Appunti del Corso di Sicurezza degli Impianti...

SICUREZZA DEGLI IMPIANTI INDUSTRIALI

Autori: L. Fedele

Nome File: Dispensa 9

revisione: n. 2 del 22/11/01

Pagina: 1 di 28

Università degli Studi di Roma “La Sapienza”

Cattedra di Sicurezza degli impianti Industriali

Appunti del Corso di

Sicurezza degli Impianti Industriali

Dispensa 9

Tecniche per l’Analisi di Affidabilità

Lorenzo Fedele


Autori: L. Fedele


Revisione: n. 2 del 22/11/01

Pagina: 2 di 21

INDICE

1. INTRODUZIONE

2. FAILURE MODES EFFECT AND CRITICALITY ANALYSIS

(FMECA)

3. HAZARDS AND OPERABILITY (HAZOP)

4. FAULT TREE ANALYSIS (FTA)

5. ALBERO DEGLI EVENTI (EVENT TREE ANALYSIS)

6. CAUSE COMUNI DI GUASTO

7. RISK ANALYSIS


Autori: L. Fedele



Pagina: 3 di 21

1. INTRODUZIONE Nella precedente Unità si sono introdotti i fondamenti del calcolo statistico e ci si è soffermato, soprattutto, sui concetti di affidabilità applicata ai singoli componenti ed ai sistemi complessi. Sulla base di queste considerazioni, dunque, è possibile passare ad analizzare le tecniche qualitative e quantitative dei sistemi complessi, utili sia in fase di progettazione e sia in fase di studio degli impianti e delle macchine in genere. Le procedure quantitative hanno avuto un forte impulso soprattutto nella direzione della cosidetta analisi predittiva, mirante - per l’appunto - alla previsione su base probabilistica dei fenomeni. Le tecniche di tipo qualitativo, invece, sviluppatesi parallelamente alle precedenti, sono particolarmente adatte ad analizzare contesti applicativi. Mentre l’analisi quantitativa, infatti, richiede l’esame completo e sistematico di tutti i componenti in modo da identificare le fonti di rischio potenziale (hazards), l’analisi qualitativa risulta più snella e flessibile nell’utilizzo. D’altra parte, occorre tenere conto del fatto che assai spesso gli aspetti qualitativi e quantitativi si confondono, rientrando in un medesimo quadro di informazioni. L’insieme delle tecniche qualitative viene detto, con terminologia anglo-sassone, Hazard Evaluation Procedures, e rappresenta - per l’appunto - l’insieme degli esami che possono essere condotti su di un sistema od impianto per studiare le combinazioni rischiose di materiali e/o processi in un assegnato ambiente operativo. Lo scopo della applicazione delle Hazard Evaluation Procedures consiste nell’identificare i possibili incidenti e stimare la loro frequenza. Per incidente si intende la sequenza di eventi imprevisti che conducono, mediante un meccanismo di concatenazione, al verificarsi di un evento non desiderato. Il primo evento della sequenza viene detto evento base e costituisce l’evento iniziale dal quale potrebbe scaturire una potenziale pericolosità. Grazie al fatto di considerare l’evento incidente come la conseguenza di una concatenazione di eventi, è possibile intervenire più agevolmente sul sistema nel senso di ridurre la possibilità del verificarsi di eventi imprevisti. le conseguenze di un evento iniziale, infatti, possono essere ridotte ricorrendo ad analisi quantitative condotte sui singoli componenti del sistema (ad esempio, valvole, pompe, sensori, etc.). Il calcolo dell’affidabilità dei componenti, d’altronde, richiede di conoscere i tassi di guasto dei componenti stessi, i quali possono essere desunti facendo riferimento alle banche dati esistenti sull’argomento. Gli eventi intermedi, conseguenti all’evento base iniziale, possono essere di due tipi: • eventi propagativi, i quali portano l’incidente a diffondersi nel sistema; • eventi migliorativi, quando intervengono sistemi e dispositivi speciali atti a ridurre

e minimizzare la magnitudo degli effetti provocati dalla sequenza di eventi scatenatasi in seguito ad un certo evento base.

Dall’identificazione degli elementi caratteristici di un incidente, e quindi della sequenza di eventi che lo hanno provocato, è possibile risalire alle variabili sulle quali è possibile agire per ridurre la probabilità che si verifichi la sequenza di eventi “incriminata”. Tali


Autori: L. Fedele



Pagina: 4 di 21

variabili possono essere rappresentate dai materiali impiegati nei processi, le apparecchiature, il lay out, etc. Si comprende come, allora, sia possibile intervenire in modo incisivo in fase di progetto. A ciò si deve aggiungere la programmazione della formazione del personale, l’effettuazione di studi di fattibilità tecnico-economica e di analisi affidabilistiche quantitative e qualitative. All’occorrenza, si consiglia di preparare idonee check lists che aiutino nello svolgimento dei compiti indicati. Nel caso in cui, infine, durante la vita operativa dell’impianto intervengano delle modificazioni sostanziali, è necessario pianificare l’effettuazione di tali modifiche in modo che esse risultino idonee sotto il punta di vista affidabilistico.

Le tecniche dell’hazard evaluation sono di tipo qualitativo, come si è detto, e possono condurre all’applicazione di regole, normative, standard e pratiche empiriche, la cui validità è emersa in un lungo periodo di applicazione, oppure alla previsione di fenomeni eventualmente dannosi. Questo secondo approccio è quello privilegiato in questa sede, come si è potuto constatare dalla non breve trattazione statistica ed affidabilistica già presentata. Tali tecniche qualitative consentono di valutare sia la probabilità di accadimento di un certo evento, sia la magnitudo delle conseguenze di esso. In tal senso, ci si ricollega al concetto di rischio già visto nella Unità 1 che collega, per l’appunto la grandezza probabilità alla grandezza magnitudo. Quando un hazard è stato individuato, infatti, occorre valutarlo in termini di rischio nei confronti dei lavoratori, dell’ambiente e dell’azienda. A tale scopo occorre identificare l’evento base, gli eventi intermedi, di tipo propagativo o migliorativo, e le conseguenze di questi. Da questa analisi è possibile desumere anche gli interventi da effettuarsi per ridurre il rischio. Nel seguito vengono presentate alcune fra le più usate tecniche qualitative per l’analisi dei sistemi, cercando di fornire le informazioni utili per operare praticamente con questi strumenti.

2. FAILURE MODES EFFECT AND CRITICALITY ANALYSIS (FMECA) La metodologia FMECA consente di analizzare in modo qualitativo, come anticipato, i sistemi od i componenti e dedurre una serie di indicazioni che possono risultare utili per evidenziare: • i componenti od i sistemi impiegati; • i modi di guasto dei componenti o sistemi; • gli effetti dei diversi modi di guasto; • una classificazione (ranking) finalizzata a fornire una valutazione dei modi di

guasto in base alla loro criticità. Attraverso tale analisi, dunque, è possibile stabilire gli effetti del funzionamento errato dei componenti di un sistema e dedurre le criticità legate ai modi di guasto.


Autori: L. Fedele



Pagina: 5 di 21

L’output di questa analisi, in definitiva, è una matrice le cui due dimensioni sono la probabilità di accadimento e le conseguenze dei guasti, e le celle contengono gli eventi classificati sotto i due punti di vista. conseguenze nulle significative pesanti categoriche frequenti probabilità rari di improbabili accadimento non credibili

Fig. 9.1 - Matrice per l’analisi FMECA All’interno della matrice di Fig. 9.1, è possibile evidenziare una zona corrispondente a livelli di probabilità e di magnitudo che è assolutamente da evitare. Per raggiungere questo obiettivo è possibile intervenire secondo due vie, cioè riducendo le conseguenze degli eventuali eventi dannosi (il che corrisponde ad un movimento orizzontale sulla matrice), oppure riducendo la probabilità di accadimento. La conseguenza di tali considerazioni, dunque, è il miglioramento dell’affidabilità del componente, o del sistema di componenti, oppure il mutamento della configurazione del sistema. L’analisi FMECA, in definitiva, consente di effettuare una stima della probabilità di guasto dei componenti, così da mettere in luce in quale direzione occorre sforzarsi per migliorare un sistema. Il limite, però, consiste nel fatto che è impossibile individuare le catene di guasto che portano all’incidente. Ogni evento di guasto, infatti, è considerato in modo indipendente. L’utilizzo della metodologia FMECA risulta utile in fase di progetto, quando essa consente di identificare le caratteristiche che possono essere tempestivamente previste nel sistema. In fase di funzionamento del sistema, altresì, la FMECA evidenzia i singoli guasti, come già ricordato. L’analisi in questione, dunque, offre una fotografia dettagliata del sistema e la complessità legata al suo utilizzo dipende dal numero e dal tipo di componenti presi in considerazione. In taluni casi, infine, si parla di FMEA (Failure Modes Effect Analysis), cioè di una analisi FMECA in cui viene trascurata la componente valutativa rappresentata dall’attribuzione del ranking di criticità (cioè un vero e proprio punteggio) agli eventi. 3. HAZARDS AND OPERABILITY (HAZOP) Anche l’analisi Hazop è di tipo qualitativo, analogamente a quanto avviene per la FMECA; essa consente di evidenziare come un sistema potrebbe non corrispondere al comportamento previsto in fase progettuale.


Autori: L. Fedele



Pagina: 6 di 21

La metodologia si basa sul lavoro di una squadra di esperti, dotati di differenti abilità tecniche e di varia estrazione scientifico-culturale. Il successo dell’applicazione dell’analisi Hazop, infatti, è strettamente legato ai seguenti fattori:

• la completezza ed accuratezza dei dati utilizzati; • le conoscenze tecniche possedute dal team di operatori; • l’abilità del team di concentrarsi sugli hazards. I termini caratteristici dell’analisi hazop, inoltre, sono: • i nodi, cioè i parametri di processo fondamentali per l’individuazione del

funzionamento del processo e dei suoi eventuali malfunzionamenti; • le intenzioni, cioè le finalità teoriche che dovrebbe perseguire il sistema durante il

funzionamento; in definitiva, potrebbero essere i valori assunti dai parametri nodo; • le deviazioni, che sono le variazioni che i parametri caratteristici possono avere in

seguito all’intervento di un malfunzionamento; • le cause, cioè le ragioni che inducono gli scostamenti (che abbiamo chiamato

deviazioni), dovute ad errori umani, hardware, esterni, etc. • le conseguenze, cioè gli effetti delle deviazioni; • le parole guida, che sono dei termini usati per evidenziare le situazioni in modo

particolarmente efficace, così da agevolare il lavoro della squadra di esperti; esse vengono applicate ai nodi del sistema in esame.

Le parole guida comunemente impiegate sono le seguenti:

• NO, ad indicare l’assenza totale dell’intenzione attesa; • LESS, ad indicare il verificarsi del fenomeno con modalità ridotte; • MORE, che indica una situazione opposta a quella descritta da LESS; • PART OF, ad indicare il verificarsi parziale del fenomeno atteso; • REVERSE, che indica il verificarsi del fenomeno opposto a quello atteso; • OTHER THAN, quando si verifica un altro fenomeno rispetto a quello atteso.

4. FAULT TREE ANALYSIS (FTA) La Fault Tree Analysis, o analisi dell’albero dei guasti, è una metodologia utilizzata nello studio dei sistemi che consente di evidenziare - in modo quantitativo - i rapporti esistenti fra gli eventi, a partire dagli eventi scatenanti per arrivare fino a quelli intermedi e di guasto di entità più o meno grave. Lo studio prende avvio dall’individuazione dell’evento accidentale di guasto (si tratta del cosidetto top event il cui accadimento si vuole scongiurare) e, via via livello dopo livello secondo un approccio di tipo top-down, attraverso gli eventi intermedi fino ad arrivare a quelli di base.


Autori: L. Fedele



Pagina: 7 di 21

Ciò che differenzia tale analisi da quelle già viste è la possibilità di intervenire con gli strumenti del calcolo al fine di individuare la soluzione dell’albero di guasto, consistente nella probabilità, o meglio la frequenza, di accadimento del top event a partire dai parametri probabilistici associati ai singoli eventi della catena considerata. Tale metodo, tra l’altro, è largamente utilizzato per l’analisi dei sistemi di sicurezza. Partendo dalla considerazione che ogni impianto o sistema è costituito da un certo numero di componenti elementari, si può supporre che tali componenti siano caratterizzati da un comportamento bistabile (o sono funzionanti o non sono funzionanti), così da poter attribuire a ciascuno di essi valore 1 o 0 a seconda dello stato funzionale. Gli elementi fondamentali per la costruzione dell’albero dei guasti sono, dunque, le porte logiche e gli eventi opportunamente rappresentati in base alla loro tipologia. Tutti questi contribuiscono a formare la catena degli eventi. In particolare, si avranno: • porte AND, che comportano il verificarsi dell’evento in output solamente quando si

verificano tutti gli eventi in input; • porte OR, che rappresentano il verificarsi dell’evento in output quando si verifica

almeno uno dei due eventi in input; • evento base, che è l’evento primario che non ha bisogno di ulteriori analisi ed

approfondimenti; • evento primario, non sviluppato in una catena di eventi che potrebbero derivare da

esso, perché non si hanno sufficienti informazioni e conoscenze; • evento intermedio, successivo all’evento base, esso può essere di tipo propagativo,

se determina il verificarsi di successivi eventi dannosi, o migliorativo se determina, invece, un miglioramento generale dal punto di vista degli eventi accidentali;

• top event, cioè l’evento di guasto le cui conseguenze, in termini di danni per gli uomini ed economici, sono gravi e da scongiurare.

Il top event è normalmente un guasto, così come pure gli eventi intermedi e di base. I guasti possono essere così classificati: • guasti primari, che sono i guasti che si verificano in un contesto operativo

normale e non possono essere quindi imputati a cause esterne (ad esempio, al rottura di un serbatoio operante in un range di pressioni normali, cioè nei limiti della pressione per il quale il serbatoio è progettato);

• guasti secondari, che si verificano in un contesto operativo anomalo ed imputabili a particolari condizioni esterne (se, nel caso del serbatoio già visto, si manifesta una sovrapressione causata da un guasto esterno);

• guasti di comando, che sono malfunzionamenti per i quali il componente opera propriamente ma in un tempo ed in uno spazio sbagliati.

Gli eventi base sono generalmente guasti primari; i guasti secondari e di comando, invece, sono eventi intermedi che richiedono, cioè, un supplemento di indagine.


Autori: L. Fedele



Pagina: 8 di 21

L’applicazione della Fault Tree Analysis, in sostanza, consiste in una serie di passi, attraverso i quali si giunge alla costruzione dell’albero di guasto, alla definizione delle catene di eventi ed alla analisi quantitativa del top event. La prima azione da compiere consiste nell’individuazione del top event. Si tratta di un passo essenziale per il successo dell’analisi, giacché, in un’ottica di esame top down, è estremamente importante circoscrivere i casi da considerare. Come si usa dire, occorre valutare il What (che cosa), il Where (dove) ed il When (quando), cioè le tre W. Se si individuasse come top event un evento particolarmente generico, come un incendio od un esplosione, si correrebbe il rischio di effettuare un’analisi inefficace. La costruzione dell’albero di guasto, e quindi l’individuazione dei cammini di guasto, risulterebbe in tal caso lunga e poco utile ai fini della prevenzione o della protezione. Il passo successivo dell’analisi consiste nella costruzione dell’albero di guasto, basata sull’individuazione di tutti i possibili eventi intermedi fino ad arrivare agli eventi base, cioè alle cause prime di qualunque cammino. Tale operazione si effettua collegando logicamente gli eventi, cioè ricorrendo alle porte AND ed OR, dato che si è supposto che i componenti sono caratterizzati da comportamento bistabile. Per la rappresentazione grafica dell’albero si ricorre ad una simbologia pressoché universalmente riconosciuta rappresentata nella Figura 9.3. Costruito l’albero di guasto, ed una volta realizzata la sua rappresentazione grafica, è possibile passare alla soluzione dell’albero, consistente in una sua analisi finalizzata al calcolo della frequenza di accadimento del top event. Per la soluzione dell’albero si può procedere attraverso l’analisi dei minimal cut sets (cioè gli insiemi minimi di eventi base necessari e sufficienti a causare il top event), oppure mediante la metodologia gate by gate, d’altronde poco usata. Quest’ultima, infatti, è consigliata solamente quando si ha a che fare con strutture logiche particolarmente semplici, mentre alberi più grandi e complessi richiedono l’utilizzo del metodo dei minimal cut sets, spesso implementato sui calcolatori. L’analisi dei minimal cut sets è una tecnica attraverso la quale è possibile semplificare la struttura di un albero di guasto evidenziando così i cammini minimi che, a partire da un evento base, portano al top evento. In sostanza, si individuano tutte le possibili combinazioni di eventi base che conducono all’evento sfavorevole. La semplificazione avviene applicando le regole dell’algebra di Boole attraverso le quale si giunge a trovare un nuovo albero, più semplice da studiare, ma logicamente equivalente al precedente. Le proprietà dell’analisi logica di Boole, applicabili allo studio degli alberi di guasto nell’ottica di ricercare i minimal cut sets, sono le seguenti:

proprietà commutativa A∪B = B∪A A∩B = B∩A proprietà associativa A∩(B∩C) = (A∩B)∩C A∪(B∪C) = (A∪B)∪C proprietà distributiva A∩(B∪C) = A∩B ∪ A∩C proprietà di assorbimento A∪A = A A∩A = A proprietà di idempotenza A∪A∩B = A


Autori: L. Fedele



Pagina: 9 di 21

Nelle precedenti relazioni A, B rappresentano due generici eventi e le notazioni di calcolo unione ∪ ed intersezione ∩ stanno ad indicare l’eventualità che A e B avvengano indipendentemente l’uno dall’altro o contemporaneamente, rispettivamente. Affinché sia possibile attuare questa metodologia, è necessario che siano verificate le seguenti condizioni: • i guasti considerati sono di natura binaria; • la transizione tra lo stato di funzionamento e lo stato di guasto è istantaneo; • il tasso di guasto è costante (componenti senza memoria); • il tasso di riparazione è costante; • il tasso di guasto non cambia dopo ogni riparazione; • l’albero di guasto e quello delle riparazioni sono equivalenti (se, cioè, un guasto

produce effetti su eventi di livello superiore, la riparazione conseguente ripristina le condizioni iniziali).

Il modo più semplice ed immediato per capire il funzionamento della tecnica dei minimal cut sets è, sicuramente, quello di vedere una applicazione concreta del metodo. Si supponga di avere il circuito rappresentato nella Figura 9.4. Esso consiste di due lampade collegate in parallelo (L1 ed L2), un interruttore (I) ed un generatore (G). Il primo passo da compiere consiste nella costruzione dell’albero di guasto e, quindi, nell’individuazione del top event innanzi tutto. Supponiamo che l’evento di guasto da scongiurare sia l’assenza di luce, come è facile immaginare. Affinché si verifichi tale circostanza, le due lampade non devono funzionare, o perché le due lampade sono guaste o perché si verificano altri eventi, quali il guasto dell’interruttore o il guasto del generatore. L’albero di guasto rappresentativo del circuito della Fig. 9.4 e degli eventi appena descritti è presentato nella successiva Figura 9.5. Il passo successivo per trovare i minimal cut sets consiste nella determinazione delle equazioni analitiche rappresentative dell’albero. Tenuto conto del significato degli eventi base Bi: • B1 = lampada L1 guasta; • B2 = B5 = interruttore guasto; • B3 = B6 = generatore guasto; • B4 = lampada L2 guasta;


Autori: L. Fedele



Pagina: 10 di 21

I

L1 L2 E

Fig.9.4 - Esempio di applicazione per l’analisi dei Minimal Cut Sets


Autori: L. Fedele



Pagina: 11 di 21

LUCE

L1 L2

L1 non è alimentata

L2 non è alimentata

B1

B2 B3

B4

B5 B6

Fig. 9.5 - Albero dei guasti del circuito rappresentato in Fig. 9.4


Autori: L. Fedele



Pagina: 12 di 21

si giunge alla seguente equazione generale, in cui TE è il top event ed I1 e I2 sono gli eventi intermedi corrispondenti alle situazioni per cui le lampade L1 ed L2 non funzionano, rispettivamente: TE = I1 ⋅ I2 = [B1 + (B2 + B3)] ⋅ [B4 + (B5 + B6)] (9.1) Poiché B2 = B5 e B3 = B6, si ha: TE = I1 ⋅ I2 = [B1 + (B2 + B3)] ⋅ [B4 + (B2 + B3)] (9.2) e quindi, in base alle proprietà della logica di Boole: TE = B1 ⋅ B4 + B1 ⋅ (B2 + B3)+ B4 ⋅ (B2 + B3) + (B2 + B3) ⋅ (B2 + B3) (9.3) TE = B2 + B3 + (B1 + B4) (B2 + B3) + B1 ⋅ B4 (9.4) e, infine: TE = B1 ⋅ B4 + (B2 + B3) (9.5) dalla quale è possibile ricavare l’albero equivalente (Figura 9.6). L’equazione 9.5 rappresenta il numero minimo di cammini necessari e sufficienti a determinare il verificarsi del top event, come è facile provare. In particolare, la relazione ci dice che il top event si verifica quando:


Autori: L. Fedele



Pagina: 13 di 21

• entrambi le lampade L1 ed L2 sono guaste, oppure quando • o l’interruttore o il generatore sono guasti. Al metodo dei minimal cut sets se ne aggiunge uno approssimato per analizzare l’albero dei guasti e valutare, con semplici calcoli, i dati statistici riguardanti il top event. Il criterio in questione, in realtà, è applicabile solamente quando le probabilità degli eventi base o dei minimal cut sets non sono troppo elevate (all’incirca maggiori di 0,1). In tal caso, infatti il criterio porterebbe a stime troppo prudenti, sovrastimando la probabilità di accadimento del top event. La procedura per analizzare un sistema, in definitiva, si esplica in una serie di passaggi di semplice comprensione, ove si sia già costruito l’albero dei guasti relativo:

• definizione del sistema e dei suoi componenti; • raccolta dei dati relativi agli eventi base (tempo di missione del componente, tasso di

guasto e tempo medio di riparazione, relativo al tempo necessario a scoprire il guasto, a reperire un operatore ed a riparare il componente);

• selezione degli appropriati parametri affidabilistici (inaffidabilità F(t), indisponibilità Q(t) e PFOD, cioè la Probability of Failure on Demand1);

• individuazione della frequenza di guasto degli eventi base; 1 Il significato di queste grandezze è già stato visto nella precedente Unità didattica.

LUCE

B2 B3

B1 B4

Fig. 9.6 - Albero equivalente dell’albero di Fig. 9.5


Autori: L. Fedele



Pagina: 14 di 21

• calcolo dei parametri affidabilistici per tutti gli eventi base; • calcolo dei parametri affidabilistici per il top event.

5. ALBERO DEGLI EVENTI (EVENT TREE ANALYSIS)

Un’altra metodologia di analisi molto comoda per schematizzare i sistemi e le situazioni che li possono riguardare è rappresentata dalla costruzione dell’albero degli eventi. Anche in questo caso, come per l’albero dei guasti, si ha a che fare con una struttura logica in grado di descrivere - in modo diagrammatico - tutti i potenziali cammini nei quali un evento può prodursi e svilupparsi in un sistema. La generica foglia dell’albero rappresenta un possibile scenario, che si verificherebbe in corrispondenza di una particolare combinazione di eventi che costituiscono il cammino considerato. Si tratta, in definitiva, di uno strumento ampiamente utilizzato in una metodologia di analisi più ampia, ed oggi divenuta particolarmente rilevante, detta analisi cause-conseguenze2. In tale approccio, si definisce il top event e si costruisce l’albero dei guasti associati a questo specifico evento; si giunge, così, alla probabilità di accadimento del top event ed alle cause elementari che lo possono generare. Successivamente, si può costruire l’albero degli eventi che consente di evidenziare i possibili scenari evolutivi della circostanza considerata ed associare a ciascuno di essi le probabilità di accadimento. Un esempio può aiutare a capire il significato e la portata della event tree analysis. Si supponga di considerare un sistema per il trasferimento di combustibile liquido: esso è costituito da una pompa, una condotta ed un sistema antincendio. Il top event di questo sistema può assumersi la fuoriuscita del liquido dall’impianto. In tale caso, potrà limitarsi il danno, ad esempio, spegnendo la pompa. Ove non fosse possibile intervenire su tale dispositivo impiantistico, potranno verificarsi altri eventi contingenti, presi in esame dalla analisi. Innanzi tutto, esiste la possibilità che si inneschi l’incendio del combustibile fuoriuscito e, successivamente, occorrerà prendere in considerazione l’eventualità che il sistema antincendio entri in funzione. Il diagramma delle situazioni appena prese in considerazione serve a chiarire le idee (Figura 9.7).

2 Si pensi, ad esempio, alla analisi dei rischi richiesta dalla Legge 626/94 divenuta, dunque, una

esigenza comune in molte realtà lavorative.


Autori: L. Fedele



Pagina: 15 di 21

fuoriuscita liquido

interdizione pompa

ignizione antincendio evento

probabilità

SI SI SI E1 p(E1) NO E2 p(E2) NO E3 p(E3) NO SI SI E4 p(E4) NO E5 p(E5) NO E6 p(E6)

Fig. 9.7 - Esempio di albero degli eventi

Come è possibile constatare dal diagramma, vengono individuati gli eventi relativi al top event e ad essi viene associata una probabilità condizionata. Le probabilità, cioè, sono valutate sapendo che ad ogni nodo dell’albero, si verifica l’evento del nodo precedente. La generica probabilità p(Ei), dunque, è espressa come il prodotto delle probabilità degli eventi presenti sul ramo considerato. Ad esempio nel caso precedentemente visto, se consideriamo l’eventualità che si abbia fuoriuscita di combustibile e che questo non si incendi (evento E6), la probabilità relativa è la seguente:

p(E6) = p(TE) ⋅ p(pompa off/TE) ⋅ p(no fire/pompa off e TE) (9.6) L’esempio appena presentato costituisce una classica applicazione della event tree analysis. Oltre a calcolare la probabilità di accadimento dei possibili scenari, assai spesso è opportuno quantificare anche qualche altro aspetto che si vuole studiare come, ad esempio, eventuali danni economici che dovessero essere connessi.

6. CAUSE COMUNI DI GUASTO Le cause comuni di guasto o, con termine anglosassone, le Common Cause Failures (CCF), rappresentano eventi comuni a più componenti presenti in un sistema, in grado di indurre guasti in tutti i componenti coinvolti. Si possono manifestare diversi tipi di dipendenza, ad esempio: • dipendenza funzionale, quando viene a mancare un input funzionale (ad esempio

l’alimentazione elettrica ad una classe di componenti); si può rilevare mediante l’applicazione della fault tree analysis con cui è possibile evidenziare la presenza di eventi comuni a più rami dell’albero, in grado di manifestare un’influenza;

• presenza di un evento esterno comune, come, ad esempio, nel caso in cui si manifesti un incendio in grado di porli contemporaneamente fuori servizio;

• difetti presenti in una fornitura, quando si manifesti un difetto in un certo numero di componenti di un lotto;


Autori: L. Fedele



Pagina: 16 di 21

• presenza di fattori operativi che influenzano in uno stesso modo più componenti, ad esempio per la presenza di vibrazioni, temperature intense, etc.

La presenza delle cause comuni di guasto ha una influenza non irrilevante sulle analisi affidabilistiche e, per tale motivo, si affronta tale argomento in questo punto della trattazione, dopo avere già affrontato i concetti generali della teoria dell’affidabilità ed avere presentato alcune metodologie di analisi particolarmente comuni. In alcuni casi particolari, infatti, è possibile studiare tali effetti comuni, mediante l’analisi diretta dell’albero dei guasti ed una quantificazione approssimata delle conseguenze.

Nel seguito si presenta la metodologia occorrente ad analizzare le CCF. Innanzi tutto, occorre costruire l’albero dei guasti del sistema considerato e valutare i minimal cut sets. Sulla base di tale analisi quantitativa, è possibile listare gli eventi nelle colonne di una matrice le cui righe rappresentano, invece, le possibili cause comuni di guasto. Individuate in tal modo le classi delle CCF (ordinate per tipo, per importanza, per gravità, etc.) è possibile verificare se esistano, e se esistono quali sono, eventuali misure da adottare per ridurre gli effetti negativi delle cause comuni di guasto. A tale proposito, diviene importante potere quantificare la gravità degli effetti indotti. Esistono diversi metodi proposti in letteratura. Nel caso di eventi esterni quantificabili, ad esempio, si introduce quale parametro quantitativo la probabilità associata agli eventi presenti sull’albero dei guasti. Nel caso di fattori non facilmente quantificabili (ad esempio difetti di fabbricazione, sensibilità ad alcuni parametri operativi, etc.)si ricorre all’effettuazione di stime. In particolare si presentano due metodologie per la stima quantitativa delle CCF: • fattore beta: considerati due eventi A e B, la CCF relativa ad essi viene

rappresentata mediante un evento indipendente da A e B, avente probabilità pari al rapporto delle probabilità di A e B moltiplicato per un fattore β < 1, fissato sulla base dell’esperienza dell’analista;

• media geometrica: in tal caso, considerati i due eventi A e B, la probabilità di A∩B è compresa tra il prodotto delle probabilità dei singoli eventi, se questi sono indipendenti, e la probabilità del singolo evento, se essi sono totalmente dipendenti; si assume, quindi, la p(A∩B) pari alla media geometrica3 di questi due valori.

7. RISK ANALYSIS Le tecniche di analisi dei rischio da sempre svolgono un ruolo di primaria importanza nella progettazione dei luoghi di produzione e di lavoro, per la minimizzazione del rischio di fuori servizio, la salvaguardia dell’ambiente e l’individuazione, infine, delle soluzioni più sicure, affidabili ed economiche.

3 La media geometrica di due valori è pari alla radice quadrata del prodotto di essi.


Autori: L. Fedele



Pagina: 17 di 21

L’emanazione del recente decreto legge 626/94 ha ulteriormente accentuato il significato dell’analisi di rischio, enfatizzando gli aspetti correlati della sicurezza dei luoghi di lavoro, e rendendola uno strumento essenziale per la stesura della documentazione della sicurezza. Su tali aspetti si ritornerà più avanti nella trattazione, quando ci si soffermerà su questo importante e recente provvedimento legislativo. Nella presente Unità, più che altro, si pone l’accento sulla risk analysis come strumento di progettazione e come supporto al processo decisionale. La crescente complessità dei luoghi di lavoro, arricchiti ogni giorno di nuove tecnologie, e la necessità di raggiungere livelli di efficienza ed eccellenza sempre maggiori impone, infatti, il ricorso a tecniche di ausilio nella progettazione e nel rinnovamento delle realtà produttive: la risk analysis, dunque, assume il ruolo di uno strumento utile sia nella progettazione, sia nell’esercizio dei luoghi di lavoro. L’obiettivo principale che si intende perseguire consiste nella individuazione e caratterizzazione di tutte le situazioni cui si associano conseguenze non previste e, in particolare, non volute. Le conseguenze in questione possono consistere in arresti indesiderati del processo di lavoro, con ripercussioni più o meno gravi sulla produzione e, quindi, sulla gestione economica, o in incidenti in grado di determinare danni più o meno estesi e gravi ai luoghi di lavoro ed alle persone, o, infine, in anomalie di funzionamento che possono avere ripercussioni spesso non accettabili, ad esempio sull’ambiente. Più in generale, i macro-obiettivi tipicamente perseguiti, come già si è avuto modo di accennare, sono la minimizzazione delle interruzioni del ciclo di lavoro, il contenimento dell’impatto ambientale ed il raggiungimento di elevati livelli di sicurezza, affidabilità ed economicità. Il criterio che normalmente si cerca di applicare in sede di progettazione, ed anche in sede esercizio dei luoghi di lavoro, consiste nella massimizzazione del ritorno degli investimenti, e, quindi, nella scelta di una ottimale dimensione economica, nell’ambito di soluzioni altamente affidabili, più costose ma sempre comprese nell’ambito di concrete esigenze di sicurezza per non andare fuori mercato. Il primo punto che deve essere soddisfatto affinché un impianto possa essere considerato sicuro è che esso sia progettato bene, e quindi, innanzi tutto, occorre che sia stabilito quanto esso deve essere sicuro. Per avere tale riferimento occorre tarare gli interventi sulla salvaguardia delle persone o delle cose e, dopo aver effettuato tali scelte, è possibile assicurarsi di avere raggiunto un livello di sicurezza sufficiente alle esigenze del caso. Nel caso specifico di assicurazione di livelli di sicurezza adeguati, che è il caso più di interesse in questa sede, il raggiungimento degli obiettivi si sviluppa attraverso una attività di safety management, o attività di sicurezza a progetto, tesa ad assicurare che ogni progettista, o chiunque sia chiamato ad intervenire sullo svolgimento dell’attività lavorativa, abbia tenuto nel debito conto le problematiche della sicurezza. In sostanza, si tratta di effettuare una verifica di congruenza del progetto alle esigenze della sicurezza. E’ possibile immaginare, a tale fine, differenti livelli di approfondimento, in base al tipo di lavoro, alla sua pericolosità ed ai requisiti tecnici e normativi coinvolti.


Autori: L. Fedele



Pagina: 18 di 21

Innanzi tutto occorre effettuare una valutazione qualitativa del sistema, degli obiettivi e dei requisiti generali di sicurezza che devono essere assicurati. In seguito, è possibile immaginare una serie di revisioni di progetto, attraverso audits multi-disciplinari e safety reviews, che consentono di verificare e documentare che i criteri di sicurezza siano stati implementati nella progettazione. Analisi e studi specifici, fra cui la analisi di rischio di cui si sta parlando, sempre più frequentemente sono presenti fra le attività di progettazione per i benefici non irrilevanti che tali azioni, se sistematicamente effettuate, possono portare allo sviluppo complessivo del progetto. Fra le innovazioni più rilevanti portate dal recente D.L. 626/94 d’altronde, si ricorda ancora, c’è l’analisi dei rischi che diviene uno strumento essenziale per la pianificazione della sicurezza. Affinché esista una reale ed efficace integrazione fra le tradizionali attività progettuali ed il punto di vista della sicurezza diviene essenziale definire un piano di sicurezza a progetto, che è un documento programmatico ove si stabilisce il grado di sicurezza richiesto nel particolare progetto, i criteri e le norme che devono essere seguiti e gli studi che devono essere effettuati. La analisi di rischio, dunque, diviene una attività di supporto al progetto, inserita in un piano più ampio e definita caso per caso. La considerazione delle problematiche di sicurezza deve essere sempre rivolta non tanto al singolo componente, quanto all’intero impianto, visto come un sistema integrato. Oltre alle condizioni operative nominali, inoltre, cioè quelle che il sistema svolge in condizioni normali, occorre prevedere anche condizioni anomale di funzionamento che, per loro caratteristica, inducono a muoversi sul campo dell’incerto, cioè in campo probabilistico. In tal senso, dunque, si parla di analisi del rischio, se si ricorda che la grandezza rischio è definita come il prodotto fra la probabilità di accadimento di un evento e la magnitudo delle sue conseguenze. L’analisi di rischio, infatti, può essere considerata come una raccolta ed elaborazione sistematica e documentata di informazioni che costituiscono un bagaglio prezioso di supporto alle decisioni. Le fasi attraverso cui si articola l’analisi sono le seguenti:

• individuazione degli eventi accidentali; • valutazione della probabilità attribuibile agli eventi; • valutazione delle conseguenze degli eventi accidentali; • individuazione della funzione di rischio; • confronto con i criteri di accettabilità prestabiliti; • processo decisionale: misure di prevenzione e protezione e pianificazione degli

interventi. Il primo passo da compiere, dunque, consiste nella individuazione dei possibili incidenti, il che può essere effettuato mediante diverse tecniche:

• banche dati, e quindi ricorso ai dati storici;


Autori: L. Fedele



Pagina: 19 di 21

• ricorso a check lists; • Failure Mode and Effect Analysis (FMEA); • analisi Hazards and Operability (Hazop). Tali metodologie devono garantire completezza e correttezza. Il ricorso ai dati storici (banche dati) ed alle check lists è conveniente nel caso in cui abbia a che fare con sistemi semplici e standardizzati, sui quali, dunque, si dispone di un’ampia esperienza. Nel caso in cui si abbiano sistemi di complessità superiore, il ricorso ai soli dati storici non può essere ritenuto sufficiente, poiché l’esperienza pregressa non può garantire dal verificarsi di eventi legati alla maggiore completezza e complessità del sistema. In tali casi, dunque, si ricorre a tecniche più sofisticate, strutturate e formali. Quando si voglia indagare sul malfunzionamento di particolari componenti del sistema, la tecnica da ritenere più idonea è la FMEA, che costituisce un ottimo compromesso fra economicità e dettaglio della analisi. Nel caso in cui, invece, si abbia a che fare con sistemi nei quali occorra tenere conto delle possibili combinazioni di eventi, è opportuno ricorrere all’analisi Hazop. L’applicazione di tali tecniche, in definitiva, particolarmente la FMEA e l’Hazop, consente di effettuare una simulazione a tavolino dei processi, evidenziando i possibili problemi e punti critici. Nel ricorrere alle analisi quantitative, occorre prestare molta attenzione all’impegno di persone e di tempo richiesto. La consulenza di un gruppo specializzato nel particolare settore di lavoro che interessa può essere di grande aiuto e convenienza, per i benefici in termini di miglioramento al progetto che ne possono derivare, con un dispendio di risorse umane e materiali ragionevole.

Un altro aspetto essenziale della analisi del rischio consiste nella valutazione della frequenza di accadimento dei possibili guasti, che rappresenta un passo successivo di tale attività, dopo avere individuato i particolari eventi da prendere in considerazione. Per ottenere tale parametro si può ricorrere - anche in questo caso - ai dati storici presenti in opportune banche dati. Ancora una volta, il ricorso a statistiche è consigliabile solamente quando si è sicuri, con un buon grado di certezza, di avere a che fare con un dato desunto da un campione di sistemi effettivamente confrontabili con quello in esame. L’utilizzo di statistiche relative a sistemi generici, infatti, e dei quali non sia attentamente valutato l’attinenza con il caso corrente, può condurre a sovrastime o a sottostime - anche di alcuni ordini di grandezza - delle probabilità che si vogliono valutare. Nel caso in cui si abbia a che fare con sistemi di una certa complessità (ad esempio, un qualunque impianto industriale), il ricorso a tecniche statistiche di tipo analitico appare, in generale, consigliabile, se non addirittura essenziale. La principale tecnica utilizzata in tal senso è quella già vista dell’albero dei guasti. Tale metodologia, conducendo alla rappresentazione diagrammatica degli eventi, permette di tenere in conto anche le procedure di gestione, le informazioni sui cammini di guasto


Autori: L. Fedele



Pagina: 20 di 21

più critici (rappresentati dai minimal cut sets) e la presenza di dipendenze causate da componenti comuni. E’ evidente, inoltre, che la bontà dei risultati è intimamente connessa con la corretta applicazione della FTA4 e con la qualità dei dati statistici di cui si è potuto disporre, a riprova della importanza che occorre attribuire alla fase di scelta delle banche dati. In alcuni casi particolari si ricorre a tecniche più sofisticate e meno comuni che qui vengono solamente nominate, come i diagrammi di Markov, la simulazione Montecarlo ed altri metodi analitici concepiti caso per caso. Alle volte, inoltre, si ricorre anche alla event tree analysis già vista, utilizzata in particolare per calcolare la probabilità dei diversi scenari che possono verificarsi a partire da un evento iniziale, generatore della catena in esame. Il passo successivo della risk analysis è l’analisi delle conseguenze che il verificarsi dell’evento di guasto può indurre nell’ambiente circostante. Tale attività si articola in una serie di passi logici di agevole comprensione: • individuazione della “sorgente” del guasto; • individuazione dei fenomeni conseguenti (rilascio, danni, etc.); • valutazione del danno associato ai fenomeni fisici. L’individuazione della sorgente è correlata con l’analisi degli eventi incidentali; attraverso lo studio della estensione attesa del danno e di alcune informazioni specifiche (come sostanze coinvolte, loro stato fisico, etc.) è possibile realizzare opportuni modelli di grande aiuto nella quantificazione dei fenomeni. Sulla base delle informazioni acquisite, e mediante il ricorso alla analisi dell’albero degli eventi, è poi possibile individuare gli scenari possibili (tipicamente, evaporazione, dispersioni, incendi, esplosioni, etc.). Per mezzo di un ulteriore modello, è infine possibile simulare l’evento accidentale e risalire all’entità delle conseguenze, nonché alla sua valutazione in termini tecnico-economici. Occorre notare, poi, che assai spesso l’adozione efficace dei modelli di simulazione richiede di effettuare più simulazioni, in corrispondenza delle diverse condizioni che possono realizzarsi. L’ultima fase della risk analysis è essenziale poiché rappresenta il momento in cui, grazie alle valutazioni precedentemente effettuate, si decide se accettare o meno il rischio. A tale scopo, occorre tenere conto del fatto che nelle diverse realtà nazionali e normative il rischio viene differentemente definito. Ad esempio, in Gran Bretagna ed in Norvegia sono richiesti specifici documenti per provare il raggiungimento di assegnati livelli di rischio individuale e sociale. In Italia, invece, la normativa lascia l’Azienda autonoma nella definizione degli standard di sicurezza, fatto salvo il rispetto di prescrizioni specifiche.

4 Occorre assicurarsi, cioè, che la logica risultante dall’applicazione della fault tree analysis sia sensata

e corretta: in tale senso, un aiuto importante viene dalle metodologie FMECA o FMEA e Hazop.


Autori: L. Fedele



Pagina: 21 di 21

Per definire criteri di accettabilità dei rischi che abbiano un fondamento tecnico-scientifico, dunque, si ricorre a diversi metodi. Uno dei più usati consiste nella costruzione di una matrice frequenza-conseguenze, all’interno della quale vengono collocati gli eventi, consentendo così la visualizzazione evidente della loro portata in termini di probabilità di accadimento e di magnitudo delle conseguenze associate (Figura 9.8). Alla matrice di rischio di Figura 9.8 è possibile associare una legenda grafica per mezzo della quale risultano evidenziate le zone di rischio accettabile ed inaccettabile, e le zone nelle quali è necessario prevedere interventi opportuni.

conseguenze frequenza

scarse serie rilevanti critiche

frequente probabile improbabile remoto

• eventi che non richiedono alcun intervento

• eventi che richiedono interventi sulla base delle prescrizioni della Legge e di

considerazioni tecnico-economiche (analisi costi-benefici)

• eventi inaccettabili

Fig. 9.8 - Matrice di rischio

Appunti del Corso di Sicurezza degli Impianti...

Documents

Transcript of Appunti del Corso di Sicurezza degli Impianti...