“METODI PER LA QUANTIFICAZIONE DEL RISCHIO · probabilità risultante del malfunzionamento...

POLITECNICO DI MILANO Anno accademico 2011 - 12

Modulo 1 - STA - Metodi per la quantificazione del rischio: Alberi di Evento e Alberi di Guasto P. Carlo Cacciabue

Corso di Laurea in Ingegneria Aerospaziale

“METODI PER LA QUANTIFICAZIONE DEL RISCHIO:

Alberi di Evento e Alberi di Guasto ”

Docente:

P. Carlo Cacciabue



Quantificazione del Rischio

Fase 1. Definizione del rischio ed analisi preliminare (Preliminary Hazard Analysis - PHA);

Fase 2. Analisi del rischio del sistema (System Hazard Analysis - SHA)

Fase 3. Analisi delle conseguenze (Consequence Analysis - CA)

Fase 1. Definizione del rischio ed analisi preliminare (Preliminary Hazard Analysis - PHA);

Fase 2. Analisi del rischio del sistema (System Hazard Analysis - SHA)

Fase 3. Analisi delle conseguenze (Consequence Analysis - CA)

Fase 1 L’analisi preliminare del rischio (PHA) consiste nello sforzo iniziale di identificazione delle aree critiche di un sistema, nella definizione del rischio ad esse associato e nella formulazione preliminare dei criteri di progetto dei sistemi di protezione e sicurezza.



Fase 2 La seconda fase riguarda la quantificazione del rischio del sistema (SHA), e, pertanto, rappresenta la parte più consistente e complessa del procedimento globale.

Le due tecniche più note ed utilizzate, nella maggior parte dei casi, in combinazione sono gli Alberi di Evento (Event Tree - ETA) e gli Alberi di Guasto (Fault Tree - FT).

Questi metodi sono, alle volte, complementati ulteriormente da metodi quali l’analisi degli effetti dei modi di guasto e della criticità (Failure Mode Effect and Criticality Analysis - FMECA), che contribuisce alla migliore definizione della quantificazione del rischio e delle conseguenze



Failure Mode, Effect and Criticality Analysis



Fase 3 L’analisi delle conseguenze (CA) è il diretto risultato dell’applicazione di tecniche ETA/FTA, accoppiate a calcoli quantitativi deterministici delle sequenze definite indipendentemente dalle probabilità ad esse associate.

Esistono molti metodi formali per lo studio delle conseguenze. Due di questi sono il metodo di studio dell’operabilità e rischio (“Hazard and operability study”) e i diagrammi di cause-conseguenze (“Cause-consequence analysis”). Entrambi questi metodi fanno riferimento agli alberi di evento ed alberi di guasto e pure alla tecnica FMEA, includendo calcoli di carattere deterministico.



Metodologia “moderna”: Analisi Funzionale di Sicurezza

• L’ analisi funzionale di sicurezza (“Functional safety”) tende a definire un grado di affidabilità/integrità del sistema di sicurezza o di alcune sue funzioni importanti (“Safety Integrity Level”, SIL).

• Tale grado di affidabilità dovrà essere compatibile con i livelli di rischio introdotti dal sistema tecnico: per livelli di rischio crescenti l’affidabilità del sistema di sicurezza dovrà crescere di conseguenza.

L’analisi funzionale di sicurezza si basa sia su metodi qualitativi che quantitativi e trova larga applicazione in diversi domini tecnologici dove è presente un alto grado di automazione.



Metodo Caratteristiche Vantaggi Svantaggi

PHA Definisce i rischi ed identifica gli elementi per le FMEA e FTA

Passo iniziale necessario. Cruciale per tutto lo studio

Nessuno

FMEA FMECA

Esame dei modi di guasto di ogni componente.

Facilmente compreso. Ben accettato. Standardizzato. Non-controverso. Non-matematico

Esamina anche guasti non pericolosi. Time consuming Fattori importanti non considerati (HF ...)

ETA Parte da eventi iniziatori ed esamina tutte le possibili evoluzioni risultanti da combinazioni binarie.

Identifica effetti e conseguenze

Fallisce in caso di sequenze multiple. Non adatto per analisi dettagliate.

FTA Parte da “top event” e trova le combinazione dei guasti di base che li provocano

Tecnica ben accettata Molto adatta per trovare correlazioni tra guasti.

Grandi FT di difficile gestione. Logica complessa.

Hazard and operability

studies

Versione estesa di FMEA che include cause ed effetti delle variabili importanti del sistema

Adatta per studiare grandi impianti

Non ben standardizzata né ben descritta in letteratura

Cause-consequence

analysis

Parte dagli eventi critici e si sviluppa in avanti usando alberi di conseguenza. Uso dei FT per analisi deduttive

Molto flessibile. Ben documentata. Parti sequenziali ben identificate

Diagrammi Cause-conseguenze crescono molto in fretta. Stessi svantaggi dei FT

Functional safety

Valutazione del grado di integrità dei sistemi

Metodo completo per la valutazione dei rischi

Necessità di uso di metodi diversi e grandi quantità di dati



Alberi di Evento

L’Analisi tramite Alberi di evento (ETA) è un metodo induttivo, cioè si sviluppa in avanti nel tempo.

Si parte assumendo che i sistemi di sicurezza siano disponibili o guasti ovvero che al momento dell’entrata in funzione rispondano completamente alle aspettative o non funzionino del tutto

Si crea in questo modo una struttura ad albero con tutte diramazioni binarie, che risultano in un numero di possibili sequenze incidentali di 2n, dove n è il numero di sistemi di sicurezza considerati.



Per evento si intende

fatto o un’azione determinanti un cambiamento di stato del sistema .

un evento implicante fattori umani si identifica solo con l’esecuzione di un’azione che determina un cambiamento di stato del sistema.

Definizione di Evento



Definizione logica analitica dell’occorrenza

Per evento si intende

Evento Tecnologico Fatto o azione determinanti un cambiamento di stato del sistema.

Evento Fattori Umani Evento implicante fattori umani si identifica solo con l’esecuzione (o non esecuzione) di un’azione che determina un cambiamento di stato del sistema.

Un’occorrenza in aviazione è definita come un’interruzione di operazioni, difetto, fallimento, o altra circostanza non regolare che ha o può avere influenza sulla sicurezza del volo, che non ha necessariamente dato origine ad un incidente severo, che soddisfa la necessità di archiviare i fatti accaduti secondo una modalità standard in un sistema di raccolta dati, tale da permettere valutazioni di carattere retrospettivo e prospettico associate alla sicurezza stessa.

Per occorrenza si intende



Alberi di Evento



Alberi di Guasto

La tecnica degli Alberi di guasto (FTA) è considerata come lo strumento analitico più potente che esista per rappresentare le possibili combinazioni di modi di guasto dei componenti in un particolare sistema.

Date le probabilità di guasto dei componenti basici, la FTA calcola la probabilità risultante del malfunzionamento mediante un metodo deduttivo.

Il malfunzionamento del sistema è detto “evento TOP” e l’albero di guasto si sviluppa in ramificazioni derivanti da questo evento primario, rappresentanti le cause in cascata degli eventi collegati dalle varie ramificazioni.

Un albero di guasto è composto di due tipologie di elementi, “eventi” e “porte” (“events” e “gates”). Le porte regolano (permettono o inibiscono) il passaggio logico attraverso l’albero.



Alberi di Guasto Simbolo della porta Porta Relazione causale

Porta AND

L’evento risultante avviene se tutti gli eventi in ingresso avvengono

Porta OR

L’evento risultante avviene se almeno uno degli eventi in ingresso avviene

Porta OR esclusivo

L’evento risultante avviene se uno dei due, ma non entrambi, eventi in ingresso avviene

Porta di inibizione

L’evento in ingresso produce l’evento risultante quando l’evento in ingresso e l’evento condizionale avvengono entrambi

Porta NOT

L’evento risultante avviene se l’evento in ingresso non avviene

“Por

te” n

egli

Albe

ri di

Gua

sto



“Eve

nti”

negl

i Alb

eri d

i Gua

sto

Simbolo dell’evento Significato

Evento intermedio che viene ulteriormente sviluppato da una porta ad unlivello più basso

Evento base

Evento non sviluppato

Simbolo di trasferimento



Esempio di Analisi a mezzo FT

Serbatoio

Pompa - P2

Pompa - P1

VFFiltroMotore

Valvola

TOP Event: mancata erogazione del combustibile al motore



Mancata alimentazione motore

Assenza di flusso di carburante nel tubo

tubo bloccato

Assenza di flusso carburante dalla valvola

1

V

Valvola bloccata chiusa

Assenza di flusso carburante alla valvola

Assenza di flusso carburante dalla P1

Assenza di flusso carburante dalla P2

2



Assenza di flussocarburante dalla P2

Assenza di flusso dicarburante nel tubo

tubo bloccato

Assenza di erogazionecarburante dalla P2

P2

Pompa P2 nonfunzionante

1

Assenza di flussocarburante dal filtro

F

Filtro bloccato Assenza di combustibilenel serbatoio



Quantificazione degli Alberi di Guasto

p(V)=0.05 ; p(F)=0.01

p(P1)=0.1 ; p(P2)=0.1

Assunzione 1: • Le probabilità degli eventi di blocco delle tubazioni o mancanza di

combustibile sono trascurabili, per concentrare lo studio solo sui componenti elettromeccanici del sistema.

Assunzione 2: • I guasti relativi ai componenti elettromeccanici del sistema non sono

mutuamente esclusivi.

Probabilità di guasto dei componenti elettromeccanici:



Mancataalimentazione motore

Assenza di flussocarburante dalla valvola

V

Valvola bloccatachiusa


P1 F


P2 F



Filtro bloccato Filtro bloccato



( ) ( ) ( ) ( ) ( )P F P F V P P P F P F F F V P P F V1 2 1 2 1 2 1 2∪ ∩ ∪ ∪ = ∩ ∪ ∩ ∪ ∩ ∪ ∩ ∪ = ∩ ∪ ∪

[ ]p P P F V p P P p F p V p FV p FP P p VP P p P P FV( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )1 2 1 2 1 2 1 2 1 2+ + = + + − + + +

regole della riduzione booleana

probabilità dell’evento TOP

p(TOP)=0.01 + 0.01 + 0.05 - (5+1+5)10-4 + 510-6 ≈ 0.0689 Mancata

alimentazione motore

V

F

P1 P2



Grazie per la Vostra attenzione

“METODI PER LA QUANTIFICAZIONE DEL RISCHIO · probabilità risultante del malfunzionamento...

Documents

Transcript of “METODI PER LA QUANTIFICAZIONE DEL RISCHIO · probabilità risultante del malfunzionamento...