TECNICHE DI VALUTAZIONE DEL RISCHIO DOTT. ING. KONSTANTINOS MILONOPOULOS
Matrice delle interazioni Unità per Unità, si analizzano le sostanze pericolose o che possono dar luogo a composti pericolosi. La matrice è uno strumento utile per individuare le interazioni fra sostanze che possono dar luogo ad eventi pericolosi. Viene utilizzati in fase preliminare dell analisi nella quale si prede confidenza con processo Sostanza A Sostanza B Sostanza C Pressione Temperatura T1 Temperatura T2 Umidità Contaminante 1 Contaminante 2 Materiale condutture Limiti esposizione Sostanza A Sostanza B Sostanza C Miscela 1 Note Si dispongono le varie sostanze una per ogni riga e per ogni colonna. La generica cella ai,j corrisponde all'interazione dalla sostanza associata alla riga i con quella associata alla colonna j Gli elementi sulla diagonale corrispondono all'interazione di una sostanza con se stessa importante per quelle sostanze pericolose anche se presenti da sole (in determinate quantità). Pagina 2
Preliminary Hazard Analysis Utilizzata nelle fasi di progettazione e costruzione dell'impianto (tecnica di valutazione a Priori); vi è, quindi, una minore disponibilità di informazioni, e generalmente è seguita dall'applicazione di altre tecniche più incisive. I principali vantaggi che si possono ottenere sono: individuare i possibili pericoli in un momento in cui possono essere evitati con i minimi costi; indicare certe direttive che dovranno essere seguite nella successiva fase di esercizio dell'impianto (principalmente nel campo della manutenzione). Brain storming Individuazione dei pericoli legati a: materiali e sostanze pericolose sia in ingresso che in uscita dal sistema attrezzature e componenti dell'impianto cause dovute all'ambiente circostante allo stabilimento ed a forze naturali layout di stabilimento attività di ispezione, controllo e manutenzione sistemi di sicurezza. Pagina 3
Preliminary Hazard Analysis Successivamente si opera una stima delle conseguenze dei top event associati alle categorie analizzate operando una classificazione dei possibili incidenti secondo le quattro categorie I trascurabile - II marginale - III critico - IV catastrofico. Spesso i risultati sono riassunti in una tabella le cui colonne riportano in ordine: Pericolo Cause - Principali effetti - Categoria L'impegno in termini di tempo è compreso tra 1-2 giorni per gli impianti semplici e 1 settimana per i sistemi complessi Pagina 4
Check list analysis Questa tecnica (a Posteriori) usa una lista - Check List contenente un insieme di proposizioni, spesso sotto forma di domande, finalizzate a verificare lo stato del sistema. Le Check Lists provengono direttamente da banche dati di componenti, ma nella maggior parte dei casi devono essere redatte dal personale che opera l analisi e valutazione del rischio; tutto questo si traduce nella applicazione preventiva di tecniche di investigazione più robuste (FMECA). Le proposizioni sono raggruppate per componente oppure per argomento (materiali, attrezzature, procedure, ). Questo tipo di analisi viene spesso accompagnata da un sopralluogo sull'impianto. Le Check list sono in particolare utilizzate per verificare il funzionamento e la correttezza delle opere di manutenzione dell'impianto. Per un sistema di piccole dimensioni l'analisi può essere conclusa in una giornata, per sistemi complessi si giunge anche ad una settimana. Pagina 5
What-if analysis La presente tecnica prevede la costituzione di un team apposito costituito da persone che hanno una certa familiarità con l'impianto in esame. Il lavoro procede in modo singolare: ogni membro del team espone una serie di domande del tipo Cosa succede se? Analizzando le risposte si giunge ad identificare i possibili incidenti. Questo particolare approccio è detto brain storming la bontà, ed insieme il limite di questa tecnologia, risiede nella capacità ed esperienza di coloro che compongono il team. Per questo motivo spesso si utilizza una tecnica mista Check list / What-if in modo da superare la staticità delle check lists ed al contempo raggiungere quella completezza di analisi che la semplice What-if non garantisce. Pagina 6 DOTT. ING. KONSTANTINOS MILONOPOULOS
FMEA (Failure Mode and Effect Analysis) La FMEA procede all analisi di un sistema in modo induttivo e qualitativo; si parte dalla struttura elementare e si procede verso i livelli superiori, indicando le modalità di guasto e le conseguenze che ne derivano. Nel procedere si tiene presente come i Modi di guasto dei singoli componenti dipendono strettamente: dalle caratteristiche del componente stesso, dalla funzione a cui sono stati destinati dalle condizioni ambientali in cui si trovano ad operare. Componente funziona - non funziona rappresenta una condizione limite di stati di funzionamento intermedi. L analisi delle conseguenze prodotte da un mal funzionamento parziale o totale caratterizzano l importanza, in termini di criticità, del componente stesso. Analizzando le relazioni funzionali fra le varie strutture elementari, la FMEA fornisce un giudizio su come un guasto incide sulle prestazioni dell intero sistema. Pagina 7 DOTT. ING. KONSTANTINOS MILONOPOULOS
FMEA (Failure Mode and Effect Analysis) La tecnica è qualitativa, in quanto occorre tracciare un panorama completo sul comportamento della singola apparecchiatura in tutte le possibili situazioni di impiego e definire tutte le modalità di guasto, da quelle di secondaria importanza a quelle che portano alla crisi del componente stesso o dell intero sistema. Assume carattere quantitativo nel momento a cui si associa una analisi delle criticità (FMECA Failure Mode Effect and Critical Analysis). Il ruolo della FMEA o FMECA diventa, dunque, quello di individuare gli eventi di base e le connessioni attraverso le quali si giunge all evento principale (top event) al quale è associata la crisi di una parte o della totalità del sistema Pagina 8
FMEA/FMECA Top Level Failure Mode Local Effect Build Failure Mode Local Effect End Effect Modes Failure Mode Local Effect End Effect La FMECA parte da un analisi funzionale top-down. Le funzioni principali di sistema vengono scomposte in una gerarchia di sottofunzioni, queste in sotto sottofunzioni e così via fino a raggiungere le funzioni primitive (che non sono utilmente o convenientemente a loro volta scomponibili). Generalmente, la FMECA ha un approccio secondo una strategia bottom-up. L analisi sui componenti di più baso livello consente una valutazione degli effetti locali e la ripercussione sul NHL(next high level), ripetendo il processo fino a raggiungere il livello sistema. Pagina 9
FMEA/FMECA La procedura descritta va estesa ad ogni componente in modo sistematico e per questa ragione è necessario creare una standardizzazione delle fasi applicative. Questa normalizzazione ha come obbiettivo anche quello di eliminare o quantomeno limitare le omissioni che possono nascere, se le dimensioni del sistema sono notevoli. La standardizzazione della procedura si traduce nella realizzazione di un modello di indagine costituito da una tabella contenente varie voci da compilare in modo più esteso possibile. La tabella viene realizzata precedentemente all analisi, in funzione delle esigenze dettate dalla tipologia del sistema e dal livello di indagine che si vuole raggiungere. Pagina 10 DOTT. ING. KONSTANTINOS MILONOPOULOS
FMEA/FMECA Identificazione Codice che mette in correlazione il sistema analizzato (insieme di componenti base) ai progetti ed al quadro sinottico (se presente) della sala controllo. Non devono nascere ambiguità né nella lettura dei risultati né nella loro elaborazione. Componente Il sistema è analizzato componente per componente; è necessario codificare anche l elemento considerato, sempre per non creare condizioni di ambiguità. La codificazione assume peso rilevante quando si possono avere componenti strutturalmente simili, ma con funzioni distinte all interno di uno stesso sistema Descrizione In questa parte è fornita una descrizione sintetica delle funzioni, delle condizioni operative, e di eventuali parametri caratteristici, propri del componente e che partecipano influenzando sia le modalità di guasto sia i conseguenti effetti. La descrizione deve essere effettuata in forma sintetica, considerando solo quello che è necessario all analisi. Pagina 11
FMEA/FMECA Modi di guasto Vanno indicati e descritti tutti i possibili stati di fuori specifica del componente Effetti Una volta indicato il modo di guasto di un componente si devono valutare gli effetti direttamente collegati all evento, valutandone la trasmissione alla componentistica vicina. Per avere completezza nell enumerazione degli effetti, non vengono presi in considerazioni i vari sistemi di sicurezza. La procedura così seguita permette di analizzare la dinamica di un evento in modo libero e senza limitazione. Sistemi di protezione Si indicano i sistemi di protezione esistenti sul sistema e si correlano ai guasti ed agli effetti. Pagina 12
FMEA/FMECA Interventi In questa sezione sono indicate le possibili azioni che devono essere intraprese per migliorare l attuale sistema e portarlo ai livelli di affidabilità o di sicurezza desiderati. L intervento può essere di varia natura (strutturale, aggiunta di una ridondanza,...) e dipende strettamente dall elaborazione delle informazioni raccolte nei passi precedenti. Severity Parametro strutturato secondo quattro voci che definiscono la gravità del guasto Severity Effetti Valore I. Catastrophic Guasto con potenzialità di compromettere la missione e la macchina stessa 10 II. Critical Guasto che può rendere non operativa la macchina 7 III. Marginal Guasto apprezzabile non grave 4 IV. Minor Nessun effetto o effetti trascurabili 1 Occurrence Parametro, variabile da 1 e 10 (con dieci pari alla peggiore categoria e 1 la migliore), che descrive la probabilità che un guasto si verifichi durante la missione. Pagina 13
FMEA/FMECA Detection Parametro che definisce la capacità di riscontrare un guasto da parte dell operatore Detection Descrizione Valore Totalmente incerta L operatore non può accorgersi del guasto o non è presente alcun 10 operatore Molto remota Probabilità molto remota che l operatore possa accorgersi del guasto o 9 delle potenziali cause del guasto Remota Probabilità remota che l operatore possa accorgersi del guasto o delle 8 potenziali cause del guasto Molto bassa Probabilità molto bassa che l operatore possa accorgersi del guasto o 7 delle potenziali cause del guasto Bassa Probabilità bassa che l operatore possa accorgersi del guasto o delle 6 potenziali cause del guasto Moderata Probabilità moderata che l operatore possa accorgersi del guasto o 5 delle potenziali cause del guasto Moderatamente alta Probabilità moderatamente alta che l operatore possa accorgersi del 4 guasto o delle potenziali cause del guasto Alta Probabilità alta che l operatore possa accorgersi del guasto o delle 3 potenziali cause del guasto Molto alta Probabilità molto alta che l operatore possa accorgersi del guasto o 2 delle potenziali cause del guasto Quasi sicura L operatore si accorge del guasto o della potenziale causa 1 Risk Priority Number Prodotto di Severity x Occurence x Detection. Alti valori di questo parametro indicano una situazione di pericolo verso la quale porre una maggiore attenzione. Pagina 14
Esempio di applicazione della Tecnica FMEA Serbatoio di stoccaggio prodotto A Serbatoio di stoccaggio prodotto B Identificazione linea di collegamento fra serbatoio S1 e reattore R. Serbatoio S1 Componente valvola V1 di comunicazione posta tra contenitore della sostanza A e reattore Descrizione lo stato di conduzione normale è : valvola V1 normalmente aperta per permettere il deflusso della sostanza A Modi di guasto valvola V1 rimane completamente aperta quando era richiesta la chiusura Effetti flusso verso il reattore della sostanza A quando questo non era richiesto ; alta pressione nel reattore R alta temperatura nel reattore R prodotto finale non buono perché ricco della sostanza A. alto livello nel serbatoio finale F di raccolta. la ricchezza di tale sostanza nel serbatoio finale può interessare anche l area di lavoro: pericolo per la presenza della sostanza A nella zona di lavoro. Sistema di protezione misuratore di portata posto sulla linea, capace di registrare incrementi indesiderati della sostanza A e avvertire per mezzo di allarme; un sistema di aerazione capace di espellere dalla zona lavoro la presenza della sostanza A quando questa si disperde in aria Intervento aggiunta di una valvola di sfiato verso l esterno sul reattore; aggiunta di un misuratore di temperatura collegato ad un allarme, ecc Valvola V1 Reattore R Serbatoio S2 Valvola V2 Vasca di stoccaggio finale per il prodotto C Pagina 15
HAZOP (Hazard and Operability Analysis) L analisi si sviluppa attraverso l individuazione delle modalità di guasto di un componente, sottosistema o sistema. Le tipologie di guasto sono valutate secondo la logica causa-conseguenza-rimedio. Procedura preliminare a. esame attento e minuzioso del progetto, in modo da fornire una completa descrizione delle variabili b. indagine, in forma sistematica, su ogni parte per identificare il principio di azione delle deviazioni dalle specifiche progettuali e se ed in che modo le deviazioni possano generare disturbi all intero sistema. c. informazioni sullo stato attuale di funzionamento e sulle possibili configurazioni di criticità d. scomposizione dell impianto in una serie di sottosistemi a ciascuno dei quali sarà applicata la procedura Pagina 16
HAZOP (Hazard and Operability Analysis) Il sottosistema elementare o minimale con definiti confini, all interno del quale vengono analizzati i parametri di processo, prende il nome di nodo; il nodo si interfaccia con gli altri sottosistemi individuati mediante nodi di frontiera, i punti caratteristici del sottosistema stesso (flussi interni, componentistica di base e tutti gli strumenti o apparecchiature che possono essere causa prossima o remota di un evento indesiderato), sono indicati come nodi interni. Parole Guida NON, NIENTE Identifica la completa negazione delle intenzioni progettuali DI MENO Identifica un decremento di una variabile quantitativa PARTE DI Identifica un decremento di una variabile qualitativa INVECE DI Identifica la completa sostituzione di un intenzione DI PIU Identifica un aumento di una variabile quantitativa COSI COME Identifica un incremento di una variabile qualitativa AL CONTRARIO Identifica un opposto logico delle intenzioni progettuali Pagina 17
HAZOP (Hazard and Operability Analysis) Parametri di processo più comunemente investigati dalla Hazop Flusso Tempo Frequenza Miscelazione Pressione Composizione Viscosità Addizione Temperatura ph Voltaggio Separazione Livello Velocità Informazioni Reazione Diagramma di flusso della procedura HAZOP Pagina 18
HAZOP (Hazard and Operability Analysis) Nodo Sigla di riconoscimento della sezione analizzata (non creare ambiguità nell interpretazione dei risultati) Parametro di processo Si inserisce un parametro alla volta a cui si associa una parola giuda Parola guida Riportare la parola guida nel modulo è utile per dare completezza e per verificare l assenza di omissioni. Deviazione Descrivere le caratteristiche dell uscita dalle specifiche di progetto Causa Si intende l insieme di tutte le ragioni per le quali si è giunti alla deviazione. Le cause possono essere legate a fallimenti strutturali del sistema, ad errori umani ed a condizioni esterne al sistema stesso. Pagina 19
HAZOP (Hazard and Operability Analysis) Conseguenza Risultati di una deviazione e possono agire sulle altre parti del sistema o interessare un più ampio raggio (ad esempio, il rilascio nell ambiente di sostanze tossiche o comunque inquinanti). Sistemi di protezione Sistemi già presenti che concorrono nell azione di prevenzione della possibile deviazione o che tendono a ridurre le possibili conseguenze (allarmi, chiusure di emergenza, procedure di emergenza codificate). Intervento Devono essere enumerate tutte le possibili azioni atte a migliorare lo stato attuale del sistema. Gli interventi possono non appartenere necessariamente al sottosistema in esame, tuttavia devono essere riportati in corrispondenza della deviazione i cui effetti sono predisposti a fronteggiare. Pagina 20
Esempio di applicazione della Tecnica HAZOP Serbatoio di stoccaggio prodotto A Serbatoio di stoccaggio prodotto B Serbatoio S1 Serbatoio S2 Valvola V1 Valvola V2 Scheda n 1 Nodo 1 Descrizione : Linea di comunicazione S1 - R Parametro di processo Parola guida Deviazione Causa Conseguenza Sistemi di protezione Flusso da A NON al reattore R NON c è trasferiment o di A stoccaggio di A esaurito ; la condotta è rotta, si ha una perdita lungo la linea; la valvola di isolamento è stata chiusa; la valvola si è rotta e si ha una fuoriuscita di sostanza A. eccesso della sostanza B nel reattore ; prodotto finale fuori dalle specifiche di progetto; se la sostanza B è tossica e/o volatile si possono avere dei rilasci pericolosi nell ambiente di lavoro Periodiche manutenzioni sulla linea di collegamento Interventi possibilità di aggiunta di un allarme collegato ad un misuratore di portata che avverte di possibili variazioni di flusso; prevedere un sistema di chiusura ermetica per la vasca di stoccaggio finale a meno di rischio di esplosione Note Reattore R Vasca di stoccaggio finale per il prodotto C Pagina 21
Matrice Frequenze Conseguenze I metodi fin qui esposti sono adatti per lo più ad un'analisi qualitativa. In alcuni casi al termine dello studio si può effettuare una valutazione semi quantitativa costruendo la matrice frequenze conseguenze. Ogni incidente possibile viene attribuito ad una categoria sia in relazione alla frequenza di accadimento sia in relazione alla gravità delle conseguenze. La posizione nella matrice permette di dare una valutazione globale del rischio associato all'incidente. Il rischio viene così classificato: - inaccettabile : deve essere ridotto in tempi molto brevi, - indesiderabile : deve essere ridotto in tempi più ampi, spesso 12 mesi, - accettabile con verifica dei sistemi di controllo, - accettabile senza nessun vincolo. Pagina 22
Matrice Frequenze Conseguenze II I I Categoria della probabilità 4 3 2 IV IV IV III IV II III I II 1 IV IV IV III 1 2 3 4 I II Inaccettabile Indesiderabile Categoria delle conseguenze III IV accettabile con verifica accettabile senza verifica Pagina 23
Alberi di guasto (Fault Tree Analysis) Definizione Rappresentazione simbolica della struttura di un impianto, o di parte di esso, volta ad evidenziare le interconnessioni logiche che esistono tra i vari componenti per quanto concerne il corretto ed il cattivo funzionamento dell'impianto. Top Eve nt Evento di base Blocco Gerarchico Evento di base negato Gate AND Gate NAND Gate OR Gate NOT Gate NOR Gate EOR Pagina 24
Alberi di guasto (Fault Tree Analysis) simbologia dell'algebra booleana NOT X X i OR X j X iand X X EOR X i i X j j i X i X X i j X somma logica j prodotto logico ( X i X j ) ( X i X j ). A B A B A B Esempio di utilizzo del gate EOR Pagina 25
Albero di guasto per un impianto di alimentazione idrica di un utenza con sezione elettrica e idraulica I1 I2 M2 Due rami identici in ridondanza totale alimentati elettricamente da una stessa linea M1 P2 VNR3 VNR4 A Eventi di Base P1 VNR1 VNR2 15 - Guasto sistema di alimentazione elettrica. 14, 13, 12, 11 - Guasto valvole di non ritorno VNR4, 3, 2, 1 per bloccaggio in posizione aperta. 10, 9, 5, 4 - Guasto valvole di non ritorno VNR4, 3, 2, 1 per rottura dei perni. 8, 3 - Guasto pompe P2 e P1. 7, 2 - Guasto ai motori delle pompe M2 e M1 6, 1 - Guasto interruttori I2, I1 Pagina 26
Albero di guasto per un impianto di alimentazione idrica di un utenza con sezione elettrica e idraulica Manca portata nella sez. A Manca portata nei rami 1 e 2 Manca alimentazione elettrica ai motori Portata inversa nel ramo 1 Portata inversa nel ramo 2 Manca portata nel ramo 1 Manca portata nel ramo 2 Pagina 27 DOTT. ING. KONSTANTINOS MILONOPOULOS
Alberi di guasto Cause Comuni di Guasto abc La base per la costruzione di un albero di guasto è l indipendenza stocastica degli eventi base Cause comuni di guasto a b c b a c b d ce a c b Logica errata d ce abc d ce Logica corretta ATTENZIONE ALLE CAUSE COMUNI DI GUASTO Nella pratica si trovano numerosi esempi di cause comuni di guasto: ad esempio un incendio in una sala elettrica può mettere contemporaneamente fuori uso sia il sistema nervoso dell'impianto (trasmissione ed elaborazione segnali, logiche operative e di sicurezza), sia quello muscolare (motori, elettrovalvole). Pagina 28
I minimal cut sets ed i minimal path sets Un cut set è uno stato del sistema tale che il Top event si verifica; Un path set è uno stato del sistema per il quale il Top event non si verifica. Se, come spesso accade, il Top event coincide con il malfunzionamento di un parte dell'impianto un cut set rappresenta quello stato dei componenti del sistema che porta al malfunzionamento; il path set invece quello stato del sistema che porta al corretto funzionamento del subsistema. Un minimal cut set è un cut set che non comprende alcun altro cut set. La definizione di minimal path set o minpath èanaloga. Pagina 29
Metodo elementare di individuazione dei cut sets Regole gate AND il primo input del gate AND che stiamo risolvendo sostituisce l'indice del gate nella matrice mentre gli altri inputs sono inseriti nelle successive colonne libere uno per colonna, sulla stessa riga ove era presente l'indice del gate. gate OR il primo input del gate OR sostituisce l'indice che identifica il gate nella matrice e tutti gli altri inputs sono inseriti nelle successive righe libere uno per riga. Se sono presenti altri elementi nella riga in cui era presente il gate OR questi elementi devono essere ripetuti in tutte le righe in cui abbiamo inserito gli inputs del gate OR. A A B D B 1 D C 1 D 2 C 1 4 C 1 2 C 2 1 2 2 1 4 C 1 4 C 2 1 2 3 1 2 3 4 3 Pagina 30
Metodo elementare di individuazione dei cut sets Nella espressione finale della matrice ciascuna riga rappresenta un cut set per l'albero analizzato. Nel nostro caso: Cut set I : 1, 2, 2 Cut set II: 1, 2, 4 Cut set III: 1, 2, 3 Cut set IV: 1, 3, 4 Eliminando per ciascun cut set gli eventi ripetuti ed eliminando i cut set non minimi si ottengono infine i mincuts del sistema: Minimal cut set I: 1, 2 Minimal cut set II: 1, 3, 4. Pagina 31
Alberi degli eventi L'utilizzo degli alberi di guasto è spesso legato all'utilizzo degli alberi degli eventi (Event Trees). Presentano una tipica struttura ad albero in cui, a partire da un evento iniziatore si rappresentano le varie possibili sequenze di propagazione o di arresto dell'incidente. L'analisi con albero degli eventi è usualmente condotta ad un livello più generale sul sistema in esame rispetto all'albero di guasto. In molti casi si parte dall'albero degli eventi per individuare i Top events. Nell'albero degli eventi si considerano gli effetti positivi e negativi che i vari sistemi di sicurezza generano in conseguenza di un evento pericoloso iniziatore così da poter individuare i possibili scenari e le conseguenze dell'evento iniziatore al variare del modo di comportarsi del sistema. L albero degli eventi è un efficace strumento per l'analisi delle conseguenze di un evento dannoso e quindi per una classificazione della magnitudo delle conseguenze. Pagina 32 DOTT. ING. KONSTANTINOS MILONOPOULOS
Alberi degli eventi La procedura generale dell'analisi con albero degli eventi si evolve lungo i seguenti passi: identificazione dell'evento iniziatore identificazione dei sistemi di sicurezza progettati per mitigare gli effetti dell'evento iniziatore. costruzione dell'albero degli eventi. descrizione delle sequenze di propagazione dell'incidente e delle conseguenze dell'evento iniziatore. Nella fase di costruzione dell'albero si utilizza una sorta di tabella in cui ogni colonna o sezione verticale è assegnata all'evento iniziatore o ad un sistema di sicurezza. Pagina 33
Alberi degli eventi Partendo dall'evento iniziatore, in genere posto in posizione centrata verticalmente ed a sinistra, ci si muove verso l'altra estremità della tabella. Per ogni colonna, se il relativo sistema di sicurezza interagisce con la propagazione dell'incidente, si esegue una ramificazione. Se per semplicità consideriamo un comportamento binario (buonocattivo) del sistema, avremo uno sdoppiamento di ciascun ramo in due: il primo relativo al buon funzionamento di sicurezza; il secondo relativo invece al cattivo funzionamento dello stesso. Se per una colonna il relativo sistema di sicurezza non ha influenza alcuna sul propagarsi dell'incidente non vi è ramificazione in tale colonna. Pagina 34
Alberi degli eventi (esempio) Consideriamo un reattore chimico di ossidazione l'evento iniziatore è perdita di acqua di raffreddamento del reattore. I sistemi di sicurezza presenti, in ordine cronologico di intervento, sono: - dispositivo di allarme per alta temperatura nel reattore che allerta l'operatore alla temperatura T1. - operatore che ristabilisce il flusso d'acqua di raffreddamento nel reattore. - dispositivo automatico di chiusura che arresta la reazione alla temperatura T2>T1. Il primo dispositivo di sicurezza interviene comunque sul sistema, mentre l'operatore agisce solo se il primo dispositivo ha avuto successo. Così il sistema di chiusura automatica agisce solo se i sistemi precedenti hanno fallito. Pagina 35 DOTT. ING. KONSTANTINOS MILONOPOULOS
Alberi degli eventi (esempio) Dei cinque possibili scenari soltanto due presentano condizioni di insicurezza e di pericolo. Inoltre dei due l'ultimo è senza dubbio più pericoloso poiché, per il fallimento del dispositivo di allarme alla temperatura T1, l'operatore non è a conoscenza dell'irregolarità di funzionamento del sistema. Il caso trattato è per ovvie ragioni estremamente semplice ma aiuta a comprendere la tecnica di realizzazione dell'albero degli eventi e l'importanza che può avere in una completa analisi di rischio. Il malfunzionamento di ciascuno dei tre dispositivi di sicurezza si presta ad essere preso come Top event per tre alberi di guasto distinti e quindi limitati ad una piccola parte del sistema. Pagina 36
Alberi degli eventi (esempio) Perdita di acqua di Allarme di alta L'operatore ristabilisce Dispositivo automatico raffreddamento per il temeperatura allerta il flusso corretto di arresta la reazione reattore di ossidazione l'operatore a T1 acqua nel reattore alla T2 A B C D ABCD Sequenza di Incidente Condizione di sicurezza Ritorno alle condizioni normali ABCD Condizione di sicurezza Arresto automatico Evento Iniziatore A Successo ABCD Condizione di pericolo Reazione incontrollata Operatore al corrente Fallimento ABD Condizione di sicurezza Arresto automatico ABD Condizione di pericolo Reazione incontrollata Operatore non al corrente Pagina 37