori perubahan.
Checklist SIL impact tersedia.

✓ 5.2 Operational Compliance

100% perubahan sesuai kategori melalui MOC.
Tidak ada firmware update tanpa MOC record.
Tidak ada setpoint change pada high energy unit tanpa review.

✓ 5.3 Performance KPI

0 unreviewed change ditemukan dalam audit.
100% high energy modification memiliki SIL impact review.
0 temporary bypass tanpa documented approval.

☑ 6. EVIDENCE & RECORDS

MOC procedure document
Change category matrix
MOC register
SIL impact evaluation record
Firmware update log
Setpoint change log
Temporary bypass record

Traceability:

Proposed Change → Category Identification → MOC → Risk Review → SIL Impact Evaluation → Approval → Implementation → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengklasifikasikan perubahan sebagai “minor” untuk menghindari MOC.

Jika emergency change diperlukan:

Post-implementation risk review shall be conducted.
Temporary risk control shall be documented.
Approval escalation required for high energy exposure.

Perubahan tanpa MOC dianggap non-compliance terhadap CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Engineering Manager Support: Operations, Instrument, Maintenance Oversight: Process Safety Authority

Escalation Trigger:

Unreviewed firmware update
Setpoint change without documentation
Insurer finding terkait uncontrolled modification
Incident involving modified system

Review change category matrix dilakukan setiap 5 tahun atau setelah major incident.

10.2 Risk Review Requirement

Any change impacting initiating frequency, IPL, RRF, SIL, or proof test interval shall require recalculation per Annex A – A3 to A6.:
A3 – INITIATING EVENT FREQUENCY GOVERNANCE
A4 – IPL CREDIT GOVERNANCE
A5 – RRF TO SIL MAPPING & MINIMUM SIL FLOOR
A6 – PFDavg Calculation & Hardware Integrity Governance

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan review risiko yang wajib dilakukan dalam setiap Management of Change (MOC) pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga setiap perubahan yang berpotensi memengaruhi initiating frequency, konsekuensi, efektivitas IPL, independensi sistem, atau SIL dievaluasi secara sistematis terhadap corporate risk matrix dan tidak menurunkan tingkat proteksi tanpa persetujuan formal.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Risk Mechanism

Perubahan dapat menggeser satu atau lebih parameter dalam persamaan risiko:

Initiating frequency meningkat.
Consequence severity meningkat (misalnya inventory bertambah).
Process safety time berkurang.
IPL effectiveness menurun.
Common cause exposure meningkat.

Contoh pada high energy system:

Peningkatan firing rate SMR → heat flux naik → margin tube rupture menurun.
Perubahan katalis reaktor → kinetika reaksi lebih cepat → runaway time lebih pendek.
Penambahan kapasitas tank propylene → potensi VCE lebih besar.
Perubahan logic voting 2oo3 menjadi 1oo2 → PFDavg meningkat.

Jika risk review tidak dilakukan:

Change implemented → Assumption LOPA tidak lagi valid → SIL tidak lagi mencukupi → Residual risk > tolerable → Catastrophic exposure meningkat

✓ 2.2 Initiating Causes

MOC hanya administratif.
Tidak ada kriteria kapan LOPA harus direview.
Tidak ada kewajiban mengevaluasi impact terhadap SIL.
Tidak ada linkage ke risk matrix.

✓ 2.3 Escalation Path

Perubahan teknis → Tidak ada risk review kuantitatif → Proteksi tidak lagi memadai → Demand terjadi → SIF gagal karena mismatch design vs reality → Incident → Audit menemukan risk review tidak memadai

Risk review adalah inti defensibility MOC.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Risk Screening Requirement

Every MOC shall undergo initial risk screening.
Screening shall determine whether HAZOP, LOPA, or SIL re-verification required.
Screening decision shall be documented.

✓ 3.2 LOPA Revalidation Requirement

LOPA shall be revalidated if change affects:

Initiating event frequency.
Consequence severity.
IPL effectiveness.
Independence assumption.
Demand rate assumption.
Process safety time.

✓ 3.3 SIL Impact Evaluation

Any change affecting SIF architecture, sensor type, final element, logic, or proof test interval shall require SIL re-verification.
Updated PFDavg calculation shall be performed where applicable.
β-factor assumption shall be re-evaluated if independence impacted.

✓ 3.4 Risk Matrix Alignment

Updated residual risk shall be compared to corporate risk matrix.
If residual risk exceeds tolerable criteria, additional safeguard shall be implemented.
Risk acceptance above defined threshold shall require escalation per governance hierarchy.

✓ 3.5 High Energy System Requirement

Any change affecting SMR firing system, hydrogenation reactor protection, or tank overfill system shall require Process Safety Authority approval.
Catastrophic consequence exposure shall require Corporate Risk Committee notification.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan bahwa perubahan yang mempengaruhi SIF harus melalui functional safety assessment.

ISO 31000 mengharuskan risk evaluation ulang saat kondisi berubah.

CCPS LOPA menyatakan bahwa perubahan initiating frequency atau IPL performance membatalkan validitas analisis sebelumnya.

FM Global audit sering memeriksa:

Apakah LOPA diperbarui setelah perubahan?
Apakah SIL diverifikasi ulang setelah logic change?
Apakah tank service change memicu risk reassessment?

Pada high energy system:

Perubahan kecil dapat memperpendek process safety time secara signifikan.
Perubahan kapasitas atau firing rate dapat mengubah severity category.

Tanpa risk review formal:

MOC menjadi formalitas administratif.
Residual risk drift tidak terdeteksi.
CREG kehilangan kredibilitas saat audit.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Risk screening checklist tersedia.
LOPA revalidation criteria terdokumentasi.
SIL impact evaluation template tersedia.

✓ 5.2 Operational Compliance

100% MOC memiliki documented risk screening.
Perubahan pada SIF memiliki updated SIL verification.
Tidak ada change impacting high energy system tanpa PSA approval.

✓ 5.3 Performance KPI

0 change affecting SIF tanpa SIL impact review.
100% LOPA-relevant change memiliki revalidation record.
Tidak ada risk matrix exceedance tanpa escalation record.

☑ 6. EVIDENCE & RECORDS

MOC risk screening form
Updated HAZOP record (jika required)
Updated LOPA worksheet
Updated SIL verification report
Risk matrix comparison record
Approval log (PSA / Corporate Risk Committee)
Closure verification record

Traceability:

Change Proposal → Category Identification → Risk Screening → LOPA Revalidation → SIL Verification → Residual Risk Comparison → Approval → Implementation → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengimplementasikan perubahan yang berdampak pada risiko tanpa risk review.

Jika emergency change dilakukan:

Immediate post-implementation risk review shall be conducted.
Temporary safeguard shall be applied.
Executive acknowledgment required for catastrophic exposure.

Perubahan yang meningkatkan residual risk tanpa approval formal dianggap pelanggaran CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Engineering & Operations Approval Authority: Corporate Risk Committee (untuk exceedance high severity)

Escalation Trigger:

Change affecting SIL ≥ 2
Increase in consequence severity class
Insurer recommendation following audit
Incident involving modified system

Review efektivitas risk review MOC dilakukan setiap tahun dan pada periodic CREG review.

10.3 Temporary Modification Rule

[Temporary impairment of protection shall be evaluated under Annex A – A8 and A9:]
A8 – KPI NUMERIC THRESHOLD & PERFORMANCE TRIGGER
A9 – ESCALATION NUMERIC TRIGGER & GOVERNANCE ENFORCEMENT

☑ 1. INTENT

Klausul ini bertujuan untuk mengendalikan seluruh modifikasi sementara (temporary modification), termasuk bypass SIF, override logic, temporary power supply, dan operasi di luar envelope normal pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga tidak terjadi penghilangan IPL atau degradasi independensi yang meningkatkan residual risk tanpa batas waktu, tanpa risk review, dan tanpa persetujuan governance yang sesuai.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical & Governance Mechanism

Temporary modification sering dilakukan untuk:

Maintenance SIF.
Commissioning.
Troubleshooting nuisance trip.
Turnaround preparation.
Keterbatasan spare part.

Namun pada high energy system:

Bypass SMR fuel trip → furnace explosion exposure langsung.
Bypass reactor high-high temperature trip → runaway tidak terkendali.
Bypass tank high-high level → overfill langsung menuju LoC.
Temporary power routing → hilangnya segregation.

Mekanisme eskalasi khas:

Temporary bypass → IPL removed → Deviation terjadi → Tidak ada intervensi otomatis → Catastrophic event

Risiko temporary modification sering underestimated karena dianggap “sementara”.

✓ 2.2 Initiating Causes

Tidak ada batas waktu formal.
Tidak ada escalation threshold.
Tidak ada risk assessment sebelum bypass.
Bypass tidak diregister secara terpusat.
Tekanan operasional untuk menjaga produksi.

✓ 2.3 Escalation Path

Bypass dilakukan → Durasi diperpanjang tanpa review → Deviation terjadi saat bypass aktif → Tidak ada proteksi → Catastrophic release → Audit menemukan bypass governance lemah

Temporary modification adalah salah satu penyebab utama gap antara desain dan operasi.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Mandatory Risk Assessment

Any temporary bypass of SIF shall undergo formal risk assessment.
Impact on residual risk shall be evaluated against corporate risk matrix.
Compensating safeguard shall be defined prior to activation.

✓ 3.2 Duration Control Requirement

Temporary modification shall have defined start date and expiry date.
Extension beyond initial duration shall require renewed risk review.
High energy SIF bypass shall have maximum allowable duration defined.

✓ 3.3 Compensating Measure Requirement

Engineering safeguard shall be preferred over administrative control.
Additional monitoring or restriction shall be implemented.
Increased operator vigilance alone shall not be sole compensating measure for catastrophic exposure.

✓ 3.4 Registration & Tracking

All temporary modifications shall be logged in centralized bypass register.
Active bypass status shall be visible to operations and management.
Monthly review of active bypass shall be conducted.

✓ 3.5 Escalation Requirement

Bypass affecting SIL ≥ 2 shall require Process Safety Authority approval.
Bypass affecting high energy system shall require escalation per governance matrix.
Catastrophic exposure shall trigger Corporate Risk Committee notification.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan pengendalian bypass dan override sebagai bagian dari lifecycle functional safety.

CCPS LOPA menyatakan bahwa penghilangan IPL mengubah residual risk secara langsung.

FM Global audit sering menemukan:

SIF bypass tanpa dokumentasi.
Bypass aktif lebih lama dari yang direncanakan.
Tidak ada visibility manajemen terhadap bypass.

Pada high energy system:

Tanpa SIF aktif, waktu menuju catastrophic bisa sangat singkat.
Operator intervention sering tidak cukup cepat.

Tanpa aturan ketat temporary modification:

Integritas sistem bergantung pada disiplin individu.
Residual risk dapat melonjak tanpa disadari.
CREG kehilangan defensibility saat investigasi insiden.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Temporary modification procedure tersedia.
Bypass register tersedia dan terpusat.
Escalation matrix terdokumentasi.

✓ 5.2 Operational Compliance

100% bypass memiliki risk assessment terdokumentasi.
Tidak ada bypass melewati expiry date tanpa renewed approval.
Monthly bypass review meeting terdokumentasi.

✓ 5.3 Performance KPI

0 high energy SIF bypass tanpa PSA approval.
0 bypass tanpa defined expiry date.
Bypass duration within corporate threshold.

☑ 6. EVIDENCE & RECORDS

Temporary modification procedure
Bypass register
Risk assessment record
Compensating safeguard documentation
Approval log (PSA / Corporate Risk Committee)
Monthly bypass review minutes
Closure verification record

Traceability:

Bypass Request → Risk Assessment → Residual Risk Comparison → Approval → Activation → Monitoring → Expiry Review → Closure → Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan bypass high energy SIF tanpa formal approval.

Jika emergency bypass diperlukan:

Immediate notification to Process Safety Authority.
Compensating safeguard implemented prior to bypass.
Post-activation review within defined short timeframe.
Executive acknowledgment required if catastrophic exposure.

Perpanjangan bypass tanpa review dianggap pelanggaran CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Operations Manager Support: Maintenance & Instrument Engineering Oversight: Process Safety Authority

Escalation Trigger:

High energy SIF bypass activation
Bypass exceeding defined duration
Repeated nuisance trip causing frequent bypass
Insurer finding terkait bypass control

Review governance temporary modification dilakukan minimal setiap tahun dan dalam periodic CREG review.

11. DOCUMENTATION & AUDIT REQUIREMENT

11.1 Mandatory Artifacts

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan daftar artefak wajib (mandatory artifacts) yang harus tersedia, terdokumentasi, dan dapat ditelusuri pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga setiap keputusan risiko, penetapan SIL, independensi IPL, dan governance MOC memiliki bukti objektif yang audit-ready serta defensible terhadap insurer-driven governance.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Tanpa artefak terdokumentasi:

SIL decision tidak dapat ditelusuri.
Independence claim tidak dapat dibuktikan.
Alarm IPL credit tidak memiliki justifikasi.
Proof test interval tidak dapat diverifikasi terhadap asumsi desain.
MOC impact terhadap risiko tidak dapat ditunjukkan.

Pada high energy system:

Kegagalan furnace trip tanpa SRS terdokumentasi → tidak dapat dibuktikan compliance IEC 61511.
Overfill tank tanpa API 2350 alignment record → insurer challenge.
Reactor runaway SIF tanpa SIL verification report → defensibility hilang.

Absennya artefak = absennya pembuktian integritas sistem.

✓ 2.2 Initiating Causes

Dokumentasi tersebar tanpa sistem kontrol versi.
LOPA tidak terhubung ke SRS.
Tidak ada linkage antara deviation dan SIF.
Proof test record tidak terdigitalisasi.
Tidak ada daftar artefak minimum yang wajib tersedia.

✓ 2.3 Escalation Path

Incident terjadi → Audit atau insurer review → Artefak tidak lengkap → Asumsi tidak dapat dibuktikan → Claim dispute / governance failure

Mandatory artifacts adalah fondasi traceability CREG.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Hazard Identification Artifacts

The following shall be available:

HAZID report (if applicable).
HAZOP report including deviation ID.
Study charter including boundary definition.

✓ 3.2 LOPA & Risk Evaluation Artifacts

LOPA worksheet with initiating frequency reference.
Conditional modifier justification.
Residual risk calculation.
Risk matrix comparison record.

✓ 3.3 Functional Safety Artifacts

Safety Requirement Specification (SRS).
SIL verification report (PFDavg calculation).
Architecture diagram (sensor, logic, final element).
Common cause analysis (β-factor documentation).
Response time validation record.

✓ 3.4 Operational Assurance Artifacts

Proof test procedure.
Proof test record.
Valve stroke and leak test report.
Bypass register.
SIF KPI monitoring record.

✓ 3.5 MOC & Change Artifacts

MOC register.
Risk screening record.
LOPA revalidation record (if triggered).
Approval log for SIL ≥ 2.

✓ 3.6 Alarm & Special Alarm Artifacts

Alarm philosophy document.
Alarm rationalization record.
Special alarm register.
Alarm KPI dashboard.

✓ 3.7 Property & Insurer Alignment Artifacts

API 521 relief calculation.
API 2350 compliance checklist.
FM Global alignment review report.
Electrical single line diagram for segregation review.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan dokumentasi lifecycle functional safety.

IEC 61508 menekankan systematic documentation untuk mencegah systematic failure.

ISO 31000 mengharuskan risk decision terdokumentasi.

FM Global audit berfokus pada:

Traceability keputusan.
Validitas SIL.
Bukti independensi.
Bukti maintenance governance.

Tanpa artefak wajib:

Governance menjadi tidak terverifikasi.
Risk matrix alignment tidak dapat dibuktikan.
CREG kehilangan kredibilitas saat audit eksternal.

Mandatory artifacts memastikan:

Hazard → LOPA → SIL → Design → Operation → Monitoring → Review memiliki bukti objektif di setiap tahap.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Mandatory artifact list terdokumentasi.
Document control system aktif.
Version control tersedia.

✓ 5.2 Operational Compliance

100% SIF memiliki SRS dan SIL verification report.
100% high energy scenario memiliki LOPA record.
Proof test record tersedia sesuai interval.

✓ 5.3 Performance KPI

0 SIL ≥ 2 tanpa approval record.
0 high energy SIF tanpa documented architecture diagram.
0 missing artifact pada audit internal.

☑ 6. EVIDENCE & RECORDS

Master Artifact Register
Document Control Procedure
Version control log
Audit checklist
Internal audit report
Insurer audit response record

Traceability:

Deviation ID → LOPA ID → SIF ID → SRS Clause → SIL Verification → Proof Test → KPI → MOC Update → Audit Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengoperasikan high energy unit tanpa artefak wajib lengkap.

Jika artefak hilang atau tidak lengkap:

Immediate documentation recovery plan shall be initiated.
Risk review shall be conducted if critical artifact missing.
Executive notification required if catastrophic exposure involved.

Artefak tidak lengkap dianggap non-compliance terhadap CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Engineering Document Control Oversight: Corporate Risk Committee

Escalation Trigger:

Missing SIL verification report
Missing proof test record for high energy SIF
Insurer finding terkait documentation gap
Incident investigation menemukan documentation deficiency

Review kelengkapan artefak dilakukan minimal setiap tahun dan pada periodic CREG review.

11.2 Traceability Requirement

Numerical traceability shall comply with Annex A – A10.

☑ 1. INTENT

Klausul ini bertujuan untuk memastikan bahwa setiap keputusan risiko, penetapan SIL, desain SIF, pengujian, dan monitoring pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene dapat ditelusuri secara end-to-end dari sumber hazard hingga performa aktual di lapangan, sehingga defensibility CREG tidak bergantung pada narasi, tetapi pada rantai bukti yang konsisten dan terintegrasi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Breakdown Mechanism

Tanpa traceability terstruktur:

HAZOP deviation tidak terhubung ke LOPA scenario.
LOPA tidak terhubung ke SIF ID.
SRS tidak mereferensikan LOPA ID.
SIL verification berdiri sendiri tanpa konteks hazard.
Proof test record tidak dikaitkan dengan SIF ID.
KPI tidak dikaitkan dengan SIL assumption.

Pada high energy system:

Reactor runaway SIF tidak dapat ditelusuri ke deviation awal.
SMR flame trip tidak dapat ditunjukkan sebagai mitigasi atas hazard spesifik.
Tank overfill shutdown tidak dapat ditelusuri ke API 2350 compliance.

Tanpa traceability:

Incident investigation → Tidak dapat membuktikan bahwa proteksi dirancang untuk hazard spesifik → Governance credibility hilang → Insurer challenge meningkat

✓ 2.2 Initiating Causes

Tidak ada unique ID untuk deviation dan SIF.
Tidak ada mapping formal antara dokumen.
Dokumen berada dalam sistem berbeda tanpa linkage.
Perubahan tidak diperbarui pada seluruh dokumen terkait.

✓ 2.3 Escalation Path

Hazard identified → SIF designed → MOC implemented → Documentation not updated → Assumption mismatch → Demand event → Audit menemukan broken traceability chain

Traceability memastikan integritas logika proteksi dari awal hingga akhir.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Unique Identification Requirement

Each HAZOP deviation shall have unique ID.
Each LOPA scenario shall reference deviation ID.
Each SIF shall have unique SIF ID.
SRS shall reference LOPA scenario ID.
SIL verification report shall reference SIF ID.

✓ 3.2 End-to-End Mapping Requirement

The following mapping shall be maintained:

Deviation ID → LOPA Scenario ID → Required RRF → Assigned SIL → SIF ID → SRS Clause → Architecture Diagram → SIL Verification Report → Proof Test Procedure → Proof Test Record → KPI Monitoring Record

✓ 3.3 Change Management Traceability

Any MOC affecting SIF shall update mapping record.
Updated LOPA or SIL verification shall retain version history.
Version change shall be documented with revision control.

✓ 3.4 Audit Accessibility Requirement

Traceability mapping shall be retrievable within defined time.
High energy SIF mapping shall be readily available for insurer audit.
Electronic document management system shall support cross-reference.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 lifecycle mensyaratkan keterhubungan antara hazard analysis, SRS, verification, dan operation.

IEC 61508 menekankan systematic control dan dokumentasi konsisten.

ISO 31000 menuntut transparansi dalam risk decision.

FM Global audit biasanya meminta:

Tunjukkan hazard yang menyebabkan SIF ini dibuat.
Tunjukkan bagaimana SIL ditentukan.
Tunjukkan bukti bahwa sistem diuji sesuai asumsi.
Tunjukkan bukti bahwa sistem masih memenuhi SIL.

Tanpa traceability:

Setiap dokumen menjadi entitas terpisah.
Tidak ada bukti bahwa sistem dibangun secara sistemik.
Defensibility runtuh saat audit mendalam.

Traceability adalah tulang punggung defensible governance.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Traceability matrix tersedia dan terdokumentasi.
Unique ID system diterapkan konsisten.
Document management system mendukung cross-reference.

✓ 5.2 Operational Compliance

100% SIF memiliki end-to-end mapping.
Setiap MOC update memperbarui traceability matrix.
Tidak ada broken link pada audit internal.

✓ 5.3 Performance KPI

0 high energy SIF tanpa deviation ID reference.
100% SIL ≥ 2 memiliki complete mapping chain.
Audit retrieval time within defined corporate target.

☑ 6. EVIDENCE & RECORDS

Traceability matrix document
Unique ID register
Document control revision log
MOC update record
Audit checklist
Internal audit report

Traceability Example (High Energy Case):

Reactor High-High Temperature Deviation (HZ-HT-001) → LOPA-HT-01 → Required RRF 1000 → SIL 2 → SIF-HT-02 → SRS Clause 5.3 → 1oo2 architecture → SIL Verification Report Rev 3 → Proof Test Procedure PT-HT-02 → Proof Test Record 2026-Q1 → KPI Dashboard Entry

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengoperasikan SIF tanpa complete traceability.

Jika broken traceability ditemukan:

Immediate documentation recovery shall be initiated.
Risk review required for high energy SIF.
Executive notification required if catastrophic exposure cannot be validated.

Traceability gap dianggap governance deficiency.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Engineering Document Control Oversight: Corporate Risk Committee

Escalation Trigger:

Missing mapping during audit
MOC implemented without update of traceability
Insurer request for hazard-to-SIF linkage
Incident investigation menemukan broken chain

Traceability review dilakukan minimal setiap tahun dan dalam periodic CREG review.

11.3 Retention & Version Control

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan persyaratan retensi dan kontrol versi seluruh dokumen CREG pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga integritas historis keputusan risiko, perubahan SIL, hasil LOPA, dan asumsi proteksi tetap dapat ditelusuri sepanjang lifecycle aset serta dapat dipertahankan secara hukum dan asuransi dalam jangka panjang.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Tanpa kontrol versi dan retensi yang disiplin:

Versi lama LOPA tertimpa tanpa rekam jejak.
Perubahan SIL tidak memiliki histori.
Assumption PFDavg awal hilang.
MOC tidak dapat dibandingkan dengan kondisi sebelumnya.
Investigasi insiden tidak dapat merekonstruksi basis desain.

Pada high energy system:

SMR firing philosophy berubah tetapi versi lama tidak terdokumentasi.
Reactor shutdown logic dimodifikasi tanpa histori perubahan.
Tank overfill protection disesuaikan tanpa jejak revisi.

Ketiadaan histori:

Incident investigation → Tidak dapat membuktikan apakah desain awal compliant → Tidak dapat menunjukkan kapan risiko meningkat → Defensibility hilang

✓ 2.2 Initiating Causes

Tidak ada sistem document management formal.
Dokumen disimpan dalam format tidak terkendali.
Tidak ada aturan retensi minimum.
Tidak ada penandaan “as-built” vs “as-operated”.
Tidak ada log revisi formal.

✓ 2.3 Escalation Path

Dokumen direvisi → Versi lama hilang → Assumption tidak dapat diverifikasi → Insurer challenge → Governance credibility menurun

Retention dan version control melindungi integritas lifecycle.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Retention Period Requirement

All CREG-related documents shall be retained minimum 20 years.
High energy SIF documentation shall be retained for asset life.
Incident-related documentation shall not be deleted.

✓ 3.2 Version Control Requirement

All documents shall have revision number, date, and approval record.
Revision history shall be maintained.
Previous versions shall be archived and retrievable.

✓ 3.3 As-Built vs As-Operated Control

As-built documentation shall be updated after commissioning.
As-operated documentation shall reflect current configuration.
Any deviation between as-built and as-operated shall be documented under MOC.

✓ 3.4 Change Impact Documentation

Every revision affecting SIL, architecture, or LOPA shall include change summary.
Impact on residual risk shall be documented.
Approval authority shall be recorded.

✓ 3.5 Electronic Document Management

Centralized document management system shall be implemented.
Access control shall be defined.
Audit trail shall be enabled.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 lifecycle mensyaratkan dokumentasi sepanjang umur sistem.

IEC 61508 menekankan systematic control dan configuration management.

ISO 31000 menuntut transparansi dan jejak keputusan risiko.

FM Global audit sering meminta:

Bukti histori perubahan SIL.
Versi lama LOPA untuk dibandingkan.
Bukti bahwa modifikasi terdokumentasi.

Pada high energy system:

Perubahan kecil pada logic dapat berdampak besar.
Histori penting untuk investigasi root cause.

Tanpa retention & version control:

Governance menjadi tidak dapat diaudit.
Risiko hukum meningkat.
CREG kehilangan legitimasi jangka panjang.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Document management system tersedia.
Revision control template tersedia.
Retention policy terdokumentasi.

✓ 5.2 Operational Compliance

Semua dokumen memiliki revision number.
Versi sebelumnya dapat diakses.
Tidak ada dokumen critical tanpa approval record.

✓ 5.3 Performance KPI

0 missing revision history for SIL ≥ 2.
100% MOC menghasilkan update versi terdokumentasi.
Audit retrieval time within corporate target.

☑ 6. EVIDENCE & RECORDS

Document retention policy
Revision control log
Archived document repository
MOC revision summary
Approval log
Audit trail record
As-built vs as-operated comparison record

Traceability:

Original Hazard Analysis → Revision 1 → MOC → Revision 2 → Updated SIL → Version Archive → Audit Retrieval

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menghapus atau mengganti dokumen tanpa arsip.

Jika dokumen hilang:

Immediate reconstruction effort shall be initiated.
Risk review required for high energy SIF.
Executive notification required if critical documentation cannot be recovered.

Dokumen tanpa revision control dianggap non-compliant terhadap CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Engineering Document Control Support: Process Safety Authority Oversight: Corporate Risk Committee

Escalation Trigger:

Missing revision history
Uncontrolled document detected in audit
Insurer finding related to document integrity
Incident investigation membutuhkan dokumentasi historis yang tidak tersedia

Review retention & version control dilakukan minimal setiap tahun dan dalam periodic CREG review.

12. INSURANCE & EXTERNAL AUDIT ALIGNMENT

12.1 Property Loss Prevention Alignment

Numerical compliance with Annex A shall be demonstrable during insurer audit.

☑ 1. INTENT

Klausul ini bertujuan untuk memastikan bahwa desain, proteksi, dan governance risiko pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene selaras dengan prinsip property loss prevention yang dipersyaratkan oleh insurer, sehingga risiko kebakaran, ledakan, dan kerusakan aset besar (major asset loss) dikendalikan tidak hanya dari perspektif process safety tetapi juga dari perspektif perlindungan aset dan business interruption.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Physical Property Loss Mechanism

Property loss pada fasilitas petrokimia umumnya berasal dari:

Furnace explosion pada SMR.
Hydrogen jet fire atau VCE pada unit hidrogenasi.
Column rupture akibat overpressure.
Tank overfill → pool fire → tank-to-tank domino.
Electrical arc flash → fire in control room.

Mekanisme eskalasi khas:

Loss of Containment → Ignition → Fire / Explosion → Structural damage → Multi-unit shutdown → Extended business interruption

Walaupun SIL dan LOPA fokus pada fatality risk, insurer berfokus pada:

Maximum foreseeable loss (MFL)
Probable maximum loss (PML)
Fire exposure propagation
Asset concentration risk

Tanpa alignment dengan property loss prevention:

Sistem mungkin aman secara individual risk,
Tetapi tidak memadai untuk membatasi asset loss.

✓ 2.2 Initiating Causes

Tidak mempertimbangkan fire exposure case pada relief design.
Tidak menerapkan tank overfill protection sesuai API 2350.
Tidak ada fire separation antar unit kritikal.
Tidak mempertimbangkan FM Data Sheet requirement dalam arsitektur listrik.
Tidak ada evaluasi domino potential.

✓ 2.3 Escalation Path

Process deviation → LoC → Fire propagation → Proteksi pasif tidak memadai → Multi-asset damage → Insurer challenge terhadap risk engineering adequacy

Property loss governance memperluas cakupan CREG dari life safety ke asset integrity skala besar.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Insurer Standard Alignment

Design shall consider applicable FM Global Data Sheets relevant to fired equipment, flammable liquid storage, and electrical systems.
Storage tank overfill protection shall align with API 2350.
Pressure relief and fire case sizing shall align with API 521.

✓ 3.2 Fired Equipment Requirement (SMR)

Furnace instrumentation philosophy shall align with API 556.
Flame detection and fuel shutoff shall meet both SIL requirement and insurer expectation.
Fire exposure and radiant heat impact on nearby equipment shall be evaluated.

✓ 3.3 Flammable Storage Requirement

Tank spacing and fire exposure assessment shall be documented.
High-high level protection shall be implemented for large flammable storage.
Overfill scenario shall be evaluated in LOPA and insurer risk review.

✓ 3.4 Electrical & Control Infrastructure

Control room and SIS cabinet location shall consider fire and explosion exposure.
Electrical segregation shall align with property loss prevention philosophy.
Arc flash risk shall be assessed and mitigated.

✓ 3.5 Domino & Escalation Assessment

High energy unit shall undergo fire and explosion escalation assessment.
Potential multi-unit shutdown impact shall be documented.
Risk mitigation for asset concentration shall be evaluated.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

API 521 mengharuskan evaluasi fire case untuk relief system.

API 2350 mengatur overfill protection untuk tank flammable.

API 556 memberikan panduan instrumentation untuk fired heater.

FM Global Data Sheets menekankan:

Fire separation
Electrical reliability
Storage tank protection
Exposure management

Insurer-driven governance mensyaratkan bahwa:

SIL saja tidak cukup.
Proteksi harus membatasi property damage severity.

Tanpa alignment:

Insurer dapat menolak klaim.
Premium meningkat.
Engineering decision dipertanyakan saat audit.

Property loss prevention alignment memperkuat defensibility CREG dari sisi finansial dan asuransi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Design Compliance

FM Data Sheet applicability review tersedia.
API 521 relief calculation terdokumentasi.
API 2350 compliance checklist tersedia.
Fired heater instrumentation philosophy terdokumentasi.

✓ 5.2 Operational Compliance

Overfill drill dilakukan untuk tank flammable.
Fire protection system diuji secara periodik.
Insurer recommendation diintegrasikan dalam MOC.

✓ 5.3 Performance KPI

0 high energy unit tanpa insurer alignment review.
100% large flammable storage memiliki high-high level protection.
Semua insurer audit finding memiliki corrective action.

☑ 6. EVIDENCE & RECORDS

FM Global alignment review report
API 521 relief calculation record
API 2350 compliance documentation
Fired heater safeguarding philosophy
Electrical single line diagram
Fire protection layout drawing
Insurer audit report & response

Traceability:

Hazard Scenario → LOPA → SIL → Property Loss Review → FM Alignment → Design Implementation → Audit → Corrective Action

☑ 7. EXCEPTION & COMPENSATING MEASURES

Jika deviasi dari insurer recommendation diperlukan:

Formal technical justification shall be documented.
Risk quantification shall be performed.
Process Safety Authority approval mandatory.
Corporate Risk Committee approval required for high exposure.
Insurer consultation shall be conducted.

Tidak diperkenankan mengabaikan insurer recommendation tanpa dokumentasi formal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Corporate Engineering Authority Support: Process Safety Authority & Reliability Engineering Oversight: Corporate Risk Committee

Escalation Trigger:

Insurer audit finding terkait fired equipment atau storage
Proposed deviation from FM Data Sheet
Major asset concentration change
Fire/explosion incident

Review property loss alignment dilakukan minimal setiap 5 tahun atau setelah perubahan signifikan.

12.2 Regulatory Alignment

☑ 1. INTENT

Klausul ini bertujuan untuk memastikan bahwa implementasi CREG pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene selaras dengan seluruh persyaratan regulasi yang berlaku, sehingga keputusan risk engineering, SIL, dan governance proteksi tidak hanya defensible secara teknis dan asuransi, tetapi juga compliant terhadap kewajiban hukum dan otoritas setempat.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Regulatory Exposure Mechanism

Kegagalan alignment regulasi dapat menyebabkan:

SIF tidak memenuhi kewajiban legal tertentu.
Alarm atau proteksi tidak sesuai regulasi overfill.
Relief system tidak memenuhi kode tekanan lokal.
Kewajiban pelaporan hazard tidak dipenuhi.
Ketidaksesuaian antara CREG dan izin operasi.

Pada high energy system:

SMR furnace tanpa dokumentasi safeguarding dapat melanggar izin operasional.
Reactor runaway tanpa documented risk assessment dapat melanggar kewajiban major hazard.
Tank flammable tanpa proteksi overfill sesuai regulasi dapat dikenai sanksi.

Mekanisme eskalasi:

Design compliant internal standard → Tidak aligned dengan regulasi lokal → Audit regulator → Notice of violation → Shutdown / penalti

✓ 2.2 Initiating Causes

Tidak ada register regulasi yang relevan.
Tidak ada mapping antara CREG dan kewajiban legal.
Perubahan regulasi tidak diintegrasikan.
Insurer-driven governance dianggap cukup tanpa review legal.

✓ 2.3 Escalation Path

Regulatory update → Tidak direview dalam CREG → Gap compliance → Regulator inspection → Enforcement action → Business interruption

Regulatory alignment adalah perlindungan terhadap risiko legal dan operasional.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Regulatory Register Requirement

Site shall maintain regulatory register relevant to process safety, pressure systems, flammable storage, and electrical safety.
Applicable local and national regulations shall be identified and reviewed.

✓ 3.2 Alignment Review Requirement

CREG implementation shall be reviewed against regulatory requirements.
Any conflict between corporate guideline and regulation shall adopt the more stringent requirement unless formally justified.
Regulatory impact shall be included in risk review and MOC.

✓ 3.3 Major Hazard Consideration

If facility falls under major hazard classification, risk assessment documentation shall meet regulatory expectation.
High energy scenarios shall be documented in accordance with regulatory reporting requirement.

✓ 3.4 Regulatory Change Monitoring

Regulatory updates shall be reviewed at minimum annually.
Significant regulatory change shall trigger CREG review.
Regulatory findings shall be tracked to closure.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

ISO 31000 mengharuskan organisasi mempertimbangkan konteks eksternal dalam manajemen risiko.

IEC 61511 tidak menggantikan kewajiban legal; ia melengkapi kerangka teknis.

Regulator umumnya menilai:

Dokumentasi hazard analysis.
Bukti bahwa proteksi sesuai standar kode tekanan.
Kepatuhan terhadap aturan flammable storage.
Kepatuhan terhadap electrical safety.

Pada high energy system:

Tekanan tinggi hydrogen dan fired heater sering berada di bawah pengawasan ketat.
Storage flammable sering diatur dengan regulasi overfill dan fire spacing.

Tanpa alignment:

CREG bisa kuat secara teknis namun lemah secara legal.
Risiko shutdown paksa meningkat.
Defensibility di pengadilan melemah.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Regulatory register tersedia dan terupdate.
Mapping document antara CREG dan regulasi tersedia.
Prosedur review perubahan regulasi tersedia.

✓ 5.2 Operational Compliance

Tidak ada open regulatory finding tanpa corrective action.
Perubahan regulasi tercermin dalam MOC dan CREG review.
High energy unit memiliki dokumentasi sesuai kewajiban regulator.

✓ 5.3 Performance KPI

0 regulatory violation terkait proteksi SIF.
100% regulatory finding memiliki closure record.
Regulatory update review dilakukan minimal tahunan.

☑ 6. EVIDENCE & RECORDS

Regulatory register
Compliance matrix (CREG vs regulation)
Regulatory inspection report
Corrective action log
Annual regulatory review record
MOC record terkait perubahan regulasi

Traceability:

Regulatory Requirement → CREG Clause → Engineering Implementation → Verification → Inspection → Corrective Action

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menyimpang dari regulasi yang berlaku.

Jika terjadi konflik antara corporate standard dan regulasi:

Formal gap analysis shall be conducted.
Legal review shall be involved.
Approval oleh Corporate Risk Committee required for resolution.
Regulator consultation shall be conducted where necessary.

Deviation tanpa persetujuan formal dianggap pelanggaran CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Compliance & Legal Department Support: Process Safety Authority Oversight: Corporate Risk Committee

Escalation Trigger:

Regulatory update impacting high energy unit
Notice of violation from authority
Insurer inquiry regarding legal compliance
Incident triggering regulator investigation

Review regulatory alignment dilakukan minimal setiap tahun dan dalam periodic CREG review.

12.3 Independent SIL Audit

[Independent audit shall verify compliance with Annex A – A6, A7, A8, and A9:]
A6 – PFDavg Calculation & Hardware Integrity Governance
A7 – HIGH ENERGY SYSTEM MANDATORY NUMERIC RULE > A8 – KPI NUMERIC THRESHOLD & PERFORMANCE TRIGGER
A9 – ESCALATION NUMERIC TRIGGER & GOVERNANCE ENFORCEMENT

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan kewajiban pelaksanaan Independent SIL Audit pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, khususnya untuk SIF dengan SIL ≥ 2 dan seluruh high energy scenario, sehingga integritas penentuan SIL, verifikasi PFDavg, independensi arsitektur, serta governance lifecycle dapat diverifikasi oleh pihak yang independen dari tim desain dan operasi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance & Systematic Failure Mechanism

Risiko terbesar dalam SIL bukan hanya random failure, tetapi systematic failure, misalnya:

Salah interpretasi LOPA.
Over-crediting alarm sebagai IPL.
β-factor tidak konservatif.
Independence claim tidak valid.
Proof test interval tidak realistis.
Conflict of interest antara produksi dan keselamatan.

Pada high energy system:

SMR fuel trip ditetapkan SIL 1 padahal RRF membutuhkan SIL 2.
Reactor runaway SIF memiliki arsitektur 1oo1 tetapi mengklaim SIL 2.
Tank overfill shutdown mengandalkan alarm tanpa memenuhi IEC 62682.

Tanpa audit independen:

Design bias → Underestimated risk → Insufficient SIL → Catastrophic exposure

✓ 2.2 Initiating Causes

Tim yang sama melakukan LOPA, desain, dan approval.
Tidak ada review terhadap β-factor assumption.
Tidak ada verifikasi independensi arsitektur.
Tekanan proyek untuk menghindari upgrade hardware.

✓ 2.3 Escalation Path

SIL assigned → Tidak diaudit independen → Systematic error tidak terdeteksi → Demand event → SIF gagal memenuhi RRF → Incident → Insurer challenge terhadap governance

Independent SIL audit adalah kontrol terhadap bias internal.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Audit Trigger Requirement

Independent SIL audit shall be mandatory for:

All SIF with SIL 3.
All high energy system SIF with SIL ≥ 2.
Any scenario classified catastrophic in corporate risk matrix.
After major incident involving SIF.
Upon insurer request.

✓ 3.2 Auditor Independence Requirement

Auditor shall not be directly involved in original design.
Auditor shall have demonstrable competency in IEC 61511 lifecycle.
Conflict of interest shall be declared.

✓ 3.3 Audit Scope Requirement

Audit shall include at minimum:

HAZOP to LOPA traceability review.
IPL qualification verification.
SIL allocation validation.
PFDavg calculation review.
β-factor assumption review.
Architecture independence verification.
Proof test interval validation.
KPI monitoring governance review.
MOC integration review.

✓ 3.4 Audit Output Requirement

Formal audit report shall be issued.
Findings shall be classified by severity.
Corrective action plan shall be defined.
Closure verification shall be documented.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan functional safety assessment yang independen terhadap tahap lifecycle tertentu.

IEC 61508 menekankan perlunya systematic capability dan verification independen untuk mengurangi systematic error.

FM Global dan insurer-driven governance sering meminta:

Bukti audit SIL independen untuk high hazard unit.
Verifikasi bahwa SIL tidak inflated atau under-designed.
Bukti bahwa lifecycle governance berjalan.

Pada high energy system:

Konsekuensi catastrophic membuat error kecil dalam SIL allocation menjadi sangat kritis.
Audit independen memberikan kredibilitas eksternal terhadap governance internal.

Tanpa independent audit:

Governance dapat terjebak dalam confirmation bias.
Defensibility terhadap insurer melemah.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Independent SIL audit procedure tersedia.
Audit trigger matrix terdokumentasi.
Auditor competency record tersedia.

✓ 5.2 Operational Compliance

100% SIL 3 SIF telah diaudit independen.
High energy SIL ≥ 2 SIF memiliki audit record.
Audit finding memiliki corrective action dan closure record.

✓ 5.3 Performance KPI

0 SIL 3 tanpa independent audit.
100% major audit finding memiliki corrective action.
Audit repeat finding < defined corporate threshold.

☑ 6. EVIDENCE & RECORDS

Independent SIL audit procedure
Auditor qualification record
Audit report
Finding classification log
Corrective action plan
Closure verification record
Insurer communication record (if applicable)

Traceability:

Hazard → LOPA → SIL → Design → Independent Audit → Finding → Corrective Action → Verification → Governance Review

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan melewati audit independen untuk SIL 3 atau high energy SIL ≥ 2.

Jika audit tertunda:

Risk assessment shall be conducted.
Temporary restriction may be applied.
Corporate Risk Committee notification required.
Insurer consultation required if exposure significant.

Independent audit tidak dapat digantikan oleh self-assessment internal.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Corporate Risk Committee Support: Process Safety Authority Execution: Independent Qualified Auditor

Escalation Trigger:

SIL 3 implementation
Major high energy modification
Insurer audit recommendation
Incident involving SIF performance failure

Review efektivitas independent SIL audit dilakukan dalam periodic CREG review.

13. GOVERNANCE STRUCTURE

13.1 Corporate Risk Committee Role

[CRC authority shall include enforcement of Annex A – A9 and A10:]
A9 – ESCALATION NUMERIC TRIGGER & GOVERNANCE ENFORCEMENT
A10 – NUMERICAL GOVERNANCE INTEGRITY & AUDIT RULE

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan peran dan kewenangan Corporate Risk Committee (CRC) dalam tata kelola risiko pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga penerimaan risiko catastrophic, persetujuan SIL tinggi, dan deviasi terhadap CREG tidak dilakukan pada level operasional semata, tetapi melalui mekanisme pengambilan keputusan strategis yang independen dan terdokumentasi.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Failure Mechanism

Tanpa otoritas korporat yang jelas:

Risiko catastrophic dapat “diterima” secara implisit oleh level proyek.
SIL dapat diturunkan karena keterbatasan biaya.
Deviasi dari independensi dapat disetujui tanpa evaluasi strategis.
KPI degradation tidak mendapatkan perhatian eksekutif.

Pada high energy system:

SMR furnace trip logic downgrade karena budget constraint.
Reactor runaway scenario dianggap tolerable tanpa evaluasi residual risk korporat.
Tank farm expansion meningkatkan exposure tanpa review konsentrasi aset.

Mekanisme eskalasi:

Engineering decision → Tidak ada oversight korporat → Residual risk melebihi toleransi → Catastrophic event → Board unaware of exposure

CRC adalah pengendali akhir atas penerimaan risiko besar.

✓ 2.2 Initiating Causes

Tidak ada definisi siapa yang berwenang menerima risiko catastrophic.
Tidak ada escalation threshold formal.
Risk acceptance tidak terdokumentasi.
Tidak ada forum formal untuk review insurer finding signifikan.

✓ 2.3 Escalation Path

High severity risk identified → Tidak dielevasikan → Operasi berlanjut → Incident terjadi → Investigasi menemukan tidak ada governance oversight

CRC memastikan bahwa risiko besar tidak tersembunyi di level teknis.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Risk Acceptance Authority

Corporate Risk Committee shall approve acceptance of any risk categorized catastrophic in corporate risk matrix.
Residual risk exceeding predefined threshold shall require CRC approval.
Risk acceptance decision shall be documented.

✓ 3.2 SIL Governance

SIL 3 implementation shall be reported to CRC.
Any proposed downgrade of SIL shall require CRC approval.
Deviation from CREG affecting high energy SIF shall require CRC review.

✓ 3.3 Escalation Oversight

CRC shall review at minimum:

Independent SIL audit findings of high severity.
Insurer major findings.
Repeated KPI escalation events.
Significant MOC impacting risk profile.
Asset concentration increase.

✓ 3.4 Enforcement Authority

CRC shall have authority to require corrective action.
CRC may mandate additional safeguards.
CRC may impose operational restriction if risk unacceptable.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

ISO 31000 menekankan bahwa risk ownership harus berada pada level organisasi yang sesuai dengan dampak risiko.

IEC 61511 mengharuskan manajemen bertanggung jawab terhadap functional safety lifecycle.

Insurer-driven governance mengharuskan bahwa:

Risiko catastrophic diketahui oleh manajemen tertinggi.
Risk acceptance bukan keputusan proyek semata.

Pada high energy system:

Exposure dapat melibatkan multi-unit damage.
Dampak finansial dan reputasi signifikan.

Tanpa CRC:

Risk governance menjadi terfragmentasi.
Tidak ada akuntabilitas pada level strategis.
Defensibility melemah saat audit eksternal.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Charter CRC terdokumentasi.
Escalation threshold matrix tersedia.
Approval template tersedia.

✓ 5.2 Operational Compliance

100% catastrophic risk acceptance memiliki CRC record.
SIL downgrade memiliki CRC approval.
Insurer major finding dibahas dalam CRC meeting.

✓ 5.3 Performance KPI

0 catastrophic risk accepted tanpa CRC approval.
100% SIL 3 reported to CRC.
Corrective action closure rate within corporate target.

☑ 6. EVIDENCE & RECORDS

CRC charter document
CRC meeting minutes
Risk acceptance record
Escalation log
Insurer finding response record
Independent SIL audit summary
MOC escalation record

Traceability:

Risk Matrix Classification → Escalation Trigger → CRC Review → Decision → Action Plan → Verification → Closure

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menerima risiko catastrophic tanpa CRC approval.

Jika keputusan mendesak diperlukan:

Interim restriction shall be applied.
Emergency CRC session shall be convened.
Decision shall be retrospectively documented.

CRC approval tidak dapat digantikan oleh persetujuan level operasional.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Chair of Corporate Risk Committee Support: Process Safety Authority Reporting: Engineering & Operations

Escalation Trigger:

Catastrophic scenario residual risk exceedance
SIL downgrade proposal
Major insurer finding
High energy repeated KPI breach
Major incident

Review efektivitas CRC dilakukan dalam periodic CREG review.

13.2 Process Safety Authority Role

PSA shall approve deviations from Annex A numeric criteria.

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan peran, kewenangan, dan akuntabilitas Process Safety Authority (PSA) dalam pengendalian risiko proses pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga seluruh keputusan teknis terkait HAZOP, LOPA, SIL, independensi BPCS–SIS, MOC, dan temporary modification dikendalikan oleh otoritas teknis independen yang kompeten dan tidak terpengaruh oleh tekanan operasional maupun proyek.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance & Technical Failure Mechanism

Tanpa PSA yang memiliki kewenangan jelas:

SIL dapat diturunkan untuk alasan biaya.
LOPA dapat over-credit IPL.
Independence claim tidak diverifikasi.
MOC berdampak risiko tidak direview secara teknis.
Temporary bypass dibiarkan berlarut.

Pada high energy system:

SMR firing safeguard tidak memenuhi API 556 tetapi tetap disetujui.
Reactor runaway scenario dianggap cukup dengan alarm saja.
Tank overfill SIF tidak diverifikasi ulang setelah firmware update.

Mekanisme eskalasi:

Engineering decision → Tidak ada review teknis independen → Risiko terakumulasi → Catastrophic exposure meningkat

PSA adalah penjaga integritas teknis CREG.

✓ 2.2 Initiating Causes

Tidak ada definisi formal kewenangan PSA.
PSA hanya bersifat advisory tanpa authority.
Tidak ada keterlibatan PSA dalam MOC signifikan.
Tidak ada akses PSA terhadap KPI dan audit data.

✓ 2.3 Escalation Path

Risk identified → Tidak ada review PSA → Implementasi berlanjut → Proteksi tidak memadai → Incident terjadi → Investigasi menemukan lack of technical authority oversight

PSA adalah lapisan kontrol sebelum risiko naik ke CRC.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Authority Definition

Process Safety Authority shall have defined technical authority over process safety decisions.
PSA approval shall be required for SIL ≥ 2 assignment.
PSA approval shall be required for high energy SIF design or modification.

✓ 3.2 Lifecycle Oversight

PSA shall review and approve:

HAZOP scope and closure.
LOPA methodology application.
SIL determination and verification.
Independence claim for BPCS–SIS.
Proof test interval definition.
Temporary bypass of high energy SIF.
MOC affecting risk profile.

✓ 3.3 Escalation Interface

PSA shall escalate catastrophic exposure to Corporate Risk Committee.
PSA shall review insurer major findings prior to CRC discussion.
PSA shall monitor KPI degradation trends.

✓ 3.4 Competency Requirement

PSA shall demonstrate competency in IEC 61511 lifecycle.
PSA shall be independent from production performance reporting line.
PSA role shall not be combined with direct operational accountability.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan adanya pihak yang bertanggung jawab atas lifecycle functional safety.

ISO 31000 mengharuskan penetapan risk owner yang jelas.

Pada high energy system:

Kompleksitas teknis tinggi memerlukan otoritas spesifik.
Conflict antara produksi dan safety dapat terjadi.

Insurer-driven governance biasanya meminta:

Siapa yang menyetujui SIL?
Siapa yang menyetujui bypass?
Siapa yang bertanggung jawab terhadap risk matrix alignment?

Tanpa PSA:

Keputusan teknis tersebar dan tidak terkendali.
Tidak ada satu otoritas yang menjaga konsistensi lintas disiplin.
Defensibility CREG melemah.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

PSA role description terdokumentasi.
Authority matrix tersedia.
Escalation pathway terdokumentasi.

✓ 5.2 Operational Compliance

100% SIL ≥ 2 memiliki PSA approval record.
High energy SIF modification memiliki PSA review.
MOC affecting risk memiliki PSA signature.

✓ 5.3 Performance KPI

0 SIL downgrade tanpa PSA approval.
100% catastrophic exposure reviewed by PSA.
KPI escalation events direview PSA sesuai threshold.

☑ 6. EVIDENCE & RECORDS

PSA appointment letter
Authority matrix
SIL approval record
MOC approval record
Temporary bypass approval record
KPI review meeting minutes
Escalation record to CRC

Traceability:

Hazard → LOPA → SIL → PSA Review → Approval → Implementation → Monitoring → Escalation (if required)

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengimplementasikan keputusan yang berdampak pada risiko tinggi tanpa PSA review.

Jika PSA tidak tersedia:

Alternate qualified authority shall be appointed formally.
Decision shall be documented and reviewed retrospectively.
High energy exposure shall be restricted until approval obtained.

PSA authority tidak dapat dilewati untuk alasan jadwal proyek atau tekanan produksi.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Oversight: Corporate Risk Committee Support: Engineering & Operations

Escalation Trigger:

SIL ≥ 2 determination
High energy SIF modification
KPI breach high severity
Insurer major finding
Catastrophic scenario reclassification

Review efektivitas peran PSA dilakukan dalam periodic CREG review.

13.3 Engineering Approval Matrix

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan Engineering Approval Matrix yang mendefinisikan secara eksplisit siapa yang berwenang mengkaji, menyetujui, dan mengesahkan setiap deliverable teknis yang memengaruhi risiko pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga tidak terjadi ambiguitas tanggung jawab, approval informal, atau keputusan risiko tanpa otoritas yang tepat.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Breakdown Mechanism

Tanpa approval matrix yang jelas:

HAZOP ditutup tanpa otoritas yang kompeten.
LOPA disetujui tanpa verifikasi independensi IPL.
SIL ditetapkan tanpa review PSA.
Arsitektur SIS diubah tanpa persetujuan formal.
Proof test interval diubah tanpa evaluasi risiko.

Pada high energy system:

SMR furnace safeguarding direvisi oleh proyek tanpa PSA sign-off.
Reactor shutdown logic diubah oleh vendor tanpa governance review.
Tank overfill system di-upgrade tanpa alignment API 2350.

Mekanisme eskalasi:

Deliverable dibuat → Tidak ada approval formal → Implementasi langsung → Risiko meningkat → Tidak jelas siapa accountable

Engineering Approval Matrix mencegah governance vacuum.

✓ 2.2 Initiating Causes

Tidak ada daftar deliverable yang wajib approval.
Tidak ada definisi level approval berdasarkan risiko.
Tidak ada differentiation antara SIL 1 dan SIL 3 approval.
Tidak ada keterkaitan antara approval dan risk matrix severity.

✓ 2.3 Escalation Path

Engineering document released → Tidak melalui approval sesuai level risiko → Implementasi tanpa review → SIF tidak memadai → Incident → Investigasi tidak menemukan accountability chain

Approval matrix memastikan akuntabilitas formal.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Deliverable Identification

Engineering Approval Matrix shall define approval authority for at minimum:

HAZOP report
LOPA worksheet
SIL determination
SRS
SIL verification report
BPCS–SIS segregation design
Proof test interval
MOC affecting SIF
Temporary modification for high energy SIF
Independent SIL audit report

✓ 3.2 Risk-Based Approval Level

Deliverables impacting catastrophic risk shall require PSA review and CRC oversight.
SIL ≥ 2 shall require PSA approval.
SIL 3 shall require CRC notification.
Deviation from CREG shall require CRC approval.

✓ 3.3 Cross-Discipline Approval

Mechanical, Electrical, Instrument, and Process disciplines shall review deliverables affecting their domain.
Independence claims shall require cross-discipline validation.
Power architecture change shall require electrical authority approval.

✓ 3.4 Documentation Requirement

Approval shall include name, position, date, and signature.
Electronic approval shall be traceable.
Rejection and revision history shall be documented.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 lifecycle mensyaratkan formal approval pada tahap tertentu.

ISO 31000 menekankan accountability dalam pengambilan keputusan risiko.

Pada high energy system:

Keputusan kecil dapat berdampak besar pada konsekuensi catastrophic.
Approval informal meningkatkan risiko systematic failure.

Insurer-driven governance sering menanyakan:

Siapa yang menyetujui SIL?
Siapa yang menyetujui arsitektur?
Siapa yang menyetujui bypass?

Tanpa approval matrix:

Akuntabilitas tidak jelas.
Governance menjadi person-dependent.
Defensibility lemah saat audit.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Engineering Approval Matrix terdokumentasi.
Risk-based approval threshold terdokumentasi.
Deliverable list lengkap tersedia.

✓ 5.2 Operational Compliance

100% SIL ≥ 2 memiliki PSA approval record.
High energy deliverable memiliki approval sesuai matrix.
Tidak ada engineering release tanpa approval signature.

✓ 5.3 Performance KPI

0 high energy deliverable tanpa documented approval.
100% SIL 3 notified to CRC.
Audit finding terkait approval gap < corporate threshold.

☑ 6. EVIDENCE & RECORDS

Engineering Approval Matrix document
Signed HAZOP report
Approved LOPA worksheet
Approved SRS
Approved SIL verification report
MOC approval record
Revision history log

Traceability:

Deliverable → Risk Category → Required Approval Level → Signature Record → Implementation → Audit Verification

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan melewati approval matrix untuk alasan jadwal proyek.

Jika urgent release diperlukan:

Interim approval by PSA required.
Post-release formal approval shall be completed.
CRC notification required for catastrophic exposure.

Deliverable tanpa approval dianggap non-compliant terhadap CREG.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Engineering Manager Oversight: Process Safety Authority Strategic Oversight: Corporate Risk Committee

Escalation Trigger:

Release of SIL ≥ 2 without approval
Design change impacting high energy system
Insurer finding terkait approval governance
Incident involving undocumented approval chain

Review Engineering Approval Matrix dilakukan minimal setiap 5 tahun atau setelah major governance finding.

13.4 Escalation & Enforcement

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan mekanisme eskalasi dan enforcement terhadap setiap pelanggaran, penyimpangan, atau degradasi yang memengaruhi risiko pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga CREG tidak hanya menjadi dokumen kebijakan, tetapi memiliki daya paksa operasional untuk mencegah peningkatan residual risk hingga melampaui batas corporate risk matrix.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Governance Drift Mechanism

Tanpa mekanisme enforcement yang jelas:

Bypass diperpanjang tanpa konsekuensi.
Proof test overdue dibiarkan.
KPI breach tidak ditindaklanjuti.
SIL downgrade terjadi secara bertahap.
Insurer finding tidak segera ditutup.

Pada high energy system:

SMR trip logic sering di-bypass karena nuisance trip.
Reactor shutdown valve tidak diuji tepat waktu.
Tank overfill alarm sering standing tanpa perbaikan.

Mekanisme eskalasi:

Governance breach → Tidak ada tindakan → Degradasi sistem berulang → Risk drift → Catastrophic exposure

CREG tanpa enforcement = governance tanpa kontrol.

✓ 2.2 Initiating Causes

Tidak ada threshold eskalasi formal.
Tidak ada konsekuensi terhadap non-compliance.
Tidak ada keterkaitan KPI dengan governance review.
Tidak ada integrasi antara temuan audit dan tindakan manajemen.

✓ 2.3 Escalation Path

Non-compliance terjadi → Tidak ada enforcement → Praktik menyimpang menjadi normal → Sistem proteksi terdegradasi → Incident → Investigasi menemukan lack of enforcement

Escalation & enforcement menjaga disiplin sistemik.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Escalation Threshold Definition

Corporate shall define escalation thresholds for:

Proof test overdue beyond defined grace period.
Bypass exceeding defined duration.
Repeated spurious trip exceeding KPI threshold.
Repeated demand on high energy SIF.
Missing mandatory artifact.
Engineering release without approval.
Unresolved insurer major finding.

✓ 3.2 Escalation Level Definition

Escalation shall follow defined levels:

Level 1: Site management review.
Level 2: Process Safety Authority review.
Level 3: Corporate Risk Committee review.
Level 4: Executive notification (for catastrophic exposure).

✓ 3.3 Enforcement Action Requirement

Corrective action plan shall be defined for each escalation.
Deadline shall be assigned.
Closure verification shall be documented.
Operational restriction may be imposed for high exposure.

✓ 3.4 High Energy Immediate Action

Any high energy SIF unavailable beyond threshold shall trigger immediate risk review.
If residual risk exceeds tolerable limit, operational restriction shall be applied.
Executive notification shall occur for catastrophic exposure.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 lifecycle mensyaratkan corrective action saat terjadi deviation.

ISO 31000 mengharuskan treatment dan monitoring risiko.

Insurer-driven governance menilai:

Apakah temuan audit ditutup?
Apakah KPI breach ditindaklanjuti?
Apakah bypass dikontrol?

Pada high energy system:

Waktu antara deviation dan catastrophic event dapat singkat.
Enforcement yang lambat meningkatkan exposure secara signifikan.

Tanpa enforcement:

Governance menjadi formalitas.
Budaya toleransi terhadap penyimpangan berkembang.
Defensibility runtuh saat audit atau investigasi.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Escalation & enforcement procedure tersedia.
Escalation matrix terdokumentasi.
Corrective action tracking system tersedia.

✓ 5.2 Operational Compliance

100% KPI breach memiliki escalation record.
Semua major insurer finding memiliki closure record.
Proof test overdue tidak melebihi threshold tanpa escalation.

✓ 5.3 Performance KPI

0 high energy SIF unavailable tanpa documented escalation.
100% escalation event memiliki corrective action plan.
Closure time within corporate target.

☑ 6. EVIDENCE & RECORDS

Escalation matrix document
Escalation log register
Corrective action tracking log
Meeting minutes (PSA / CRC)
Operational restriction record (if applied)
Insurer finding closure record

Traceability:

Deviation → Threshold Breach → Escalation Level → Review → Corrective Action → Verification → Closure → Governance Record

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menunda enforcement untuk alasan produksi.

Jika corrective action memerlukan waktu:

Interim safeguard shall be implemented.
Increased monitoring shall be applied.
Executive acknowledgment required for high exposure.

Non-compliance berulang dapat memicu review organisasi atau struktur governance.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Oversight: Corporate Risk Committee Execution Support: Site Management & Engineering

Escalation Trigger Examples:

High energy SIF bypass beyond allowed duration.
SIL downgrade without approval.
Repeated KPI breach.
Unclosed major audit finding.
Incident linked to governance non-compliance.

Review efektivitas escalation & enforcement dilakukan dalam periodic CREG review.

14. PERIODIC REVIEW

14.1 Time-Based Review

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan mekanisme peninjauan berkala berbasis waktu (time-based review) terhadap keseluruhan CREG dan implementasinya pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga integritas risk matrix, metodologi LOPA, penetapan SIL, independensi sistem, dan governance lifecycle tetap relevan terhadap kondisi aktual fasilitas serta perkembangan standar dan praktik industri.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Risk Drift Over Time

Risiko tidak statis. Dalam jangka waktu operasi:

Degradasi peralatan (aging, corrosion, embrittlement).
Perubahan kecil berulang melalui MOC.
Update firmware dan sistem kontrol.
Perubahan komposisi feed.
Peningkatan kapasitas bertahap.
Perubahan standar internasional.

Pada high energy system:

SMR tube aging meningkatkan probabilitas rupture.
Reactor catalyst performance berubah.
Tank farm ekspansi meningkatkan asset concentration.
Repeated nuisance trip memengaruhi behavior operator.

Jika CREG tidak direview berkala:

Assumption awal → Drift operasional → Residual risk meningkat → Tidak terdeteksi hingga insiden

✓ 2.2 Initiating Causes

Tidak ada jadwal review formal.
Fokus hanya pada incident-based review.
Tidak ada evaluasi terhadap perubahan standar (IEC/API/FM).
Tidak ada evaluasi terhadap tren KPI jangka panjang.

✓ 2.3 Escalation Path

Waktu berjalan → Perubahan kecil terakumulasi → Risk profile berubah → Tidak ada review menyeluruh → Catastrophic exposure meningkat

Time-based review mencegah akumulasi risiko laten.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Review Interval Requirement

Full CREG review shall be conducted minimum every 5 years.
High energy system safeguarding philosophy shall be specifically reviewed during this cycle.
Risk matrix alignment shall be reassessed.

✓ 3.2 Scope of Review

Review shall include at minimum:

Corporate risk matrix validity.
LOPA methodology consistency.
SIL allocation trend.
Proof test performance data.
KPI trend analysis.
BPCS–SIS segregation compliance.
Insurer alignment status.
Regulatory update integration.

✓ 3.3 Cross-Discipline Participation

Process, Mechanical, Electrical, Instrument, Operations, and Integrity representatives shall participate.
Independent reviewer may be included for high energy exposure.

✓ 3.4 Output Requirement

Formal review report shall be issued.
Gap analysis shall be documented.
Improvement plan shall be defined.
CRC shall review major findings.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan periodic functional safety assessment.

ISO 31000 menekankan review berkala terhadap kerangka manajemen risiko.

FM Global dan insurer-driven governance biasanya mengharapkan periodic risk engineering reassessment.

Pada high energy system:

Aging effect dapat meningkatkan failure probability.
Small MOC changes dapat menggeser baseline risk.
Risk appetite korporat dapat berubah.

Tanpa time-based review:

Governance stagnan.
Residual risk drift tidak terdeteksi.
CREG kehilangan relevansi terhadap kondisi aktual.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Jadwal review 5 tahunan terdokumentasi.
Review checklist tersedia.
Scope review terdokumentasi.

✓ 5.2 Operational Compliance

Review dilakukan sesuai jadwal.
Gap analysis terdokumentasi.
Action plan memiliki target waktu dan penanggung jawab.

✓ 5.3 Performance KPI

100% 5-year cycle review completed.
100% high energy system included in review scope.
Closure rate of review findings within corporate target.

☑ 6. EVIDENCE & RECORDS

5-year review report
Gap analysis document
Action plan register
CRC review minutes
Updated CREG revision record
KPI trend report
Insurer alignment update

Traceability:

CREG Clause → Periodic Review → Gap Identified → Action Plan → Implementation → Verification → Updated CREG Version

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menunda 5-year review tanpa justifikasi formal.

Jika review tertunda:

Interim risk assessment shall be conducted.
CRC approval required for deferral.
High energy exposure shall be prioritized.

Penundaan tanpa review dianggap governance deficiency.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Oversight: Corporate Risk Committee Support: Engineering & Operations

Escalation Trigger:

5-year review overdue
Major gap identified without action plan
Insurer finding recommending systemic review
Significant shift in KPI trend

Time-based review menjadi mekanisme menjaga CREG tetap hidup dan relevan.

14.2 Event-Based Review

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan mekanisme peninjauan berbasis kejadian (event-based review) terhadap CREG dan implementasi proteksi pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga setiap insiden, near miss signifikan, regulatory finding, atau insurer finding yang berdampak pada profil risiko memicu evaluasi sistemik dan tidak berhenti pada perbaikan lokal semata.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Learning Failure Mechanism

Insiden besar jarang terjadi tanpa sinyal awal. Kegagalan umum adalah:

Investigasi hanya fokus pada human error.
Tidak ada evaluasi ulang terhadap LOPA.
Tidak ada verifikasi ulang SIL assumption.
KPI trend sebelum insiden tidak dianalisis.
Finding insurer tidak diintegrasikan ke governance.

Pada high energy system:

Reactor high temperature trip terjadi berulang sebelum runaway.
SMR flame instability berulang tanpa review menyeluruh.
Tank overfill near miss tidak memicu evaluasi ulang IPL.

Mekanisme eskalasi:

Incident / Near Miss → Perbaikan lokal → Root governance issue tidak diperbaiki → Pola berulang → Catastrophic event

Event-based review memastikan pembelajaran sistemik.

✓ 2.2 Event Categories Triggering Review

Event-based review shall be triggered by:

Major incident (fire, explosion, LoC).
SIF failure on demand.
Near miss catastrophic scenario.
Repeated demand on high energy SIF.
Major insurer finding.
Regulatory enforcement action.
Significant equipment failure affecting IPL.
Cybersecurity incident affecting control or SIS.

✓ 2.3 Escalation Path

Event terjadi → Tidak ada systemic review → Underlying assumption tetap → Risk drift berlanjut → Second event lebih besar

Event-based review memutus rantai ini.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Immediate Review Requirement

Any major incident shall trigger immediate event-based CREG review.
SIF failure on demand shall trigger SIL impact assessment.
High energy near miss shall trigger LOPA revalidation.

✓ 3.2 Scope of Review

Event-based review shall evaluate:

Hazard identification adequacy.
LOPA scenario completeness.
SIL allocation validity.
Independence and common cause exposure.
Proof test governance.
KPI trend prior to event.
MOC history related to event.

✓ 3.3 Cross-Functional Participation

Process, Mechanical, Electrical, Instrument, Operations, and Integrity shall participate.
PSA shall lead the technical evaluation.
CRC shall be informed for catastrophic exposure.

✓ 3.4 Output Requirement

Formal event-based review report shall be issued.
Updated LOPA or SIL verification shall be documented if required.
Governance gap shall be identified.
Corrective and preventive actions shall be tracked to closure.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan bahwa functional safety lifecycle mencakup modification and improvement setelah failure.

ISO 31000 menekankan continual improvement berbasis pembelajaran risiko.

Insurer-driven governance biasanya menilai:

Apakah event memicu review sistem?
Apakah SIL diverifikasi ulang?
Apakah governance diperbaiki?

Pada high energy system:

Single event dapat menunjukkan latent systemic weakness.
Failure on demand menunjukkan mismatch antara assumed dan actual PFDavg.

Tanpa event-based review:

Root systemic issue tidak teridentifikasi.
Organisasi kehilangan kesempatan memperbaiki risk governance.
Defensibility terhadap regulator dan insurer melemah.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Event-based review procedure tersedia.
Event trigger matrix terdokumentasi.
Review template tersedia.

✓ 5.2 Operational Compliance

100% major incident memiliki event-based review report.
SIF failure on demand memiliki SIL impact assessment.
Near miss catastrophic memiliki LOPA revalidation record.

✓ 5.3 Performance KPI

0 major event tanpa formal review.
100% corrective action memiliki owner dan deadline.
Repeat event frequency menunjukkan trend menurun.

☑ 6. EVIDENCE & RECORDS

Incident investigation report
Event-based CREG review report
Updated LOPA worksheet
Updated SIL verification report (if applicable)
Corrective action tracking log
CRC notification record
Insurer communication record

Traceability:

Event → Investigation → Hazard Reassessment → LOPA Review → SIL Validation → Governance Update → Action Plan → Verification → Closure

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan menutup insiden tanpa evaluasi dampak terhadap CREG.

Jika immediate review belum dapat dilakukan:

Interim safeguard shall be applied.
Operational restriction may be required.
CRC shall be notified for catastrophic exposure.

Event-based review tidak boleh dibatasi hanya pada corrective maintenance.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Engineering, Operations, Integrity Oversight: Corporate Risk Committee

Escalation Trigger:

Major fire or explosion
SIF failure on demand
Catastrophic near miss
Major insurer finding
Regulatory enforcement notice

Event-based review memastikan CREG berkembang dari pembelajaran nyata.

14.3 Performance-Based Review

[Performance deviation shall be evaluated against Annex A – A8 and A9:]
A8 – KPI NUMERIC THRESHOLD & PERFORMANCE TRIGGER > A9 – ESCALATION NUMERIC TRIGGER & GOVERNANCE ENFORCEMENT

☑ 1. INTENT

Klausul ini bertujuan untuk menetapkan mekanisme peninjauan berbasis kinerja (performance-based review) terhadap efektivitas implementasi CREG pada fasilitas SMR, reaktor hidrogenasi, kolom distilasi, dan storage propylene, sehingga degradasi performa proteksi yang terdeteksi melalui tren KPI, spurious trip, demand rate, alarm performance, atau bypass tidak menunggu insiden, tetapi memicu evaluasi sistemik sebelum residual risk melampaui batas corporate risk matrix.

☑ 2. RISK CONTEXT & FAILURE MECHANISM

✓ 2.1 Root Risk Drift Through Performance Degradation

Walaupun tidak terjadi insiden, indikator berikut dapat menunjukkan peningkatan risiko:

Spurious trip rate meningkat.
Demand rate aktual melebihi asumsi LOPA.
Proof test overdue meningkat.
Repeated temporary bypass.
Alarm flood index tinggi.
Standing alarm tidak ditutup.
Increasing failure of final elements.

Pada high energy system:

Reaktor hidrogenasi sering mendekati high-high temperature.
SMR flame trip sering terjadi saat load tinggi.
Tank loading menghasilkan frequent high level alarm.

Mekanisme eskalasi:

Performance degradation → Increased operator intervention → Increased bypass → Reduced availability → Increased exposure during real demand

Performance-based review mendeteksi risk drift sebelum catastrophic event.

✓ 2.2 Initiating Causes

KPI hanya dipantau tetapi tidak dianalisis tren.
Tidak ada threshold yang memicu systemic review.
KPI diperlakukan sebagai indikator maintenance saja.
Tidak ada integrasi KPI dengan LOPA assumption.

✓ 2.3 Escalation Path

Trend KPI memburuk → Tidak ada review sistemik → Assumption SIL tidak lagi valid → Demand terjadi → SIF tidak memenuhi RRF aktual

Performance-based review menghubungkan data operasional dengan risk governance.

☑ 3. REQUIREMENT (NORMATIVE – SHALL)

✓ 3.1 Performance Trigger Definition

Performance-based review shall be triggered by:

Spurious trip rate exceeding defined threshold.
Demand rate deviation from LOPA assumption.
Repeated temporary bypass beyond threshold.
Alarm flood index exceeding IEC 62682 performance target.
Standing alarm exceeding defined duration.
Proof test overdue exceeding tolerance.
Repeated failure of critical final element.

✓ 3.2 High Energy Priority

High energy SIF KPI shall be reviewed monthly.
Trend deviation for high energy unit shall trigger formal risk review.
Repeated performance degradation shall trigger LOPA reassessment.

✓ 3.3 Analytical Requirement

Review shall evaluate:

Validity of initiating frequency assumption.
Validity of conditional modifier.
Validity of SIL allocation.
Independence assumption.
Human factor implication.

✓ 3.4 Governance Escalation

Performance-based review outcome shall be reported to PSA.
Significant degradation shall be escalated to CRC.
Corrective action plan shall be defined and tracked.

☑ 4. RATIONALE (TECHNICAL JUSTIFICATION)

IEC 61511 mensyaratkan monitoring performa SIF sepanjang lifecycle.

IEC 62682 mengharuskan monitoring kinerja alarm.

ISO 31000 menekankan monitoring dan review sebagai bagian dari risk management.

Pada high energy system:

Perubahan kecil dalam frequency dapat secara signifikan mengubah risk exposure.
Nuisance trip meningkatkan kemungkinan bypass.
Alarm overload mengurangi efektivitas operator response.

Insurer-driven governance menilai:

Apakah organisasi hanya reaktif atau proaktif?
Apakah data performa digunakan untuk risk governance?

Tanpa performance-based review:

Risk drift terjadi tanpa insiden.
SIL mungkin tidak lagi representatif.
Defensibility melemah karena tidak ada proactive governance.

☑ 5. ACCEPTANCE CRITERIA

✓ 5.1 Structural Compliance

Performance trigger matrix tersedia.
KPI threshold terdokumentasi.
Trend analysis report tersedia.

✓ 5.2 Operational Compliance

100% high energy SIF KPI direview bulanan.
Semua performance trigger memiliki review record.
LOPA reassessment dilakukan bila required.

✓ 5.3 Performance KPI

0 repeated high energy demand tanpa review.
Spurious trip within corporate threshold.
Alarm flood index within defined limit.
Bypass duration within tolerance.

☑ 6. EVIDENCE & RECORDS

KPI dashboard
Trend analysis report
Performance-based review report
Updated LOPA worksheet (if applicable)
Updated SIL verification report (if required)
Corrective action tracking log
CRC notification record (if escalated)

Traceability:

KPI Trend → Threshold Breach → Performance Review → Risk Reassessment → SIL Validation → Corrective Action → Monitoring → Governance Closure

☑ 7. EXCEPTION & COMPENSATING MEASURES

Tidak diperkenankan mengabaikan performance trigger sebagai isu operasional biasa.

Jika corrective action memerlukan waktu:

Interim safeguard shall be implemented.
Increased monitoring frequency shall be applied.
High energy exposure shall be prioritized.

Repeated performance degradation tanpa systemic correction dianggap governance failure.

☑ 8. GOVERNANCE & ACCOUNTABILITY

Owner: Process Safety Authority Support: Operations & Instrument Engineering Oversight: Corporate Risk Committee

Escalation Trigger:

Spurious trip beyond threshold for high energy SIF
Demand frequency exceeding LOPA assumption
Alarm performance degradation severe
Repeated bypass trend
Insurer observation on system performance

Performance-based review memastikan CREG tetap adaptif terhadap kondisi operasional nyata.

ANNEX A

A1 – CORPORATE RISK ACCEPTANCE CRITERIA

✓ A1.1 PURPOSE

Menetapkan batas frekuensi maksimum yang dapat diterima untuk:

Fatality
Multi-fatality
Catastrophic asset loss
Environmental impact

Semua hasil LOPA dan SIL shall memenuhi batas ini.

Jika tidak → additional protection mandatory.

✓ A1.2 BASIS REFERENSI (BUKAN ANGKA ASAL)

Risk target ditetapkan berdasarkan:

UK HSE Individual Risk Benchmark
- Broadly acceptable region: 10⁻⁶ per year
- ALARP upper bound worker: 10⁻³ per year
CCPS Guidelines for Risk Based Process Safety
- Typical tolerable risk industrial fatality: 10⁻⁴ – 10⁻⁵ per year
Major petrochemical benchmarking practice
- Catastrophic scenario target ≤ 10⁻⁶ per year
Insurer-driven governance (FM Global practice)
- Catastrophic property loss frequency ≤ 10⁻⁴ per year typical expectation

Angka di bawah ini berada dalam range defensible global practice.

✓ A1.3 NUMERICAL ACCEPTANCE TABLE

A1.3.1 Individual Risk (Onsite Personnel)

Consequence	Maximum Tolerable Frequency
Single Fatality	≤ 1 × 10⁻⁴ / year
Multiple Fatality (≥2)	≤ 1 × 10⁻⁵ / year
Catastrophic (multi-fatality + major unit loss)	≤ 1 × 10⁻⁶ / year

A1.3.2 Asset Damage

Asset Impact	Maximum Frequency
Major Equipment Loss (> USD 10M equivalent)	≤ 1 × 10⁻³ / year
Multi-Unit Loss	≤ 1 × 10⁻⁴ / year

A1.3.3 Environmental Impact

Impact	Maximum Frequency
Offsite environmental impact	≤ 1 × 10⁻⁵ / year
Reportable spill only	≤ 1 × 10⁻³ / year

✓ A1.4 RESIDUAL RISK CALCULATION RULE

Residual Risk shall be calculated as:

Residual\ Risk = \frac{Initiating\ Frequency}{\prod IPL\ RRF}

Where:

Initiating Frequency in events per year
RRF = Risk Reduction Factor per IPL
All IPL must meet independence rule (see A4)

No qualitative downgrade allowed.

✓ A1.5 ALARP RULE

Jika:

Residual\ Risk ≤ Target

Namun berada dalam:

10^{-5} < Risk ≤ 10^{-4}

Untuk fatality scenario:

ALARP demonstration mandatory.

ALARP shall include:

Additional safeguard screening
Cost vs risk reduction justification
Executive review for catastrophic exposure

✓ A1.6 HARD STOP RULE

Jika:

Residual\ Risk > 1 × 10^{-4}

Untuk fatality scenario:

Operation not permitted without additional IPL.

Jika:

Residual\ Risk > 1 × 10^{-6}

Untuk catastrophic scenario:

CRC review mandatory.

✓ A1.7 WORKED CALCULATION EXAMPLE

(High Energy Example – Hydrogenation Reactor Runaway)

Scenario:

Hydrogenation reactor runaway due to cooling failure.

Step 1 – Initiating Frequency

Cooling failure frequency (industry average): 1 per year (1 × 10⁰)

Conditional modifier (reaction runaway probability): 0.1

So initiating frequency:

1 × 10⁰ × 0.1 = 1 × 10^{-1}

= 0.1 per year

Step 2 – Risk Target

Scenario consequence: Multiple fatality potential.

Target:

≤ 1 × 10^{-5}

Step 3 – Required RRF

Required\ RRF = \frac{0.1}{1 × 10^{-5}}

= 10,000

Step 4 – SIL Implication

RRF 10,000 → SIL 3 required.

SIL 2 (max 1000) not sufficient.

Step 5 – Conclusion

If design only provides:

BPCS (10)
Alarm (10)
SIL 2 SIF (1000)

Total RRF = 10 × 10 × 1000 = 100,000

Residual Risk:

\frac{0.1}{100,000} = 1 × 10^{-6}

= acceptable for catastrophic threshold.

A2 – RISK MATRIX NUMERICAL DEFINITION

✓ A2.1 PURPOSE

Menetapkan definisi numerik tunggal untuk:

Likelihood
Severity
Risk ranking
LOPA trigger threshold

Risk Matrix shall digunakan hanya sebagai screening tool. LOPA mandatory jika risk category ≥ defined threshold.

✓ A2.2 LIKELIHOOD CATEGORY (NUMERIC ONLY)

Likelihood didefinisikan dalam frekuensi per tahun.

Category	Frequency (per year)
L6	> 1 × 10⁻¹
L5	1 × 10⁻² – 1 × 10⁻¹
L4	1 × 10⁻³ – 1 × 10⁻²
L3	1 × 10⁻⁴ – 1 × 10⁻³
L2	1 × 10⁻⁵ – 1 × 10⁻⁴
L1	< 1 × 10⁻⁵

No verbal description allowed in formal assessment.

Initiating frequency shall be documented numerically.

✓ A2.3 SEVERITY CATEGORY (NUMERIC ONLY)

Severity shall be assigned based on the highest credible consequence.

A2.3.1 Personnel Impact

Severity Code	Fatality Count
S5	≥ 5 fatalities
S4	2–4 fatalities
S3	1 fatality
S2	Recordable injury only
S1	No injury

A2.3.2 Asset Damage (USD Equivalent)

Severity Code	Direct Asset Loss
A5	≥ 50 MM USD
A4	10 – 50 MM USD
A3	1 – 10 MM USD
A2	0.1 – 1 MM USD
A1	< 0.1 MM USD

A2.3.3 Environmental Impact (Release Based)

Severity Code	Release Quantity / Impact
E5	Offsite impact beyond fence
E4	Onsite environmental damage requiring regulatory action
E3	Reportable spill > 10 m³ flammable liquid
E2	Spill < 10 m³
E1	No environmental release

✓ A2.4 RISK MATRIX STRUCTURE

Risk score = Severity × Likelihood (numerical index)

Example:

If S4 (multiple fatality) and L4 (1×10⁻³ – 1×10⁻²)

Risk Category = 4 × 4 = 16

✓ A2.5 LOPA TRIGGER RULE

LOPA mandatory if:

Severity ≥ S3 AND Likelihood ≥ L3 OR
Risk Score ≥ 12 OR
Any high energy system involved

No exception allowed.

✓ A2.6 DIRECT LINK TO RISK ACCEPTANCE

Risk Matrix is screening only.

Final acceptance shall be based on:

Residual Risk numeric comparison to A1.

Matrix color coding shall not override A1 frequency criteria.

✓ A2.7 WORKED EXAMPLE

Scenario: SMR fuel gas accumulation due to flame failure.

Initiating frequency: 5 × 10⁻³ per year → falls in L4 (1×10⁻³ – 1×10⁻²)

Consequence: Furnace explosion with ≥ 3 fatalities → S4

Risk score:

4 × 4 = 16

≥ 12 → LOPA mandatory.

Matrix cannot approve scenario without LOPA.

✓ A2.8 NO-AMBIGUITY RULE

The following words shall not be used in risk matrix documentation:

Major
Significant
Severe
High
Moderate
Low

Only numerical code (Sx, Lx) allowed.

✓ A2.9 ESCALATION LINK

If matrix category includes:

S5 regardless of likelihood OR
Risk score ≥ 20

CRC notification mandatory before approval.

A3 – INITIATING EVENT FREQUENCY GOVERNANCE

✓ A3.1 TUJUAN

Menetapkan aturan kuantitatif dan hierarki sumber data untuk penentuan Initiating Event Frequency (IEF) pada HAZOP dan LOPA, sehingga:

Tidak terjadi angka asumsi tanpa dasar,
Tidak terjadi manipulasi frekuensi untuk menurunkan SIL,
Semua likelihood dalam Risk Matrix (A2) memiliki basis yang dapat diaudit.

✓ A3.2 DEFINISI

Initiating Event Frequency (IEF) adalah frekuensi tahunan dari suatu kejadian pemicu sebelum adanya IPL tambahan.

Satuan wajib:

\text{event per year}

Tidak boleh menggunakan istilah:

“rare”
“unlikely”
“possible”

Semua harus numerik.

✓ A3.3 HIERARKI SUMBER DATA (WAJIB DIKUTI)

Urutan prioritas sumber IEF:

Data historis site (minimum 5 tahun)
Data korporat lintas fasilitas
Database industri terverifikasi (misal OREDA, CCPS)
Default Corporate Table (A3.5)

Penggunaan level lebih rendah harus didokumentasikan alasannya.

Vendor data tidak boleh digunakan sebagai sumber tunggal.

✓ A3.4 ATURAN KONSERVATIF

Jika terdapat rentang nilai frekuensi:

Gunakan nilai tertinggi dalam rentang.

Contoh:

Rentang: 0.01 – 0.05 per tahun Yang dipakai: 0.05 per tahun

Tidak diperbolehkan mengambil nilai rata-rata untuk menurunkan SIL.

✓ A3.5 DEFAULT INITIATING EVENT TABLE

Digunakan hanya jika tidak tersedia data level 1–3.

Event	Default Frequency (/year)
Control valve failure (dangerous)	0.1
Pump failure causing process upset	1
Cooling water total failure	1
Power dip > 1 second	0.5
Instrument air total failure	0.2
Human error (procedural deviation)	0.1
Level transmitter dangerous failure	0.1
Temperature transmitter dangerous failure	0.1
Flame failure (fired heater)	0.2
Tank overfill due to operator error	0.1

Nilai ini wajib direview setiap 5 tahun.

✓ A3.6 STARTUP / SHUTDOWN MULTIPLIER

Untuk mode startup, shutdown, atau transien:

IEF_{transient} = IEF_{normal} × 3

Kecuali terdapat data historis yang membuktikan sebaliknya.

Untuk commissioning awal unit baru:

Multiplier = 5

✓ A3.7 CONDITIONAL MODIFIER GOVERNANCE

Conditional modifier (CM) harus numerik dan terdokumentasi.

Contoh:

Probability of ignition: 0.1 – 0.3
Occupancy factor: 0.5 – 1
Escalation factor: ≤ 1

Total modified initiating frequency:

IEF_{effective} = IEF × CM_1 × CM_2 × ...

CM total tidak boleh menghasilkan reduksi > 10x tanpa justifikasi tertulis.

✓ A3.8 LARANGAN

Tidak diperbolehkan:

Menggunakan frekuensi < 1×10⁻⁵ tanpa data historis kuat.
Mengasumsikan human error < 0.01 tanpa basis.
Menggunakan “engineering judgement” tanpa dokumentasi.

Jika IEF < 1×10⁻⁴ digunakan, PSA approval wajib.

✓ A3.9 CONTOH PERHITUNGAN

Kasus: Tank Overfill (Propylene Storage)

Default operator error: 0.1 / tahun Probability of ignition: 0.3 Occupancy: 1

IEF = 0.1 × 0.3 = 0.03

IEF efektif = 3×10⁻² / tahun

Nilai ini yang dipakai di LOPA.

Tidak boleh diturunkan tanpa data.

A4 – IPL CREDIT GOVERNANCE

✓ A4.1 TUJUAN

Menetapkan aturan kuantitatif dan batas maksimum kredit Risk Reduction Factor (RRF) untuk setiap Independent Protection Layer (IPL), serta mendefinisikan syarat independensi dan larangan double counting, sehingga:

Tidak terjadi over-credit,
Tidak terjadi penggandaan proteksi fiktif,
Tidak terjadi manipulasi RRF untuk menurunkan SIL.

✓ A4.2 DEFINISI IPL

Suatu lapisan proteksi hanya dapat dikreditkan sebagai IPL jika memenuhi seluruh kriteria berikut:

Independen dari initiating cause,
Independen dari IPL lain,
Spesifik untuk mencegah konsekuensi yang dianalisis,
Dapat diuji (proof testable),
Terdokumentasi,
Memiliki response time < Process Safety Time.

Jika satu saja tidak terpenuhi → tidak boleh dikreditkan.

✓ A4.3 MAKSIMUM RRF PER IPL

Jenis IPL	Maksimum RRF
BPCS control loop	10
Alarm + operator action	10
Mechanical interlock (non-SIS)	100
PSV (divalidasi API 521)	100
SIL 1 SIF	100
SIL 2 SIF	1000
SIL 3 SIF	10000

Tidak diperbolehkan memberikan kredit melebihi tabel ini.

✓ A4.4 SYARAT KHUSUS UNTUK ALARM SEBAGAI IPL

Alarm hanya boleh dikreditkan jika:

Sesuai IEC 62682,
Alarm flood index ≤ 10 alarm / 10 menit,
Response time terdokumentasi,
Operator training terdokumentasi,
Tidak dalam kondisi standing alarm.

Jika salah satu tidak terpenuhi → RRF alarm = 1 (tidak dikreditkan).

✓ A4.5 LARANGAN DOUBLE COUNTING

Tidak diperbolehkan:

Mengkreditkan BPCS dan alarm jika berasal dari sensor yang sama.
Mengkreditkan dua SIF dengan final element yang sama.
Mengkreditkan PSV dan SIF jika keduanya mengatasi overpressure yang sama tanpa independensi fisik.

Jika terdapat shared component → hanya satu yang boleh dikreditkan.

✓ A4.6 ATURAN INDEPENDENSI

Suatu IPL dianggap tidak independen jika memiliki salah satu kondisi berikut:

Shared sensor,
Shared logic solver,
Shared final element,
Shared power upstream breaker,
Shared instrument air source tanpa segregasi,
Shared cabinet tanpa fire separation.

Jika independensi tidak terpenuhi → RRF maksimal = 10.

✓ A4.7 COMMON CAUSE DOMAIN CAP

Jika dua IPL berada dalam domain common cause yang sama:

Total combined RRF tidak boleh melebihi 100.

Contoh:

Dua SIF dengan shared cabinet → walaupun masing-masing SIL 2 (1000), total maksimum dikreditkan = 100.

✓ A4.8 CONDITIONAL MODIFIER CAP

Total reduksi akibat conditional modifier tidak boleh:

> 10

Jika lebih dari 10 → PSA approval wajib.

✓ A4.9 CONTOH PERHITUNGAN (HIGH ENERGY – SMR)

Initiating frequency: 5 × 10⁻³ / tahun

IPL tersedia:

BPCS (10)
Alarm (10)
SIL 2 SIF (1000)

Total RRF teoritis:

10 × 10 × 1000 = 100,000

Namun:

Jika BPCS dan alarm menggunakan sensor yang sama:

Alarm tidak independen → tidak boleh dikreditkan.

Total RRF aktual:

10 × 1000 = 10,000

Residual risk berubah signifikan.

✓ A4.10 PSV CREDIT RULE

PSV hanya boleh dikreditkan jika:

Sizing sesuai API 521,
Fire case dihitung,
Relief path tidak terblokir,
Inspection interval sesuai API 510/570,
No isolation valve tanpa car seal/lock open.

Jika salah satu tidak terpenuhi → RRF PSV = 10 maksimum.

✓ A4.11 MINIMUM IPL UNTUK HIGH ENERGY SYSTEM

Untuk:

SMR
Hydrogenation reactor
Flammable storage > 500 m³

Minimal harus memiliki:

Minimum 2 IPL independen,
Salah satunya SIL-rated SIF.

Tanpa ini → desain tidak diterima.

A5 – RRF TO SIL MAPPING & MINIMUM SIL FLOOR

✓ A5.1 TUJUAN

Menetapkan aturan kuantitatif untuk:

Konversi Required RRF menjadi SIL,
Penanganan kasus borderline,
Penetapan SIL minimum untuk sistem berenergi tinggi,
Pembatasan ketergantungan berlebihan pada SIS.

Tidak diperbolehkan menentukan SIL berdasarkan preferensi proyek.

✓ A5.2 DEFINISI DASAR

Required RRF dihitung:

Required\ RRF = \frac{Initiating\ Frequency}{Target\ Frequency}

Target frequency mengacu pada A1.

SIL ditentukan berdasarkan Required RRF.

✓ A5.3 RRF KE SIL MAPPING (NUMERIK)

SIL	Rentang RRF	PFDavg Target
SIL 1	10 – 100	10⁻² – 10⁻¹
SIL 2	100 – 1000	10⁻³ – 10⁻²
SIL 3	1000 – 10000	10⁻⁴ – 10⁻³

Tidak diperbolehkan interpolasi.

✓ A5.4 BORDERLINE RULE

Jika Required RRF berada dalam 10% dari batas atas kelas SIL:

→ Naikkan ke SIL berikutnya.

Contoh:

Required RRF = 950 Batas SIL 2 = 1000

Karena > 900 (90% dari 1000) → wajib SIL 3.

Tidak diperbolehkan memilih SIL lebih rendah dengan alasan “cukup”.

✓ A5.5 MINIMUM SIL FLOOR UNTUK HIGH ENERGY SYSTEM

Terlepas dari hasil LOPA, berikut adalah SIL minimum:

Skenario	Minimum SIL
SMR fuel trip / flame failure shutdown	SIL 2
Hydrogenation reactor runaway shutdown	SIL 2
Flammable storage high-high level shutdown (> 500 m³)	SIL 2
Reboiler high pressure isolation (distillation large inventory)	SIL 2

Jika LOPA menghasilkan SIL 1 → tetap wajib SIL 2.

Jika LOPA menghasilkan SIL 3 → SIL 3 berlaku.

✓ A5.6 CATASTROPHIC SCENARIO RULE

Jika:

Consequence ≥ S5 (≥ 5 fatalities) ATAU
Asset loss ≥ 50 MM USD

Maka:

Evaluasi SIL 3 wajib dilakukan.

Jika Required RRF ≥ 500 → SIL 3 minimum.

CRC review mandatory.

✓ A5.7 MAXIMUM SIS RELIANCE RULE

Total RRF yang berasal dari SIS tidak boleh:

> 90% \text{ dari Required RRF}

Minimal satu IPL non-SIS wajib ada untuk high energy system.

Tujuan: mencegah desain yang sepenuhnya bergantung pada instrumentasi.

✓ A5.8 PROCESS SAFETY TIME CONSTRAINT

SIL tidak dapat dikreditkan jika:

Response Time SIF ≥ Process Safety Time.

Jika:

Process Safety Time = 10 detik SIF response time = 12 detik

→ RRF = 1 (tidak dikreditkan).

✓ A5.9 CONTOH PERHITUNGAN

Kasus: SMR Flame Failure

Initiating frequency: 0.2 / tahun Target catastrophic: 1 × 10⁻⁶

Required RRF = \frac{0.2}{1×10^{-6}} = 200,000

Dari A5.3:

RRF > 10,000 → SIL 3 minimum.

Jika hanya SIL 2 tersedia (1000):

Tidak memenuhi.

Desain harus ditingkatkan atau IPL tambahan ditambahkan.

✓ A5.10 SIL DOWNGRADE RULE

Tidak diperbolehkan:

Menurunkan SIL setelah FEED tanpa LOPA ulang.
Menurunkan SIL untuk alasan biaya.
Menurunkan SIL karena “vendor capability”.

Jika downgrade diusulkan:

LOPA revalidation wajib,
PSA approval wajib,
CRC notification jika high energy.

A6 – PFDavg Calculation & Hardware Integrity Governance

✓ A6.1 TUJUAN

Menetapkan aturan kuantitatif untuk:

Perhitungan PFDavg,
Pemilihan failure rate (λ),
Penggunaan β-factor,
Batas arsitektur hardware,
Validasi proof test interval,

Sehingga klaim SIL dapat dibuktikan secara matematis sesuai IEC 61508 / IEC 61511.

✓ A6.2 DEFINISI DASAR

Untuk low demand mode ( $\le 1$ demand per year), digunakan:

PFD_{avg} = \frac{\lambda_{DU} \cdot T}{2}

Dimana:

$\lambda_{DU}$ = dangerous undetected failure rate (per hour)
$T$ = proof test interval (jam)

Untuk konfigurasi redundant (misal 1oo2, 2oo3), digunakan formula sesuai IEC 61508.

Tidak diperbolehkan menggunakan pendekatan "rule of thumb".

✓ A6.3 SUMBER FAILURE RATE (λ)

Urutan prioritas:

Data site historis (minimum 5 tahun)
Database industri terverifikasi (OREDA, exida, dll.)
FMEDA bersertifikat
Default corporate conservative value

Vendor datasheet tanpa FMEDA tidak boleh digunakan.

✓ A6.4 DEFAULT CONSERVATIVE FAILURE RATE (Jika data tidak tersedia)

Device	λDU (per hour)
Pressure transmitter	1 × 10⁻⁶
Temperature transmitter	1 × 10⁻⁶
Logic solver (certified)	5 × 10⁻⁷
Final control valve	2 × 10⁻⁶
Solenoid valve	1 × 10⁻⁶

Nilai ini direview 5 tahunan.

✓ A6.5 β-FACTOR GOVERNANCE (COMMON CAUSE)

Default β-factor:

Kondisi	β
Fully segregated (power, cabinet, environment)	5%
Shared cabinet	10%
Shared power upstream	15%
Shared environment (no fire separation)	20%

Jika β > 15% → total SIL maksimum diklaim = SIL 2.

Tidak diperbolehkan mengklaim SIL 3 dengan β ≥ 20%.

✓ A6.6 ARSITEKTUR YANG DIPERBOLEHKAN

SIL Target	Arsitektur Minimum
SIL 1	1oo1
SIL 2	1oo2 atau 2oo2
SIL 3	2oo3 atau 1oo2D dengan DC tinggi

1oo1 tidak diperbolehkan untuk SIL 3.

✓ A6.7 DIAGNOSTIC COVERAGE (DC)

Minimum DC:

SIL	Minimum DC
SIL 1	≥ 60%
SIL 2	≥ 70%
SIL 3	≥ 90%

Jika DC < minimum → SIL diturunkan satu level.

✓ A6.8 PROOF TEST INTERVAL CONSTRAINT

Proof test interval maksimum:

SIL	Max Interval
SIL 1	2 tahun
SIL 2	1 tahun
SIL 3	6 bulan

Jika interval lebih panjang → PFDavg harus dihitung ulang.

Tidak diperbolehkan mengklaim SIL 3 dengan test interval > 1 tahun.

✓ A6.9 PARTIAL STROKE TEST RULE

Partial stroke hanya boleh dikreditkan jika:

Test coverage ≥ 60% dari dangerous failure,
Interval ≤ 3 bulan,
Final element full stroke test tetap dilakukan tahunan.

Jika tidak → tidak boleh mengurangi PFDavg.

✓ A6.10 PROCESS SAFETY TIME VALIDATION

SIF hanya valid jika:

Response\ Time < Process\ Safety\ Time

Response time = detection + logic + valve travel.

Jika tidak terpenuhi → RRF = 1.

✓ A6.11 CONTOH PERHITUNGAN (SIL 2 SIF – Reactor Shutdown Valve)

Data:

Pressure transmitter λDU = 1×10⁻⁶ / jam
Logic solver λDU = 5×10⁻⁷ / jam
Final valve λDU = 2×10⁻⁶ / jam
Interval T = 8760 jam (1 tahun)

Total λDU ≈ 3.5×10⁻⁶ / jam

PFD_{avg} = \frac{3.5×10^{-6} × 8760}{2}

= 0.0153

0.0153 = 1.53×10⁻²

Masuk rentang SIL 1 (10⁻² – 10⁻¹)

Kesimpulan:

Konfigurasi ini hanya SIL 1.

Untuk mencapai SIL 2 → perlu redundansi atau interval lebih pendek.

Ini contoh nyata bagaimana perhitungan menentukan SIL, bukan label.

✓ A6.12 LARANGAN

Tidak diperbolehkan:

Menggunakan “SIL capable” tanpa PFDavg calculation.
Menggunakan vendor SIL certificate tanpa integrasi sistem.
Mengabaikan β-factor.
Mengabaikan proof test interval dalam perhitungan.

A7 – HIGH ENERGY SYSTEM MANDATORY NUMERIC RULE

✓ A7.1 TUJUAN

Menetapkan persyaratan numerik tambahan yang wajib diterapkan pada sistem berenergi tinggi (high energy system), terlepas dari hasil LOPA, untuk mencegah:

Under-design akibat asumsi frekuensi rendah,
Ketergantungan berlebihan pada satu IPL,
Eskalasi cepat menuju kejadian catastrophic.

✓ A7.2 DEFINISI HIGH ENERGY SYSTEM

Suatu sistem dikategorikan high energy jika memenuhi salah satu:

Tekanan operasi ≥ 40 barg dan inventory hidrokarbon ≥ 5 m³
Temperatur ≥ 400°C dengan bahan bakar gas (fired equipment)
Inventory flammable liquid ≥ 500 m³ dalam satu tangki
Reaksi eksotermis dengan ΔT adiabatik ≥ 100°C
Hidrogen parsial pressure ≥ 20 barg
Potensi fatality ≥ 2 orang dalam skenario credible terburuk

Jika salah satu terpenuhi → A7 berlaku wajib.

✓ A7.3 MINIMUM IPL REQUIREMENT

Untuk high energy system:

Minimum 2 IPL independen wajib ada.
Minimal 1 IPL harus berupa SIL-rated SIF.
Tidak diperbolehkan hanya mengandalkan:
- BPCS + alarm saja.

Jika tidak terpenuhi → desain tidak diterima.

✓ A7.4 MINIMUM SIL FLOOR (OVERRIDE RULE)

Untuk sistem high energy:

Jika Required RRF ≥ 500 → minimum SIL 3.
Jika Required RRF 100–500 → minimum SIL 2.
Jika Required RRF < 100 → tetap minimum SIL 2.

Artinya: High energy tidak boleh menggunakan SIL 1 sebagai proteksi utama shutdown.

✓ A7.5 MAXIMUM PROCESS SAFETY TIME

Untuk high energy system:

Sistem	Max Process Safety Time
SMR flame failure	≤ 5 detik
Hydrogenation runaway	≤ 10 detik
Distillation overpressure	≤ 30 detik
Tank overfill HH	≤ 60 detik

Jika SIF response time ≥ nilai ini → tidak boleh dikreditkan.

✓ A7.6 MAXIMUM DETECTION DELAY

Untuk high energy:

Sensor detection delay ≤ 30% dari Process Safety Time.

Contoh:

Process Safety Time = 10 detik Detection delay maksimum = 3 detik

Jika lebih → SIL tidak valid.

✓ A7.7 UTILITY DEPENDENCY CAP

Untuk high energy system:

Jika SIF tergantung pada:

Shared instrument air tanpa backup
Shared UPS tanpa segregasi
Shared MCC feeder

Maka total RRF maksimum dari SIF = 100 (setara SIL 1).

Untuk klaim SIL 2 atau 3:

Dual power source wajib,
Air reservoir minimum 30 menit untuk fail-safe valve.

✓ A7.8 STORAGE TANK NUMERIC RULE (FLAMMABLE ≥ 500 m³)

Untuk tank farm:

High-high level trip response time ≤ 10 detik.
Independent level sensor wajib (tidak shared dengan BPCS).
Proof test interval ≤ 6 bulan.
Alarm flood index pada tank control room ≤ 5 alarm / 10 menit saat loading.

Jika salah satu tidak terpenuhi → RRF maksimum 10.

✓ A7.9 SMR FURNACE NUMERIC RULE

Untuk SMR atau fired heater:

Dual flame detector mandatory.
Fuel gas isolation valve travel time ≤ 2 detik.
Logic solver independent dari BPCS.
Fuel shutoff valve proof test interval ≤ 6 bulan.
Flame failure detection time ≤ 1 detik.

Jika flame detection > 1 detik → tidak boleh dikreditkan SIL 2 atau lebih.

✓ A7.10 HYDROGENATION REACTOR NUMERIC RULE

Untuk reactor runaway protection:

High-high temperature trip setpoint ≤ 90% runaway onset temperature.
Sensor redundancy minimum 1oo2.
Valve closure time ≤ 50% dari calculated runaway time.
Catalyst change → LOPA revalidation mandatory.

Jika tidak terpenuhi → SIL dikurangi satu level.

✓ A7.11 ESCALATION RULE

Jika:

Residual risk ≥ 1×10⁻⁶ pada high energy scenario
Repeated demand > 2 kali / tahun
Proof test overdue > 0% untuk SIL 3

→ CRC notification mandatory dalam 30 hari.

✓ A7.12 CONTOH NUMERIK (SMR)

Initiating frequency flame failure = 0.2 / tahun Target catastrophic = 1×10⁻⁶

Required RRF = 200,000

SIL 3 maksimum 10,000

Artinya:

SIL 3 saja tidak cukup.

Tambahan IPL non-SIS wajib.

Tanpa A7, engineer bisa saja puas dengan SIL 2.

Dengan A7 → tidak bisa.

A8 – KPI NUMERIC THRESHOLD & PERFORMANCE TRIGGER

✓ A8.1 TUJUAN

Menetapkan batas kuantitatif kinerja (KPI) untuk sistem proteksi dan menentukan trigger eskalasi apabila kinerja aktual menyimpang dari asumsi desain (LOPA dan SIL verification), sehingga:

Asumsi initiating frequency tetap valid,
Asumsi demand rate tetap valid,
PFDavg tidak menjadi teoritis,
Risk drift terdeteksi sebelum insiden.

✓ A8.2 SPURIOUS TRIP RATE

A8.2.1 Batas Maksimum

SIL	Maksimum Spurious Trip / Tahun
SIL 1	2
SIL 2	1
SIL 3	0.5

Untuk high energy system:

Maksimum 1 trip / tahun untuk seluruh SIF kritikal.

A8.2.2 Trigger Eskalasi

Jika:

Melebihi batas dalam 1 tahun → Performance review wajib.
Melebihi batas 2 tahun berturut → LOPA revalidation wajib.
Melebihi 2× batas → CRC notification.

✓ A8.3 DEMAND RATE DEVIATION

Jika demand aktual pada suatu SIF:

> 2 × \text{assumed demand rate dalam LOPA}

→ LOPA revalidation wajib dalam 60 hari.

Untuk high energy system:

Jika demand ≥ 2 kali dalam 12 bulan → CRC notification.

✓ A8.4 PROOF TEST OVERDUE

A8.4.1 Batas Toleransi

SIL	Maksimum Overdue
SIL 1	≤ 10% interval
SIL 2	≤ 5% interval
SIL 3	0%

Untuk SIL 3 high energy:

Tidak ada grace period.

A8.4.2 Trigger

Jika overdue melebihi batas:

Risk review wajib.
Jika SIL 3 → immediate PSA notification.
Jika high energy → CRC notification.

✓ A8.5 BYPASS DURATION

SIL	Maksimum Continuous Bypass
SIL 1	7 hari
SIL 2	72 jam
SIL 3	24 jam

Untuk high energy:

Maksimum 24 jam untuk semua SIL.
Jika > 24 jam → CRC notification.

✓ A8.6 ALARM PERFORMANCE (IEC 62682 Alignment)

A8.6.1 Alarm Flood

Maksimum 10 alarm / 10 menit.

Untuk high energy control room:

Maksimum 5 alarm / 10 menit saat upset.

A8.6.2 Standing Alarm

0 high priority alarm > 24 jam.
Maksimum 5% total alarm boleh standing > 7 hari.

A8.7 FINAL ELEMENT FAILURE RATE

Jika final element failure on test:

> 5% \text{ dari populasi dalam 1 tahun}

→ Failure rate update wajib pada SIL verification.

Jika > 10% → SIL downgrade evaluation mandatory.

✓ A8.8 COMMON CAUSE PERFORMANCE INDICATOR

Jika dua perangkat redundant gagal dalam 1 tahun:

→ β-factor harus direview.

Jika kejadian > 1 kali dalam 2 tahun:

→ SIL maksimum dikurangi satu level sampai investigasi selesai.

✓ A8.9 KPI TREND ANALYSIS RULE

Semua KPI di atas harus:

Direview minimal per kuartal.
Direkap dalam dashboard resmi.
Ditandatangani PSA.

Tidak diperbolehkan hanya mengarsipkan tanpa analisis tren.

✓ A8.10 CONTOH NUMERIK

Kasus: Reactor Shutdown SIF (SIL 2)

LOPA demand rate assumption: 0.1 / tahun

Dalam operasi aktual:

Demand tercatat 0.3 / tahun

0.3 > 2 × 0.1

Karena:

0.3 > 0.2

→ LOPA revalidation wajib.

Jika tidak direview → SIL assumption tidak valid.

✓ A8.11 KETERKAITAN DENGAN A1

Jika KPI menunjukkan:

Demand rate naik → Required RRF naik Spurious trip naik → bypass naik → availability turun

Maka residual risk aktual dapat > target A1.

KPI bukan maintenance metric. KPI adalah risk governance metric.

A9 – ESCALATION NUMERIC TRIGGER & GOVERNANCE ENFORCEMENT

✓ A9.1 TUJUAN

Menetapkan ambang numerik (numeric trigger) yang secara otomatis mewajibkan eskalasi ke tingkat manajemen tertentu serta tindakan korektif terikat waktu, sehingga:

Penyimpangan dari Annex A tidak dibiarkan,
Risk drift tidak menjadi budaya,
Tidak ada keputusan risiko tingkat tinggi yang terjadi tanpa otorisasi yang tepat.

✓ A9.2 LEVEL ESKALASI

Level	Otoritas
L1	Site Engineering Manager
L2	Process Safety Authority (PSA)
L3	Corporate Risk Committee (CRC)
L4	Executive Management

✓ A9.3 TRIGGER BERDASARKAN RESIDUAL RISK

Jika hasil LOPA menunjukkan:

Residual risk > target A1 → L2 (PSA) wajib dalam 30 hari.
Residual risk > 2× target A1 → L3 (CRC) wajib sebelum operasi lanjut.
Residual risk > 1×10⁻⁴ untuk fatality scenario → operasi tidak diperbolehkan tanpa additional IPL.

✓ A9.4 TRIGGER BERDASARKAN SIL

Usulan downgrade SIL → minimal L2 (PSA).
Downgrade pada high energy system → L3 (CRC).
Klaim SIL tanpa perhitungan A6 lengkap → L2.
SIL 3 dengan β ≥ 15% → L3 review wajib.

✓ A9.5 TRIGGER BERDASARKAN KPI (DARI A8)

Kondisi	Level
Spurious trip > threshold	L1
Spurious trip > 2× threshold	L2
Demand > 2× asumsi LOPA	L2
Demand high energy ≥ 2 kali / tahun	L3
Proof test overdue SIL 3	L2 immediate
Bypass > 24 jam high energy	L3
Alarm flood > 2× limit	L1
Final element failure > 10% populasi	L2

✓ A9.6 TRIGGER BERDASARKAN ARSITEKTUR

Jika ditemukan:

Shared power upstream untuk dua SIF redundant,
Shared cabinet tanpa fire separation,
Instrument air single source untuk dual valve shutdown,

→ RRF maksimum dibatasi 100 sampai diperbaiki.

Eskalasi minimal L2.

✓ A9.7 WAKTU PENYELESAIAN (CLOSURE TIME)

Level	Maksimum Waktu Tindakan
L1	30 hari
L2	14 hari
L3	7 hari untuk review, 30 hari untuk action plan
L4	7 hari

Jika melewati waktu ini → naik satu level otomatis.

✓ A9.8 OPERASI TERBATAS (RESTRICTION RULE)

Jika:

SIL 3 SIF unavailable,
Residual risk > target,
High energy SIF bypass > 24 jam,

Maka:

Capacity reduction ≥ 50% wajib dipertimbangkan,
Hot work dilarang,
Non-essential maintenance dihentikan,

Sampai tindakan korektif selesai.

✓ A9.9 INSURER FINDING TRIGGER

Jika insurer mengeluarkan:

Major recommendation terkait safeguarding,
Finding terkait independence,

Maka:

L2 review wajib dalam 30 hari.
Jika terkait high energy → L3 review wajib.

Tidak diperbolehkan menunda karena alasan produksi.

✓ A9.10 NON-COMPLIANCE PENALTY RULE

Jika suatu unit melanggar Annex A lebih dari 2 kali dalam 12 bulan:

Audit khusus wajib.
Review organisasi safeguarding wajib.
CRC review mandatory.

✓ A9.11 CONTOH NUMERIK

Kasus: Tank high-high SIF (SIL 2)

Bypass selama 48 jam.
Limit A8 untuk SIL 2 = 72 jam.
Namun high energy override = 24 jam.

Karena > 24 jam:

→ L3 (CRC) notification wajib.

Jika tidak dilakukan → governance breach.

A10 – NUMERICAL GOVERNANCE INTEGRITY & AUDIT RULE

✓ A10.1 TUJUAN

Menetapkan mekanisme penguncian (integrity control), perubahan (amendment control), dan audit terhadap seluruh angka, formula, batas, dan trigger dalam Annex A sehingga:

Tidak terjadi modifikasi numerik tanpa otorisasi,
Tidak terjadi “local relaxation” di level proyek,
Semua angka tetap konsisten lintas waktu dan lintas unit,
CREG tetap defensible terhadap regulator dan insurer.

✓ A10.2 STATUS HUKUM INTERNAL

Seluruh angka dalam Annex A bersifat mandatory.
Tidak diperbolehkan perubahan nilai numerik tanpa:
- Analisis kuantitatif tertulis,
- Review PSA,
- Persetujuan CRC.
Proyek tidak boleh menetapkan angka alternatif tanpa persetujuan CRC.

Jika konflik antara dokumen proyek dan Annex A → Annex A berlaku.

✓ A10.3 AMENDMENT CONTROL RULE

Perubahan terhadap:

Risk acceptance frequency (A1),
RRF mapping (A5),
β-factor (A6),
SIL floor high energy (A7),
KPI threshold (A8),
Escalation trigger (A9),

Hanya dapat dilakukan jika:

Ada data performa minimum 3 tahun,
Ada analisis kuantitatif dampak terhadap residual risk,
Ada kajian dampak terhadap insurer alignment,
Disetujui CRC secara formal.

Tanpa keempatnya → perubahan tidak sah.

✓ A10.4 NUMERICAL CONSISTENCY RULE

Setiap perubahan angka harus:

Konsisten dengan IEC 61511 / 61508,
Tidak melonggarkan risk acceptance target,
Tidak menurunkan SIL floor untuk high energy system,
Tidak memperpanjang proof test interval tanpa analisis PFDavg ulang.

Jika perubahan meningkatkan risk exposure → wajib disertai ALARP justification.

✓ A10.5 AUDIT REQUIREMENT

A10.5.1 Audit Internal

Frekuensi: minimum 1 kali per tahun.

Audit harus memverifikasi:

Kepatuhan terhadap A1–A9,
Keakuratan perhitungan PFDavg,
Validitas initiating frequency,
Kepatuhan KPI terhadap threshold,
Kepatuhan bypass terhadap limit,
Validitas escalation record.

A10.5.2 Audit Independen (Untuk SIL 3 & High Energy)

Frekuensi: minimum setiap 3 tahun.

Scope wajib:

Review SIL verification,
Review β-factor assumption,
Review independence claim,
Review proof test coverage,
Review high energy compliance A7.

✓ A10.6 NUMERICAL TRACEABILITY RULE

Setiap SIF harus memiliki jejak numerik lengkap:

Initiating Frequency (A3) → Required RRF (A5) → SIL mapping (A5) → PFDavg calculation (A6) → Proof test interval (A6) → KPI monitoring (A8) → Escalation log (A9)

Jika salah satu mata rantai tidak tersedia → SIF dianggap tidak compliant.

✓ A10.7 DATA INTEGRITY RULE

Tidak diperbolehkan:

Menghapus data spurious trip,
Menghapus demand record,
Mengubah proof test date tanpa catatan,
Mengubah SIL tanpa dokumen perubahan.

Audit trail elektronik wajib aktif.

✓ A10.8 RISK ACCEPTANCE VALIDITY PERIOD

Risk acceptance hasil LOPA berlaku maksimum:

5 tahun (sesuai periodic review),
Atau sampai terjadi salah satu:
- MOC signifikan,
- KPI trigger A8,
- Event-based review A14.2,
- Insurer finding major.

Setelah itu → revalidation wajib.

✓ A10.9 NON-COMPLIANCE CONSEQUENCE

Jika ditemukan:

SIL diklaim tanpa PFDavg,
Initiating frequency tanpa sumber,
Bypass melampaui limit tanpa eskalasi,
KPI breach tanpa review,

Maka:

Finding diklasifikasikan sebagai Governance Critical,
Review CRC dalam 30 hari,
Audit khusus unit dilakukan.

✓ A10.10 DOCUMENT CONTROL

Annex A harus:

Memiliki nomor revisi,
Memiliki tanggal efektif,
Memiliki daftar perubahan,
Memiliki persetujuan CRC.

Tidak diperbolehkan distribusi versi tidak resmi.

✓ A10.11 CONTOH KASUS

Kasus:

Proyek ingin memperpanjang proof test interval SIL 2 dari 1 tahun menjadi 2 tahun.

Menurut A6:

SIL 2 max interval = 1 tahun.

Untuk perubahan:

Hitung ulang PFDavg,
Evaluasi dampak terhadap RRF,
Review CRC,
Update Annex A jika disetujui.

Jika tidak dilakukan → pelanggaran A10.

Catatan Penyusunan Artikel ini disusun sebagai materi edukasi dan referensi umum berdasarkan berbagai sumber pustaka, praktik lapangan, serta bantuan alat penulisan. Pembaca disarankan untuk melakukan verifikasi lanjutan dan penyesuaian sesuai dengan kondisi serta kebutuhan masing-masing sistem.