LA VALUTAZIONE DEL RISCHIO Pagina 1 Terminologia e Definizioni Incidente Evento o serie di eventi accidentali che possono arrecare un danno Rischio Probabilità che l incidente rechi un danno, correlato alle conseguenze prodotte Indice di Rischio r = f m f = frequenza o probabilità di accadimento m = magnitudo delle conseguenze r = f m v v = Vulnerabilità al danno del soggetto che lo subisce. r = 0 Non contemplabile Frequenza f Rischi Specifici Rischi Convenzionali Rischi Potenziali di Incidenti rilevanti Magnitudo m Pagina 2
Terminologia e Definizioni Rischio Tecnologico Rischi Specifici Legati a fattori chimici e fisici che per loro natura possono danneggiare in tempi brevi o lunghi persone, cose ed ambiente. Eventi continui e molto frequenti con danni modesti Rischi Convenzionali Legati all attività di lavoro, agli apparecchi, agli impianti presenti in tutti i settori industriali (si tratta prevalentemente di problemi di infortunistica). Eventi abbastanza frequenti con danni di media intensità che interessano una o più persone. Rischi Potenziali di incidenti rilevanti Derivanti da eventi anomali capaci di provocare incendi, esplosioni, rilasci di prodotti tossici dentro e fuori lo stabilimento. Frequenza molto bassa, danni gravissimi. Pagina 3 Terminologia e Definizioni Analisi del Rischio Processo di identificazione degli elementi che possono portare al rischio di incidente (Top Event). Valutazione del Rischio Sintesi degli elementi che caratterizzano il rischio e relative conseguenze. Più in generale una indicazione, qualitativa o quantitativa, delle possibilità di danno che un sistema tecnico può causare. Affidabilità Attitudine di un oggetto (componente, sistema, servizio) ad adempiere alle sue funzioni specifiche, quando utilizzato nelle sue condizioni prefissate, ogni volta che ne è richiesto e per la durata desiderata Guasto Conclusione del periodi di regolare funzionamento per effetto di un fenomeno chimico - fisico prodottosi in una o più parti di un dispositivo che determina una o più variazioni delle prestazioni nominali tali da rendere il dispositivo stesso inaccettabile all uso che se ne deve fare Pagina 4
Terminologia e Definizioni Gestione del rischio Insieme delle azioni che devono, essere messe in atto per cercare di attenuare il rischio. La ricerca di condizioni di minor rischio (con maggior grado di sicurezza) comporta interventi mirati a diminuire l entità della conseguenza (protezione) o la frequenza degli eventi pericolosi (prevenzione) o di entrambe Gestione dell emergenza Insieme delle azioni da mettere in atto per cercare di attenuare le conseguenze di un incidente rilevante Emergenza interna Piano di emergenza interno (Gestore Stabilimento) Emergenza esterna Piano di emergenza esterno (Prefetto) Frequenza (f) Protezione Prevenzione r 1 r 2 r 3 Magnitudo (m) Pagina 5 Fasi di Valutazione del Rischio a) acquisizione dati e studio dell'impianto b) individuazione dei rischi potenziali e quindi delle unità interessate e delle sostanze pericolose c) identificazione degli eventi primari e delle sequenze che possono portare all'incidente d) valutazione della probabilità del manifestarsi dell'incidente e) valutazione delle conseguenze f) valutazione quantitativa del rischio g) analisi e presentazione dei risultati Risk Analysis Risk Assessment Pagina 6
Documentazione necessaria per la valutazione del rischi Planimetria dell'installazione con l'indicazione della posizione degli impianti, dei depositi, degli uffici e di tutti gli altri elementi fisici che compongono l'installazione stessa Planimetria dell'area circostante lo stabilimento con l'indicazione del sistema viario, della destinazione d'uso delle aree limitrofe,della ubicazione dei centri abitati,della localizzazione di siti vulnerabili quali scuole, ospedali, case di riposo, e di tutti gli altri elementi atti a mostrare come l'installazione si inserisce nel contesto territoriale Descrizione dello scenario ambientale meteorologico e delle perturbazioni geofisiche, meteomarine, Pagina 7 Documentazione necessaria per la valutazione del rischi Descrizione dettagliata dell'installazione nei suoi aspetti impiantistici e processuali, comprendente: descrizione contenente la natura e la quantità dei beni prodotti, i processi e le apparecchiature impiegate, le condizioni fisiche di operazione, le modalità di stoccaggio, la natura e la quantità dei consumi e delle emissioni nell'ambiente; schema a blocchi, per ogni impianto di produzione all'interno dello stabilimento, le funzioni fondamentali dello schema produttivo e le loro interconnessioni logiche; schema di processo quantificato, noto anche come Process and Instrument Flow, o anche P&I Diagram, che è la rappresentazione grafica simbolica dei depositi, dei macchinari, delle tubazioni e condotte di interconnessione con i relativi organi di sezionamento e la strumentazione di controllo e sicurezza; bilancio di materia ed energia che riporti la contabilità dei materiali in ingresso ed in uscita e della energia consumata e prodotta nella installazione. Pagina 8
Nel procedere alla valutazione quantitativa del rischio da incidente rilevante in campo industriale il primo problema che si incontra è quello di stabilire quale rischio può essere accettato. Il problema, quindi, è quello della ricerca di un riferimento da utilizzare come termine di paragone per valutare la pericolosità rappresentata da un valore ben preciso dell'indice di rischio. Va sottolineata subito l'assenza di normative nazionali che fissino i livelli di accettabilità del rischio da impianti industriali potenzialmente pericolosi. neppure la Direttiva CEE sugli incidenti rilevanti stabilisce delle soglie. Accettabilità del rischio Per formulare un giudizio sulla accettabilità del rischio la cosa più logica da fare è quella di attenersi ad una analisi di confronto fra i rischi causati dall'esposizione accidentale a fenomeni anomali negli impianti industriali e quelli derivanti dalla probabilità di morte naturale. Pagina 9 Rappresentazione del rischio Rischio Locale e Rischio Individuale Espressi dal valore della frequenza con cui, in un certo punto di un'area geografica, si può verificare il danno di riferimento, ovvero la morte di un individuo. Rischio locale si riferisce ad un individuo presente in modo permanente in un determinato punto e privato delle possibilità di fuga o di protezione nel punto considerato Rischio individuale tiene conto della probabilità che l'individuo si trovi realmente in quel punto, e della sua capacità di mettere in atto misure di protezione per la sua incolumità (rischio individuale è in ogni punto non superiore al rischio locale). La rappresentazione di questi due valori è fatta tracciando sulla mappa della zona delle curve a rischio costante dette curve di isorischio, oppure disegnando le superfici di rischio Pagina 10
Rappresentazione del rischio Rischio sociale è indipendente dalle coordinate geografiche ed esprime una valutazione complessiva della situazione. La sua rappresentazione si esplicita in due famiglie di curve: curve F-N: sono riportati i valori F di frequenza annua cumulata con la quale si può verificare un evento in grado di causare come conseguenza un numero di vittime uguale o maggiore ad N istogrammi I-N: mostrano la popolazione suddivisa in classi diverse ognuna caratterizzata da un diverso intervallo di valori del rischio Pagina 11 TECNICHE DI VALUTAZIONE DEL RISCHI Pagina 12
Matrice delle interazioni Unità per Unità, si analizzano le sostanze pericolose o che possono dar luogo a composti pericolosi. La matrice è uno strumento utile per individuare le interazioni fra sostanze che possono dar luogo ad eventi pericolosi. Viene utilizzati in fase preliminare dell analisi nella quale si prede confidenza con processo Sostanza A Sostanza B Sostanza C Pressione Temperatura T1 Temperatura T2 Umidità Contaminante 1 Contaminante 2 Materiale condutture Limiti esposizione Sostanza A Sostanza B Sostanza C Miscela 1 Note Si dispongono le varie sostanze una per ogni riga e per ogni colonna. La generica cella ai,j corrisponde all'interazione dalla sostanza associata alla riga i con quella associata alla colonna j Gli elementi sulla diagonale corrispondono all'interazione di una sostanza con se stessa importante per quelle sostanze pericolose anche se presenti da sole (in determinate quantità). Pagina 13 Preliminary Hazard Analysis Utilizzata nelle fasi di progettazione e costruzione dell'impianto (tecnica di valutazione a Priori); vi è, quindi, una minore disponibilità di informazioni, e generalmente è seguita dall'applicazione di altre tecniche più incisive. I principali vantaggi che si possono ottenere sono: individuare i possibili pericoli in un momento in cui possono essere evitati con i minimi costi; indicare certe direttive che dovranno essere seguite nella successiva fase di esercizio dell'impianto (principalmente nel campo della manutenzione). Brain storming Individuazione dei pericoli legati a: materiali e sostanze pericolose sia in ingresso che in uscita dal sistema attrezzature e componenti dell'impianto cause dovute all'ambiente circostante allo stabilimento ed a forze naturali layout di stabilimento attività di ispezione, controllo e manutenzione sistemi di sicurezza. Pagina 14
Preliminary Hazard Analysis Successivamente si opera una stima delle conseguenze dei top event associati alle categorie analizzate operando una classificazione dei possibili incidenti secondo le quattro categorie I trascurabile - II marginale - III critico - IV catastrofico. Spesso i risultati sono riassunti in una tabella le cui colonne riportano in ordine: Pericolo Cause - Principali effetti - Categoria L'impegno in termini di tempo è compreso tra 1-2 giorni per gli impianti semplici e 1 settimana per i sistemi complessi Pagina 15 Check list analysis Questa tecnica (a Posteriori) usa una lista - Check List contenente un insieme di proposizioni, spesso sotto forma di domande, finalizzate a verificare lo stato del sistema. Le Check Lists provengono direttamente da banche dati di componenti, ma nella maggior parte dei casi devono essere redatte dal personale che opera l analisi e valutazione del rischio; tutto questo si traduce nella applicazione preventiva di tecniche di investigazione più robuste (FMECA). Le proposizioni sono raggruppate per componente oppure per argomento (materiali, attrezzature, procedure, ). Questo tipo di analisi viene spesso accompagnata da un sopralluogo sull'impianto. Le Check list sono in particolare utilizzate per verificare il funzionamento e la correttezza delle opere di manutenzione dell'impianto. Per un sistema di piccole dimensioni l'analisi può essere conclusa in una giornata, per sistemi complessi si giunge anche ad una settimana. Pagina 16
What-if analysis La presente tecnica prevede la costituzione di un team apposito costituito da persone che hanno una certa familiarità con l'impianto in esame. Il lavoro procede in modo singolare: ogni membro del team espone una serie di domande del tipo Cosa succede se? Analizzando le risposte si giunge ad identificare i possibili incidenti. Questo particolare approccio è detto brain storming la bontà, ed insieme il limite di questa tecnologia, risiede nella capacità ed esperienza di coloro che compongono il team. Per questo motivo spesso si utilizza una tecnica mista Check list / What-if in modo da superare la staticità delle check lists ed al contempo raggiungere quella completezza di analisi che la semplice What-if non garantisce. Pagina 17 FMEA (Failure Mode and Effect Analysis) La FMEA procede all analisi di un sistema in modo induttivo e qualitativo; si parte dalla struttura elementare e si procede verso i livelli superiori, indicando le modalità di guasto e le conseguenze che ne derivano. Nel procedere si tiene presente come i Modi di guasto dei singoli componenti dipendono strettamente: dalle caratteristiche del componente stesso, dalla funzione a cui sono stati destinati dalle condizioni ambientali in cui si trovano ad operare. Componente funziona - non funziona rappresenta una condizione limite di stati di funzionamento intermedi. L analisi delle conseguenze prodotte da un mal funzionamento parziale o totale caratterizzano l importanza, in termini di criticità, del componente stesso. Analizzando le relazioni funzionali fra le varie strutture elementari, la FMEA fornisce un giudizio su come un guasto incide sulle prestazioni dell intero sistema. Pagina 18
FMEA (Failure Mode and Effect Analysis) La tecnica è qualitativa, in quanto occorre tracciare un panorama completo sul comportamento della singola apparecchiatura in tutte le possibili situazioni di impiego e definire tutte le modalità di guasto, da quelle di secondaria importanza a quelle che portano alla crisi del componente stesso o dell intero sistema. Assume carattere quantitativo nel momento a cui si associa una analisi delle criticità (FMECA Failure Mode Effect and Critical Analysis). Il ruolo della FMEA o FMECA diventa, dunque, quello di individuare gli eventi di base e le connessioni attraverso le quali si giunge all evento principale (top event) al quale è associata la crisi di una parte o della totalità del sistema Pagina 19 FMEA/FMECA Top Level Failure Mode Local Effect Build Failure Mode Local Effect End Effect Modes Failure Mode Local Effect End Effect La FMECA parte da un analisi funzionale top-down. Le funzioni principali di sistema vengono scomposte in una gerarchia di sottofunzioni, queste in sotto sottofunzioni e così via fino a raggiungere le funzioni primitive (che non sono utilmente o convenientemente a loro volta scomponibili). Generalmente, la FMECA ha un approccio secondo una strategia bottom-up. L analisi sui componenti di più baso livello consente una valutazione degli effetti locali e la ripercussione sul NHL(next high level), ripetendo il processo fino a raggiungere il livello sistema. Pagina 20
FMEA/FMECA La procedura descritta va estesa ad ogni componente in modo sistematico e per questa ragione è necessario creare una standardizzazione delle fasi applicative. Questa normalizzazione ha come obbiettivo anche quello di eliminare o quantomeno limitare le omissioni che possono nascere, se le dimensioni del sistema sono notevoli. La standardizzazione della procedura si traduce nella realizzazione di un modello di indagine costituito da una tabella contenente varie voci da compilare in modo più esteso possibile. La tabella viene realizzata precedentemente all analisi, in funzione delle esigenze dettate dalla tipologia del sistema e dal livello di indagine che si vuole raggiungere. Pagina 21 FMEA/FMECA Identificazione Codice che mette in correlazione il sistema analizzato (insieme di componenti base) ai progetti ed al quadro sinottico (se presente) della sala controllo. Non devono nascere ambiguità né nella lettura dei risultati né nella loro elaborazione. Componente Il sistema è analizzato componente per componente; è necessario codificare anche l elemento considerato, sempre per non creare condizioni di ambiguità. La codificazione assume peso rilevante quando si possono avere componenti strutturalmente simili, ma con funzioni distinte all interno di uno stesso sistema Descrizione In questa parte è fornita una descrizione sintetica delle funzioni, delle condizioni operative, e di eventuali parametri caratteristici, propri del componente e che partecipano influenzando sia le modalità di guasto sia i conseguenti effetti. La descrizione deve essere effettuata in forma sintetica, considerando solo quello che è necessario all analisi. Pagina 22
FMEA/FMECA Modi di guasto Vanno indicati e descritti tutti i possibili stati di fuori specifica del componente Effetti Una volta indicato il modo di guasto di un componente si devono valutare gli effetti direttamente collegati all evento, valutandone la trasmissione alla componentistica vicina. Per avere completezza nell enumerazione degli effetti, non vengono presi in considerazioni i vari sistemi di sicurezza. La procedura così seguita permette di analizzare la dinamica di un evento in modo libero e senza limitazione. Sistemi di protezione Si indicano i sistemi di protezione esistenti sul sistema e si correlano ai guasti ed agli effetti. Pagina 23 FMEA/FMECA Interventi In questa sezione sono indicate le possibili azioni che devono essere intraprese per migliorare l attuale sistema e portarlo ai livelli di affidabilità o di sicurezza desiderati. L intervento può essere di varia natura (strutturale, aggiunta di una ridondanza,...) e dipende strettamente dall elaborazione delle informazioni raccolte nei passi precedenti. Severity Parametro strutturato secondo quattro voci che definiscono la gravità del guasto Severity Effetti Valore I. Catastrophic Guasto con potenzialità di compromettere la missione e la macchina stessa 10 II. Critical Guasto che può rendere non operativa la macchina 7 III. Marginal Guasto apprezzabile non grave 4 IV. Minor Nessun effetto o effetti trascurabili 1 Occurrence Parametro, variabile da 1 e 10 (con dieci pari alla peggiore categoria e 1 la migliore), che descrive la probabilità che un guasto si verifichi durante la missione. Pagina 24
FMEA/FMECA Detection Parametro che definisce la capacità di riscontrare un guasto da parte dell operatore Detection Descrizione Valore Totalmente incerta Molto remota Remota Molto bassa Bassa Moderata Moderatamente alta Alta Molto alta L operatore non può accorgersi del guasto o non è presente alcun operatore Probabilità molto remota che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità remota che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità molto bassa che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità bassa che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità moderata che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità moderatamente alta che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità alta che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Probabilità molto alta che l operatore possa accorgersi del guasto o delle potenziali cause del guasto Quasi sicura L operatore si accorge del guasto o della potenziale causa 1 10 9 8 7 6 5 4 3 2 Risk Priority Number Prodotto di Severity x Occurence x Detection. Alti valori di questo parametro indicano una situazione di pericolo verso la quale porre una maggiore attenzione. Pagina 25 Esempio di applicazione della Tecnica FMEA Serbatoio di stoccaggio prodotto A Serbatoio di stoccaggio prodotto B Serbatoio Identificazione linea di collegamento fra serbatoio S1 e reattore R. S1 Componente valvola V1 di comunicazione posta tra contenitore della sostanza A e reattore Descrizione lo stato di conduzione normale è : valvola V1 normalmente aperta per permettere il deflusso della sostanza A Modi di guasto valvola V1 rimane completamente aperta quando era richiesta la chiusura Effetti flusso verso il reattore della sostanza A quando questo non era richiesto ; alta pressione nel reattore R alta temperatura nel reattore R prodotto finale non buono perché ricco della sostanza A. alto livello nel serbatoio finale F di raccolta. la ricchezza di tale sostanza nel serbatoio finale può interessare anche l area di lavoro: pericolo per la presenza della sostanza A nella zona di lavoro. Sistema di protezione misuratore di portata posto sulla linea, capace di registrare incrementi indesiderati della sostanza A e avvertire per mezzo di allarme; un sistema di aerazione capace di espellere dalla zona lavoro la presenza della sostanza A quando questa si disperde in aria Intervento aggiunta di una valvola di sfiato verso l esterno sul reattore; aggiunta di un misuratore di temperatura collegato ad un allarme, ecc Valvola V1 Reattore R Serbatoio S2 Valvola V2 Vasca di stoccaggio finale per il prodotto C Pagina 26
HAZOP (Hazard and Operability Analysis) L analisi si sviluppa attraverso l individuazione delle modalità di guasto di un componente, sottosistema o sistema. Le tipologie di guasto sono valutate secondo la logica causa-conseguenza-rimedio. Procedura preliminare a. esame attento e minuzioso del progetto, in modo da fornire una completa descrizione delle variabili b. indagine, in forma sistematica, su ogni parte per identificare il principio di azione delle deviazioni dalle specifiche progettuali e se ed in che modo le deviazioni possano generare disturbi all intero sistema. c. informazioni sullo stato attuale di funzionamento e sulle possibili configurazioni di criticità d. scomposizione dell impianto in una serie di sottosistemi a ciascuno dei quali sarà applicata la procedura Pagina 27 HAZOP (Hazard and Operability Analysis) Il sottosistema elementare o minimale con definiti confini, all interno del quale vengono analizzati i parametri di processo, prende il nome di nodo; il nodo si interfaccia con gli altri sottosistemi individuati mediante nodi di frontiera, i punti caratteristici del sottosistema stesso (flussi interni, componentistica di base e tutti gli strumenti o apparecchiature che possono essere causa prossima o remota di un evento indesiderato), sono indicati come nodi interni. Parole Guida NON, NIENTE Identifica la completa negazione delle intenzioni progettuali DI MENO Identifica un decremento di una variabile quantitativa PARTE DI Identifica un decremento di una variabile qualitativa INVECE DI Identifica la completa sostituzione di un intenzione DI PIU Identifica un aumento di una variabile quantitativa COSI COME Identifica un incremento di una variabile qualitativa AL CONTRARIO Identifica un opposto logico delle intenzioni progettuali Pagina 28
HAZOP (Hazard and Operability Analysis) Parametri di processo più comunemente investigati dalla Hazop Flusso Tempo Frequenza Miscelazione Pressione Composizione Viscosità Addizione Temperatura ph Voltaggio Separazione Livello Velocità Informazioni Reazione Diagramma di flusso della procedura HAZOP Pagina 29 HAZOP (Hazard and Operability Analysis) Nodo Sigla di riconoscimento della sezione analizzata (non creare ambiguità nell interpretazione dei risultati) Parametro di processo Si inserisce un parametro alla volta a cui si associa una parola giuda Parola guida Riportare la parola guida nel modulo è utile per dare completezza e per verificare l assenza di omissioni. Deviazione Descrivere le caratteristiche dell uscita dalle specifiche di progetto Causa Si intende l insieme di tutte le ragioni per le quali si è giunti alla deviazione. Le cause possono essere legate a fallimenti strutturali del sistema, ad errori umani ed a condizioni esterne al sistema stesso. Pagina 30
HAZOP (Hazard and Operability Analysis) Conseguenza Risultati di una deviazione e possono agire sulle altre parti del sistema o interessare un più ampio raggio (ad esempio, il rilascio nell ambiente di sostanze tossiche o comunque inquinanti). Sistemi di protezione Sistemi già presenti che concorrono nell azione di prevenzione della possibile deviazione o che tendono a ridurre le possibili conseguenze (allarmi, chiusure di emergenza, procedure di emergenza codificate). Intervento Devono essere enumerate tutte le possibili azioni atte a migliorare lo stato attuale del sistema. Gli interventi possono non appartenere necessariamente al sottosistema in esame, tuttavia devono essere riportati in corrispondenza della deviazione i cui effetti sono predisposti a fronteggiare. Pagina 31 Esempio di applicazione della Tecnica HAZOP Serbatoio di stoccaggio prodotto A Serbatoio di stoccaggio prodotto B Serbatoio S1 Serbatoio S2 Valvola V1 Valvola V2 Scheda n 1 Nodo 1 Descrizione : Linea di comunicazione S1 - R Parametro di processo Parola guida Deviazione Causa Conseguenza Sistemi di protezione Flusso da A NON al reattore R NON c è trasferiment o di A stoccaggio di A esaurito ; la condotta è rotta, si ha una perdita lungo la linea; la valvola di isolamento è stata chiusa; la valvola si è rottaesihauna fuoriuscita di sostanza A. eccesso della sostanza B nel reattore ; prodotto finale fuori dalle specifiche di progetto; se la sostanza B è tossica e/o volatile si possono avere dei rilasci pericolosi nell ambiente di lavoro Periodiche manutenzioni sulla linea di collegamento Interventi possibilità di aggiunta di un allarme collegato ad un misuratore di portata che avverte di possibili variazioni di flusso; prevedere un sistema di chiusura ermetica per la vasca di stoccaggio finale a meno di rischio di esplosione Note Reattore R Vasca di stoccaggio finale per il prodotto C Pagina 32
Matrice Frequenze Conseguenze I metodi fin qui esposti sono adatti per lo più ad un'analisi qualitativa. In alcuni casi al termine dello studio si può effettuare una valutazione semi quantitativa costruendo la matrice frequenze conseguenze. Ogni incidente possibile viene attribuito ad una categoria sia in relazione alla frequenza di accadimento sia in relazione alla gravità delle conseguenze. La posizione nella matrice permette di dare una valutazione globale del rischio associato all'incidente. Il rischio viene così classificato: - inaccettabile : deve essere ridotto in tempi molto brevi, - indesiderabile : deve essere ridotto in tempi più ampi, spesso 12 mesi, - accettabile con verifica dei sistemi di controllo, - accettabile senza nessun vincolo. Pagina 33 Matrice Frequenze Conseguenze II I I Categoria della probabilità 4 3 2 IV IV IV III IV II III I II 1 IV IV IV III 1 2 3 4 I II Categoria delle conseguenze Inaccettabile III accettabile con verifica Indesiderabile IV accettabile senza verifica Pagina 34
Alberi di guasto (Fault Tree Analysis) Definizione Rappresentazione simbolica della struttura di un impianto, o di parte di esso, volta ad evidenziare le interconnessioni logiche che esistono tra i vari componenti per quanto concerne il corretto ed il cattivo funzionamento dell'impianto. Top Eve nt Evento di base Blocco Gerarchico Evento di base negato Gate AND Gate NAND Gate OR Gate NOT Gate NOR Gate EOR Pagina 35 Alberi di guasto (Fault Tree Analysis) simbologia dell'algebra booleana NOT X X i i i X i OR X AND X EOR j X X j j X i X i X X i j X somma logica j prodotto logico ( X i X j ) ( X i X j ). A B A B A B Esempio di utilizzo del gate EOR Pagina 36
Albero di guasto per un impianto di alimentazione idrica di un utenza con sezione elettrica e idraulica I1 I2 M2 Due rami identici in ridondanza totale alimentati elettricamente da una stessa linea M1 P2 VNR3 VNR4 A P1 VNR1 VNR2 Eventi di Base 15 - Guasto sistema di alimentazione elettrica. 14, 13, 12, 11 - Guasto valvole di non ritorno VNR4, 3, 2, 1 per bloccaggio in posizione aperta. 10, 9, 5, 4 - Guasto valvole di non ritorno VNR4, 3, 2, 1 per rottura dei perni. 8, 3 - Guasto pompe P2 e P1. 7, 2 - Guasto ai motori delle pompe M2 e M1 6, 1 - Guasto interruttori I2, I1 Pagina 37 Albero di guasto per un impianto di alimentazione idrica di un utenza con sezione elettrica e idraulica Manca portata nella sez. A Manca portata nei rami 1 e 2 Manca alimentazione elettrica ai motori Portata inversa nel ramo 1 Portata inversa nel ramo 2 Manca portata nel ramo 1 Manca portata nel ramo 2 Pagina 38
Alberi di guasto Cause Comuni di Guasto abc La base per la costruzione di un albero di guasto è l indipendenza stocastica degli eventi base Cause comuni di guasto a b c b a c b d ce a c b Logica errata d ce abc d ce Logica corretta ATTENZIONE ALLE CAUSE COMUNI DI GUASTO Nella pratica si trovano numerosi esempi di cause comuni di guasto: ad esempio un incendio in una sala elettrica può mettere contemporaneamente fuori uso sia il sistema nervoso dell'impianto (trasmissione ed elaborazione segnali, logiche operative e di sicurezza), sia quello muscolare (motori, elettrovalvole). Pagina 39 I minimal cut sets ed i minimal path sets Un cut set è uno stato del sistema tale che il Top event si verifica; Un path set è uno stato del sistema per il quale il Top event non si verifica. Se, come spesso accade, il Top event coincide con il malfunzionamento di un parte dell'impianto un cut set rappresenta quello stato dei componenti del sistema che porta al malfunzionamento; il path set invece quello stato del sistema che porta al corretto funzionamento del subsistema. Un minimal cut set è un cut set che non comprende alcun altro cut set. La definizione di minimal path set o minpath è analoga. Pagina 40
Metodo elementare di individuazione dei cut sets Regole gate AND il primo input del gate AND che stiamo risolvendo sostituisce l'indice del gate nella matrice mentre gli altri inputs sono inseriti nelle successive colonne libere uno per colonna, sulla stessa riga ove era presente l'indice del gate. gate OR il primo input del gate OR sostituisce l'indice che identifica il gate nella matrice e tutti gli altri inputs sono inseriti nelle successive righe libere uno per riga. Se sono presenti altri elementi nella riga in cui era presente il gate OR questi elementi devono essere ripetuti in tutte le righe in cui abbiamo inserito gli inputs del gate OR. A A B D B 1 D C 1 D 2 C 1 4 C 1 2 C 2 1 2 2 1 4 C 1 4 C 2 1 2 3 1 2 3 4 3 Pagina 41 Nella espressione finale della matrice ciascuna riga rappresenta un cut set per l'albero analizzato. Nel nostro caso: Cut set I : 1, 2, 2 Cut set II: 1, 2, 4 Cut set III: 1, 2, 3 Cut set IV: 1, 3, 4 Metodo elementare di individuazione dei cut sets Eliminando per ciascun cut set gli eventi ripetuti ed eliminando i cut set non minimi si ottengono infine i mincuts del sistema: Minimal cut set I: 1, 2 Minimal cut set II: 1, 3, 4. Pagina 42
Alberi degli eventi L'utilizzo degli alberi di guasto è spesso legato all'utilizzo degli alberi degli eventi (Event Trees). Presentano una tipica struttura ad albero in cui, a partire da un evento iniziatore si rappresentano le varie possibili sequenze di propagazione o di arresto dell'incidente. L'analisi con albero degli eventi è usualmente condotta ad un livello più generale sul sistema in esame rispetto all'albero di guasto. In molti casi si parte dall'albero degli eventi per individuare i Top events. Nell'albero degli eventi si considerano gli effetti positivi e negativi che i vari sistemi di sicurezza generano in conseguenza di un evento pericoloso iniziatore così da poter individuare i possibili scenari e le conseguenze dell'evento iniziatore al variare del modo di comportarsi del sistema. L albero degli eventi è un efficace strumento per l'analisi delle conseguenze di un evento dannoso e quindi per una classificazione della magnitudo delle conseguenze. Pagina 43 Alberi degli eventi La procedura generale dell'analisi con albero degli eventi si evolve lungo i seguenti passi: identificazione dell'evento iniziatore identificazione dei sistemi di sicurezza progettati per mitigare gli effetti dell'evento iniziatore. costruzione dell'albero degli eventi. descrizione delle sequenze di propagazione dell'incidente e delle conseguenze dell'evento iniziatore. Nella fase di costruzione dell'albero si utilizza una sorta di tabella in cui ogni colonna o sezione verticale è assegnata all'evento iniziatore o ad un sistema di sicurezza. Pagina 44
Alberi degli eventi Partendo dall'evento iniziatore, in genere posto in posizione centrata verticalmente ed a sinistra, ci si muove verso l'altra estremità della tabella. Per ogni colonna, se il relativo sistema di sicurezza interagisce con la propagazione dell'incidente, si esegue una ramificazione. Se per semplicità consideriamo un comportamento binario (buonocattivo) del sistema, avremo uno sdoppiamento di ciascun ramo in due: il primo relativo al buon funzionamento di sicurezza; il secondo relativo invece al cattivo funzionamento dello stesso. Se per una colonna il relativo sistema di sicurezza non ha influenza alcuna sul propagarsi dell'incidente non vi è ramificazione in tale colonna. Pagina 45 Alberi degli eventi (esempio) Consideriamo un reattore chimico di ossidazione l'evento iniziatore è perdita di acqua di raffreddamento del reattore. I sistemi di sicurezza presenti, in ordine cronologico di intervento, sono: - dispositivo di allarme per alta temperatura nel reattore che allerta l'operatore alla temperatura T1. - operatore che ristabilisce il flusso d'acqua di raffreddamento nel reattore. - dispositivo automatico di chiusura che arresta la reazione alla temperatura T2>T1. Il primo dispositivo di sicurezza interviene comunque sul sistema, mentre l'operatore agisce solo se il primo dispositivo ha avuto successo. Così il sistema di chiusura automatica agisce solo se i sistemi precedenti hanno fallito. Pagina 46
Alberi degli eventi (esempio) Dei cinque possibili scenari soltanto due presentano condizioni di insicurezza e di pericolo. Inoltre dei due l'ultimo è senza dubbio più pericoloso poiché, per il fallimento del dispositivo di allarme alla temperatura T1, l'operatore non è a conoscenza dell'irregolarità di funzionamento del sistema. Il caso trattato è per ovvie ragioni estremamente semplice ma aiuta a comprendere la tecnica di realizzazione dell'albero degli eventi e l'importanza che può avere in una completa analisi di rischio. Il malfunzionamento di ciascuno dei tre dispositivi di sicurezza si presta ad essere preso come Top event per tre alberi di guasto distinti e quindi limitati ad una piccola parte del sistema. Pagina 47 Alberi degli eventi (esempio) Perdita di acqua di Allarme di alta L'operatore ristabilisce Dispositivo automatico raffreddamento per il temeperatura allerta il flusso corretto di arresta la reazione reattore di ossidazione l'operatore a T1 acqua nel reattore alla T2 A B C D ABCD Sequenza di Incidente Condizione di sicurezza Ritorno alle condizioni normali ABCD Condizione di sicurezza Arresto automatico Evento Iniziatore A Successo ABCD Condizione di pericolo Reazione incontrollata Operatore al corrente Fallimento ABD Condizione di sicurezza Arresto automatico ABD Condizione di pericolo Reazione incontrollata Operatore non al corrente Pagina 48