Procesveiligheid

en
veiligheid van installaties
 Inhoud
▪ Inleiding
▪ Procesveiligheidsstudie
▪ HAZOP
▪ LOPA
▪ FMEA
▪ Foutenboom - Vlinderdasmodel
▪ Functionele veiligheid
▪ Life cycle
▪ Betrouwbaarheid (SIL) 61511
▪ Management Of Change (MOC)
 Procesveiligheid (i)

▪ Procesveiligheid houdt zich bezig met de veiligheid van procesinstallaties.

▪ Beperken van de gevolgen van ongewenste vrijzetting van gevaarlijke producten of energie.
▪ Vooral chemische en petrochemische industrie, maar ook aanwezig in bedrijven uit andere sectoren (bv. opslag
van solventen, chemicaliën distributiesystemen, koelinstallaties, ...)
▪ Procesveiligheid is een aparte specialisatie binnen de veiligheidstechniek.
▪ Arbeidsveiligheid : de veiligheid van het individu.
▪ Procesveiligheid : de veiligheid van de installatie.
 Procesveiligheid (ii)
▪ Arbeidsveiligheid

Arbeidsveiligheid heeft betrekking op de veiligheid van het individu. Incidenten op het gebied van
arbeidsveiligheid hebben in eerste instantie alleen persoonlijk letsel tot gevolg. Gevaren die bij
arbeidsveiligheid horen zijn onder meer Mechanische risico’s, elektrocutie, blootstelling aan
gevaarlijke stoffen, vallen, verstikking, verdrinking en verbranding.

▪ Procesveiligheid

Bij incidenten die betrekking hebben op de procesveiligheid zal er vrijwel altijd energie of product (vaak
gevaarlijke stoffen) uit de procesinstallaties vrijkomen. Dit wordt ook wel loss of containment
(LOC)genoemd. De impact van LOC is vaak groot en kan consequenties hebben voor mensen, milieu of
de procesinstallatie. Hierbij kunnen dus ook gevaren ten aanzien van arbeidsveiligheid optreden.

Om procesongevallen te voorkomen wordt een groot aantal maatregelen op verschillende niveaus

genomen. Deze maatregelen hebben vaak betrekking op ontwerp-, technische en operationele
integriteit terwijl bij arbeidsveiligheid de barrières vaak betrekking hebben op supervisie en gedrag
 Procesveiligheid (iii)
▪ Procesveiligheid gaat verder dan klassieke arbeidsveiligheid
▪ PHA, SIL, HAZOP, LOPA

▪ Behelst eveneens (niet behandeld):

▪ Gevaarlijke stoffen (CMR, brandbaar, toxisch, REACH,…)
▪ Brand en explosie (VCE, BLEVE, …)
▪ Druk uitrusting (PED, drukvaten, veiligheidsventielen,…)
▪ Mechanische integriteit (materiaalkeuze, corrosie onder isolatie,…)

▪ Incidenten door gebrek van goede aanpak van procesveiligheid:

▪ Flixborough 1974, 28 dodelijke slachtoffers (Management of Change)
▪ Seveso 1976, dioxine uitstoot (incompetentie)
▪ Bhopal 1984, 100.000 dodelijke slachtoffers (Veiligheidsprocedures)
▪ Piper Alpha 1988, 167 dodelijke slachtoffers (Werkvergunningssysteem)
▪ BP Texas 2005, 15 dodelijke slachtoffers (Instrumentatie, management, procedures ).
 Procesveiligheid (iv)

Deepwater Horizon
April 2010, 11 dodelijke slachtoffers, milieuramp 780.000 m³ olie in zee
 Procesveiligheid (v)

▪ Valkuilen
▪ Goede personenveiligheid zegt niets over procesveiligheid
▪ Kentallen als incidenten en dagen verlet zeggen niets over
procesveiligheid
▪ Complexe risico’s
▪ Werken aan installaties
▪ Corrosie/erosie
▪ Afwijkingen van de normale procesvoering

▪ Wat is belangrijk?
▪ Ken de gevaren van stoffen en processen binnen jouw fabriek
▪ Ken je rol bij HAZOP, MOC, betrouwbaarheidsstudies (SIL)
 Procesveiligheid filosofie

Drie-eenheid:

▪ Technische veiligheid
• Integriteit, HAZOP, SIL, ATEX

▪ Organisatorisch/ systemen
• Veiligheidsmanagement systeem, VBS

▪ Technische veiligheid
• Gedrag en veiligheid (aanspreken)
Procesveiligheidsstudie
- HAZOP
- LOPA
- FMEA
- Vlinderdas model
Procesveiligheids methodiek

▪ LOC = Loss Of Containment

▪ LOPA = LayerOf Protection Analysis

▪ SIL = Safety Integrity Level

Borgen van procesveiligheid
 HAZOP

▪ HAZard and Operability study

▪ Kwalitatieve methode
▪ Ontstaan in 1974
▪ Beschreven in IEC 61882

▪ HAZOP gaat uit van:

▪ Normale werking van de installatie
▪ Mogelijke afwijkingen van de procesparameters
▪ Oorzaken & impact op de installatie
 HAZOP

▪ Wanneer uitvoeren
▪ Nieuwe installatie
▪ Bij bestaande installaties tussen 2 en 5 jaar
▪ Veiligheids- en betrouwbaarheidsstudie

▪ Procesoptimalisatie
▪ Modificaties (past in MOC)

▪ Waarom
▪ Systematisch en gestructureerd
▪ Multidisciplinair
▪ Volledig
▪ Diepgaande bedrijfszekerheidstudie

▪ Nadeel: Tijdsintensief
 HAZOP

▪ Team
▪ HAZOP leader: plannen, uitvoeren, is kritisch
▪ Secretaris
▪ Teamleden: opleiding, ervaren, pragmatisch

▪ Gaat uit van

▪ P&ID (Piping en Instrumentation Diagram)
▪ PFD (Process Flow Diagram)
▪ Alarmen, trips, interlocks
▪ Materiaal keuze
▪ …..
 HAZOP
▪ Proces wordt verdeeld in knopen
▪ De normale werking wordt per knoop vastgelegd
▪ Een procesparameter kiezen (druk, temperatuur, debiet,…)
▪ En afwijking kiezen (te veel/weinig, omgekeerd, meer/minder)
▪ Relevantie checken
▪ Oorzaken vastleggen
▪ Gevolgen bepalen voor het geheel
▪ Herhalen voor het volledige proces
▪ Afwijkingen
▪ Parameters
▪ Knopen
.
HAZOP - gidswoorden
HAZOP: Oefening

Title of presentation 17
HAZOP: Oefening

Title of presentation 18
HAZOP: Oefening

Title of presentation 19
HAZOP: Oefening

Title of presentation 20
 HAZOP: Oefening
HAZOP het overpompen van supply barrel naar de dagtank

Title of presentation 21
HAZOP: Oefening

Title of presentation 22
HAZOP: Oefening

Title of presentation 23
HAZOP: Oefening

Title of presentation 24
 LOPA

▪ LOPA: Layers Of Protection Analysis

▪ Beperkingen van één veiligheidsmaatregel

▪ Probleem onderschat, niet kennen
▪ Maatregel is niet effectief (onvoldoende)
▪ Maatregel werkt niet
▪ Falen
▪ Buiten werking gesteld (organisatorisch)

▪ Meerdere beschermingslagen nodig

LOPA
LOPA
Voorbeeld risicomatrix
LOPA
LOPA worksheet
LOPA in de proces industrie
 Layers of Protection

▪ Uitvoeren van een risicoanalyse

▪ Zijn de maatregelen voldoende ?
 Failure Mode and Effect Analysis

▪ Is een inductieve analysemethode waarbij op systematische wijze nagegaan wordt welke

faalwijzen van een systeem of component kunnen optreden en tot gevaarlijke effecten
kunnen leiden
▪ Is tijdsintensief omdat elke faalwijze van een component of subsysteem afzonderlijk moet
bekeken worden.
▪ Is tamelijk toegankelijk
▪ Wordt voornamelijk gebruikt voor betrouwbaarheidsstudies
▪ Is niet ideaal voor combinaties van faalwijzen vermits elke faalwijze geïsoleerd wordt
beschouwd.
▪ Is complementair met een foutenboomanalyse
 Failure Mode and Effect Analysis

▪ Werkwijze bij gebruik voor risico-identificatie

• Opsplitsen van het systeem in componenten of functionele subsystemen

• Voor elke component of subsysteem bepalen van de functie of de verschillende functies
• Voor elke functie opzoeken van de mogelijke faalwijzen
• Voor elke faalwijze bepalen van de directe effecten en van de risico’s die ermee
verbonden zijn

▪ Kan zowel kwantitatief als kwalitatief gebruikt worden.

Voorbeeld FMEA voor gevarenidentificatie

we beschouwen de component
"elektromagnetische klep"

+
- contact

diesel-
olie
diesel-
motor

elektromagnetische
klep
 Voorbeeld FMEA voor gevarenidentificatie

we beschouwen de component
"elektromagnetische klep"

- + contact

diesel-
olie
diesel-
motor
Functies:
1. contact dicht: dieselolie
toelaten met voldoend
elektromagnetische klep
debiet
2. contact open: geen
Faalwijzen: dieselolie doorlaten
Functie 1: geen dieselolie doorlaten oorzaken, effecten, gevolgen?
onvoldoend debiet dieselolie oorzaken, effecten, gevolgen?
Functie 2: dieselolie doorlaten oorzaken, effecten, gevolgen?
 Vlinderdas model

▪ hulpmiddel voor een systematische identificatie en evaluatie van

gevaren en risico’s, en voor het nemen van de efficiënte
veiligheidsmaatregelen
Functionele veiligheid
 Historisch overzicht van functionele veiligheid
▪ Het begrip functionele veiligheid werd geïntroduceerd in 1980 als een middel om
complexe inrichtingen als deel van de totale veiligheidsfunctie te evalueren.

▪ In 1998 publiceerde de IEC een document, IEC 61508, getiteld: ". Functionele
veiligheid van elektrische / elektronische / programmeerbare elektronische
veiligheidsgerelateerde systemen”

▪ IEC 61508 is oorspronkelijk ontwikkeld voor industriële machines en chemische

fabrieken en blijft de relevante norm voor vele industrieën.

▪ In de afgelopen jaren echter hebben verschillende industrieën gekeken naar

domeinspecifieke normen die beter geschikt zijn voor hun toepassing.
 EN- IEC 61508/ 61511 (Risk Based)

• Evalueer het Risico van een (HAZOP) scenario

• Bepaal de noodzakelijke Risico reducie (SIL):
-> Hoe veilig is veilig genoeg?
• Ontwerp of Verifieer de Risico reducerende beveiliging
• Implementeer in het Safety Management Systeem

Safety Integrity Level (SIL)

Transparant en verifieerbaar
EN IEC 61508
Functional safety of
electrical/electronic/programmable electronic
safety-related systems.

Title of presentation 41
Overzicht EN IEC 61508
 EN IEC 61508 : Algemeen
Ontwikkeling sectornormen vanuit “Basic Safety Publication”

Machinesector
Start 1998 Medische sector
Einde 2004
IEC 90 pag.
62061 IEC
60601

IEC IEC
50128

61508 Transportsector

Start 1985
Einde 2000 Start 1998 IEC
60880
732 pag. IEC Einde 2003
61511
208 pag.
Proces sector Nucleaire sector
 Hoofdoorzaak van falen in besturingssystemen

Opm. : Gebaseerd op 34 onderzochte gevallen in het VK : “Out of Control”, HSE

Strategie om functionele veiligheid te bekomen
 De fundamentele concepten van IEC 61508

1 . Een gedetailleerd life-cycle model van het systeem , vanaf de eerste ontwikkeling
tot de ontmanteling

2 . Het begrip functionele veiligheid. De norm behandelt de zogenaamde

veiligheidsfuncties, gebruikt voor de beperking van risico's in verband met de
functies van het systeem in de gevallen waarin dit risico te hoog wordt geacht.

3 . Focus op risicovermindering. De norm gaat ervan uit dat er niet zoiets bestaat als
nul risico - het risico kan niet volledig worden geëlimineerd. Veiligheidsfuncties
verminderen het risico waar nodig.

4 . De notie van Safety Integrity Level, of SIL, van een vereiste functie. Er zijn vier SIL
graden, SIL 1 tot SIL 4, variërend van matig strenge tot zeer strenge integriteit eisen.
 EN IEC 61508 : Definities

EUC
• Equipment under control
• Electrische regeltechnische uitrusting die een proces stuurt.

SRS
• Safety Related System
• Systeem dat een “veiligheidsfunctie” implementeert

Safety Life Cycle

• Technisch kader dat systematisch alle fazen van het veiligheids gebonden systeem
beschrijft.
 Safety Life Cycle

Doelstellingen van begrip “veiligheidslevenscyclus”

Op een systematische manier de verschillende fasen structureren om

de vereiste functionele veiligheid voor de besturing te bereiken

Kader voorzien voor veiligere, betrouwbaardere systemen

Belangrijke informatie mbt functionele veiligheid documenteren

EN IEC 61508 : Algemeen
EN IEC 61508 : V-model
 EN IEC 61508

SAFETY INTEGRITY

• De waarschijnlijkheid dat een veiligheidsgeoriënteerd systeem zijn

vereiste functie zal vervullen onder de gegeven omstandigheden binnen het
gesteld tijdsinterval.

• Hardware safety integrity :willekeurige materiële fouten, falen

•Systematic safety integrity : ontwerpfouten, software bugs

•Safety Integrity Level (SIL) functie van de kans op falen

 EN IEC 61508: SAFETY INTEGRITY LEVEL

▪ “Lichte sollicitatie”
Wanneer de vraag voor het functioneren van het systeem kleiner is dan
1 keer per jaar en ten hoogste gelijk aan 2* de periodieke testfrequentie
PFD: Probability of failure on demand

▪ “Hoge sollicitatie” gebruikt voor machineveiligheid

Wanneer de vraag voor het functioneren van het systeem groter is dan
1 keer per jaar of meer dan 2* de periodieke testfrequentie
PFH: Probability of failure per hour
 EN 61508 SIL for LOW DEMAND - PFD

▪ SIL 1 reduceert het risico met een factor 10

 EN IEC 61508 SIL for HIGH DEMAND - PFH

▪ PFH: faalkans per uur

▪ Vergelijking
▪ Starten van een voertuig -> PFD
▪ Rijden met het voertuig -> PFH
 Bepalen van SIL niveau

▪ Aan de hand van een risico analyse

▪ Verschillende methoden in functie van de sector en technologie

▪ Samenwerking met andere methoden zoals HAZOP, FMEA om het risicoscenario te bepalen
 Risico evaluatie en aanvaardbaarheid

▪ Link met LOPA

ALARP: As Low As Reasonable Practicable
Principe voor risico reductie

▪ Risico algemeen niet aanvaard

▪ Dit risico mag niet genomen worden

▪ Toelaatbaar wanneer risicoreductie

niet praktisch is of te kostelijk
▪ Dit risico is maatschappelijk aanvaard

▪ Algemeen aanvaard risico

▪ Risico moet op dit niveau blijven

Afkomstig uit UK recht, overgenomen in Risk Management principes

 EN IEC 61508: Bibliografie

▪ http:// www. iec. ch/ 61508/ Index.htm

▪ Officiële website IEC

▪ KULeuven, E.S.A.T. project “SAFESYS”

▪ Project : IEC61508 praktisch omzetten
EN IEC 61511

Functional safety -
Safety instrumented systems for the process
industry sector
− Part 1: Framework, definitions, system, hardware and software requirements
− Part 2: Guidelines in the application of IEC 61511-1
− Part 3: Guidance for the determination of the required safety integrity levels (SIL)

Title of presentation 59
IEC 61511: Risico analyse technieken

▪ Combineren van waarschijnlijkheid (likelihood) met de ernst (severity)

▪ PL (Protection Layer)
▪ Vermindert het risico minstens met een faktor 10
▪ Specifiek: ontworpen voor één gevaarlijke gebeurtenis
▪ Onafhankelijk van andere PL’s
▪ Betrouwbaar
▪ Kan regelmatig getest worden
IEC 61511: Risico analyse technieken
Criteria for rating the severity of impact of
hazardous events
Severity rating Impact

Extensive Large scale damage of equipment. Shutdown

of a process for a long time. Catastrophic
consequence to personnel and the
environment.
Serious Damage to equipment. Short shutdown of the
process. Serious injury to personnel and
the environment.
Minor Minor damage to equipment. No shutdown of
the process. Temporary injury to personnel
and damage to the environment.

Frequency of hazardous event likelihood

Type of events Likelihood,

Qualitative
ranking
Events such as multiple failures of diverse Low
instruments or valves, multiple human errors in a
stress free environment, or spontaneous failures
of process vessels.
Events such as dual instrument, valve failures, or Medium
major releases in loading /unloading
areas.
Events such as process leaks, single instrument, High
valve failures or human errors that result
in small releases of hazardous materials. Low
 IEC 61511: Risico analyse technieken
Oefening
▪ In een labo opstelling wordt waterstof gas aangewend in een reactor.
▪ Het voornaamste risico verbonden aan de opstelling is een explosie van waterstof
▪ De reactor en bijhorende componenten zijn daarom opgesteld in een trekkast. Deze is Ex uitgevoerd en voorzien van
een debietbewaking.
▪ De veiligheid van de opstelling wordt gegarandeerd door een combinatie van administratieve en technische
maatregelen, namelijk het manueel sluiten van de gebruikte gasflessen en bewaken van het debiet van de trekkast.
▪ Bij onvoldoende debiet sluit een elektrische klep het waterstof af.
▪ Na de GC wordt het restgas verwijderd met behulp van de ventilatie in de trekkast.
 IEC 61511: Risico analyse technieken
Oefening

Volgende stappen dienen te worden gevolgd om de risico’s te identificeren en

bijhorende maatregelen te formuleren:

▪ Vorm een duidelijk beeld van de werking en de mogelijke faalwijzen van het ontwerp.
▪ Bepaal welke gevaarlijke gebeurtenissen kunnen ontstaan uit de geïdentificeerde faalwijzen.
▪ Bepaal welke Protection Layers (PL) zorgen voor de beheersing van de gevaarlijke gebeurtenissen.
▪ Bepaal aan welk SIL (System Integrity Level) niveau de verschillende veiligheidsfuncties dienen te
voldoen.
▪ Verifieer of het gerealiseerde SIL niveau voldoende is?
 IEC 61511: Risico analyse technieken
Oefening
Mogelijke faalwijzen en aanverwante gevolgen

▪ Niet sluiten of lekken van manuele of gestuurde kleppen in de gastoevoer

Wanneer de gastoevoer niet gesloten is, kan er gas via de GC ophopen in de trekkast of in afvoerkanalen.

▪ Door een fout in de besturing openen elektrisch gestuurde kleppen in de gastoevoer (of falen om af te sluiten). Hierdoor ontstaat
eveneens de mogelijkheid tot ophoping van brandbaar gas.
Ophoping van brandbaar gas, zoals waterstof, kan aanleiding geven tot een explosiegevoelige atmosfeer. Deze kan tot ontsteking
gebracht worden door mechanische, statisch elektrische, thermische en andere ontstekingsbronnen.

▪ Oververhitting van de reactor/oven

De reactor is elektrisch gevoed en voorzien van een redundante temperatuurregeling en -beveiliging.

▪ Afvallen van de trekkast

Indien de trekkast niet functioneert, kunnen brandbare gassen zich ophopen en een explosiegevoelige atmosfeer creëren.
 IEC 61511: Risico analyse technieken
Oefening

Beschrijving van de Protection Layers

Een Protection Layer (PL) bestaat uit een materiële uitrusting of administratieve controles die in samenhang werken om
procesrisico’s te beheersen of reduceren. Ze verminderen het risiconiveau met minstens een factor 10.

▪ Debietbewaking van de trekkast

Het debiet van de trekkast zorgt, bij normale werking, voor voldoende luchtverversing per tijdseenheid opdat mogelijk
vrijgekomen brandbare gassen tot ver onder de onderste explosiegrens verdund worden. Het debiet wordt constant
gemeten en indien dit debiet niet meer aanwezig is (of onvoldoende wordt), sluiten een aantal elektrisch bediende
kleppen alle gastoevoer af.

▪ Manueel sluiten van de toevoer van gassen die niet gebruikt worden
Indien gassen niet gebruikt worden dient de manuele klep te worden gesloten. Deze administratieve controle is
algemeen geldig voor het werken met gassen uit gasflessen.
 IEC 61511: Risico analyse technieken
Oefening
Bepalen van het “required SIL” niveau

Het controleren van het debiet van de trekkast is een veiligheidsmaatregel die voldoende betrouwbaar
dient

uitgevoerd te worden. De betrouwbaarheid van zulk SIS (Safety Integrated System) wordt uitgedrukt in een
SIL niveau (Safety Integrity Level).

▪ Waarschijnlijkheid van optreden van de gevaarlijke gebeurtenis (zonder PL)

Volgens tabel C.1 dienen we voor de waarschijnlijkheid “MEDIUM” te kiezen omdat het falen van
meerdere instrumenten en/of kleppen aanleiding kan geven tot de gevaarlijke gebeurtenis.

▪ Ernst van de gevaarlijke gebeurtenis

Volgens tabel C.2 dienen we voor de ernst van de gevaarlijke gebeurtenis “SERIOUS” te nemen omdat een
explosie de uitrusting zou vernielen en mogelijk ernstig letsel aan de operatoren zou kunnen
toebrengen.

▪ Veiligheidsmatrix

Uit de matrix C.2 leiden we af dat, met twee Protection Layers, het nodige SIL niveau van de stuurkring SIL
1 bedraagt.
 SIL bepalen voor machineveiligheid

Risico = Effect (SE) x Kans (CL)

CL
 Severity - Effect
Het effect (SE) heeft 4 niveaus
Gevolgen Se
Severety, ernst
fatale verwonding of invaliditeit. 4

onherstelbare verwonding, b.v. amputaties en gebroken 3

botten, etc. na genezing werken op zelfde niveau mogelijk
ernstige snijwonden, doorstekingen en kneuzingen 2
(behandeling arts noodzakelijk)
schrammen en lichte kneuzingen 1
(opgelost door eerste hulp)

1= schrammen en lichte kneuzingen (opgelost door eerste hulp)

2= ernstige snijwonden, doorstekingen en kneuzingen
(behandeling arts noodzakelijk)
3= onherstelbare verwonding, b.v. amputaties en gebroken botten, etc. na genezing
werken op zelfde niveau mogelijk
4= fatale verwonding of invaliditeit.
 Kans van optreden (CL)

Kans van optreden gevaarlijke situatie

Bepaald door:
1. (Fr) Frequentie en Blootstellingsduur
2. (Pr) Kans dat de gevaarlijke situatie optreedt
3. (Av) De mogelijkheid om het gevaar te ontwijken of te beperken
Management of Change
 Overzicht

▪ Wat is Management of Change (MOC)

▪ Waarom hebben we MOC nodig
▪ Herkenning van verandering
▪ Het MOC Programma
▪ Belangrijkste elementen
▪ Uitvoering
▪ Succes criteria

Management of Change is het beheer van wijzigingen aan de installatie

 Management of Change

▪ Beleid en procedures die ervoor zorgen dat veranderingen niet resulteren in operaties
buiten de gevestigde veiligheid parameters

▪ Essentieel element in het procesveiligheidssysteem van een organisatie

▪ Managing change betekent: beheer van mogelijke incidenten

 Focus van MOC

▪ Ramp scenario’s vermijden

▪ Op juiste wijze de doelstellingen van veiligheid en

gezondheid na komen

▪ Tijdig de verandering beoordelen

 Historisch overzicht van MOC

▪ Begin jaren 60 – Formele procedures worden voor het eerst geïntroduceerd in

de nucleare sector en defensie.
▪ 1976 – Eerste gebruik in de chemische procesindustrie wordt op een Loss
Prevention Symposium vermeld
▪ 1985 - pamflet, “Essential Components of Safety Assessment Systems
▪ 1990 – Aanbevolen praktijk “Management of Process Hazards”
▪ 1992 – Wettelijk “Process Safety Management of Highly Hazardous Chemicals”
 MOC en PSM

▪ Process Safety Management is een methode om proces risico te identificeren,

begrijpen en beheersen en om proces gerelateerde incidenten en ongevallen te
vermijden.

▪ MOC is één van de PSM elementen

▪ MOC is verschillend van andere systemen

▪ MOC is nooit volledig – dient continue te worden uitgevoerd gedurende de levensloop
van het proces.
 Waarom hebben we MOC nodig?

80% van alle grote Wijzigingen zijn

ongevallen in de noodzakelijk voor
proces industrie zijn een bedrijf
VS.
te wijten aan Bedrijven moeten hun

wijzigingen of processen voortdurend

kunnen aanpassen om bij
“Change”.
te blijven met de industrie
norm.

Title of presentation 76
 Case Study: Flixborough, 1974

▪ VCE (vapor cloud explosion) van 30 tons cyclohexaan

▪ Reactor tank buiten dienst

▪ Tijdelijke verbinding tussen twee reactoren
▪ Buis faalde !!!
Title of presentation 78
 De Flixborough explosie…
was dus het resultaat van een onverstandige modificatie aan de
procesinstallatie….

▪ Een goede MOC procedure had deze ramp kunnen vermijden.

▪ Een van de aanbevelingen van het onderzoek

▪ Any modification should be designed, constructed, tested, and maintained to the same
standards as the original plant.
BP Rafinaderij in Texas City, 2005
 BP Rafinaderij in Texas City- Bevindingen

▪ There were a number of misapplications of the refinery MOC policy for changes pertaining to the blowdown
drum, the splitter tower, and occupied trailers.

Chemical Safety Board - BP Texas City Final Investigation Report 3/20/2007 pg. 138
Macondo Blowout and Explosion, 2010
 Lessons not learned…

“Systems for managing the safety of process changes were inadequate. The plan
to complete and “temporarily abandon” the Macondo drilling operation was
changed five times during the week before the disaster, but there is no available
documentation that management of change procedures or formal hazard
assessments were conducted.”
Chemical Safety Board findings 7/24/12
 Wat is Change? - Verandering

▪ Moeilijkste deel van MOC is het herkennen van een

verandering.

▪ De nood om het onderscheid te maken tussne een

verandering die de MOC procedure moet volgen en welke
niet.
Herkennen van Verandering

5-10
potentieel
hoge risico’s

50-100 MOC

1000 Werkbonnen
 Vervangen door identieke component

▪ Definitie – vervangen van een component die volledig aan de ontwerp specificaties voldoet.
▪ Voorbeelden
▪ De reactietemperatuur verhogen binnen het veilige proces bereik
▪ Vervangen van uitrusting, instrumentatie of piping met dezelfde specificaties als het origineel.
 Verandering - Change

▪ “verandering” is een wijziging of aanpassing aan een component, parameter of

eigenschap in een bestaand systeem.

▪ Voorbeelden
▪ Veranderingen die het productievolume wijzigen.
▪ Veranderingen die veiligheidskeppen of luiken betreffen
▪ ……
 Verschillende soorten verandering

▪ Verandering van Proces Technologie

▪ Introductie van nieuwe uitrusting
▪ Verandering van organisatie
▪ Afwijkingen van procedures
 Permanent versus Tijdelijk

▪ MOC dient te worden uitgevoerd

voor permanente en tijdelijke
wijzigingen.
 Het MOC programma

▪ Identificatie systeem
▪ Verandering controlemechanisme
▪ Training/opleiding
▪ Informatie management systeem
▪ Auditing

De eisen voor ieder onderdeel maken deel uit van de MOC politiek van het bedrijf.
 Identificatie Systeem

▪ Methode om verandering te detecteren.

▪ Houdt in dat het risico dient te worden geëvalueerd gebaseerd op
het mogelijk effect op de veiligheid van het proces.

▪ Vereist een duidelijke, geschreven definitie van de afbakening

van het systeem en de omvang van de verandering
 Controlemechanisme voor verandering

▪ Beschrijft de werkwijze om de verandering te beheersen

▪ Identificeert :
▪ De werkprocedure (MOC formulier)
▪ Verantwoordelijkheden en autoriteiten
▪ Niveau van goedkeuring
 Training - opleiding

▪ Alle personeel dat een verandering kan

initieren dient te worden opgeleid in het
MOC programma.

▪ Commitment van alle niveaus in de

organisatie (niet kort door de bocht)
 Informatie Management Systeem

▪ “Weergeven van de huidige status van de installatie”

▪ Software/documentatie die alle veranderingen en de stand
van realisatie bijhoudt
▪ Verstrekt laatste informatie
▪ Wanneer twee veranderingen mekaar beïnvloeden, houdt het MOC
Informatie Management Systeem hier rekening mee.
 Audit

▪ Borgt de goede werking van het systeem

▪ MOC programma dient constant te worden aangepast en verbeterd.
▪ Kijkt na of de veranderingen geen negatieve invloed hebben op de
veiligheid.
▪ Meer frequent bij een nieuw systeem om zeker te zijn dat alle fouten
gevonden worden.
 Uitvoering van het MOC systeem

▪ Een MOC systeem is afhankelijk van het bedrijf

▪ Geen twee MOC systemen zullen hetzelfde zijn
▪ Bijvoorbeeld, in een bedrijf is één handtekening voldoende en bij een ander zijn er 5 nodig.

▪ Ze zijn allemaal wel gebaseerd op dezelfde basis principes.

 MOC Formulier

▪Een MOC formulier helpt de gebruikers door de

procedure.
▪Het MOC formulier bevat volgende:
▪Beschrijving, doel en de technisch basis voor de
verandering.
▪Risico niveau
▪Impact op de veiligheid, milieu en gezondheid
▪Noodzakelijke tijd om de verandering door te voeren.
▪Toelating voor de voorgestelde verandering.
 Indeling van veranderingen op basis van risicoprofiel

▪ Deelt verandering op:

▪ Klein, weinig impact
▪ Middelmatig
▪ Groot, belangrijke consequenties

▪ Alle veranderingen worden niet met dezelfde graad van detail behandelt

▪ Risicoanalyse methode en niveau van autorisatie zijn functie van het type van verandering.
 Bepalen van het risico niveau

▪ Voorbeelden van ja/nee vragen om het risico niveau te bepalen:

▪Brengt de verandering een belangrijke bron van energie met zich mee
(chemisch, mechanisch, thermisch, electrisch)?
▪Verhoogt de hoeveelheid giftig, brandbaar of reactief product?
▪Wordt de kans op blootstelling aan gevaarlijke producten hoger?
 Bepaal de potentiele ernst

▪ Voorbeelden van ja/nee vragen om de potentiele ernst te bepalen:

▪Kan de verandering het proces buiten de veilige werkingsgrenzen brengen?
▪Beïnvloedt de verandering de warmte en materiaal balans?
▪Introduceert de vernadering nieuwe producten.
 Risico Matrix

Impact van de verandering

Laag Hoog
Risico Laag Risico niveau1 Risico niveau 2
graad Hoog Risico niveau3 Risico niveau 4

Risico niveau Type van anlyse Authorisatie

1 Eenvoudige Checklist Shift Supervisor
2 What-if Checklist Unit Supervisor
3 FMEA of HAZOP analyse Area Supervisor
4 HAZOP met consequentie analyse Plant manager
 Een succesvol MOC programma ...

▪ Ondersteuning door de hiërarchische lijn

▪ Daadwerkelijke uitvoering, niet uitsluitend papierwerk
▪ Begrip en gebruik van de opgestelde procedures
▪ Training / opleiding
▪ De belanghebbende dienen tijdens het volledige traject op de hoogte te blijven.
 Case : Texas City 2005

▪ Bekijk het ongevalonderzoek en noteer de oorzaken van het ongeval.

▪ Welke preventieve maatregelen hebben gewerkt, gefaald?

▪ Welke mittigerende maatregelen hebben gewerkt, gefaald?

Title of presentation 104