Sei sulla pagina 1di 17

Sulluso postdittivo dellalbero dei guasti

Marco Buldrini,(1) Paolo Vestrucci (1,2) (1) NIER Ingegneria, Via Al tabella 3 Bologna; (2) DIENCA, Facolt di Ingegneria dellUniversit di Bologna. XXI Convegno 3ASI, Roma 22-23 novembre 2005

Luso predittivo dellalbero dei guasti (ADG) cosa ben nota. Meno consueto limpiego postdittivo: -levento TOP si verificato -la stima della frequenza risulta superflua o comunque non prioritaria Caso di un procedimento giudiziario:i diversi analisti (cio i periti nominati dal giudice e dalle parti in causa) sono chiamati a ricostruire laccaduto, seguendo di fatto un procedimento top-down del tutto analogo a quello necessario per la costruzione dellADG I lavori peritali dimostrano come sul piano tecnico si possano fare ipotesi molto diverse e giungere a conclusioni contrapposte Esigenza di una metodologia di lavoro che aiuti i periti, in particolare il CTU, a delimitare il pi possibile larea delle incertezze La costruzione dellADG per il TOP in esame, cio per il fatto accaduto, permette di incorporare le evidenze acquisite dalle indagini a livello di eventi base (o situazioni intermedie) verificatisi o non verificatesi e quindi di selezionare la o le sequenze responsabili dellevento

Introduzione

Predittivo vs- Postdittivo


a) b) c) d) e) f) Predittivo quali sono i TOP di interesse per il sistema in esame? quali eventi concorrono, e in che modo, al raggiungimento del TOP? qual la probabilit di ciascun TOP? quali sono le conseguenze del TOP? qual il rischio risultante? quali sono le misure preventive e protettive per la riduzione dl rischio. Postdittivo non sono relativi al punto (a), in quanto c un ben preciso TOP che si impone sugli altri (ovviamente quello verificatosi); non sono relativi al punto (c), in quanto il TOP di interesse accaduto, qualunque fosse la probabilit; non sono relativi al punto (d), in quanto le conseguenze sono direttamente riscontrabili nel danno verificatosi; non sono relativi al punto (e) ed (f), per gli stessi precedenti motivi.

Il caso di una esplosione di polveri Limpianto di essiccazione

Il ruolo della temperatura


La temperatura desercizio senza dubbio uno dei parametri che maggiormente deve essere controllato per garantire il corretto funzionamento dellimpianto. Durante la marcia, il rispetto di tali limiti massimi di temperatura garantito da un controllo automatico che, in base alla temperatura misurata in ingresso ai cicloni, (con set point a 110C), regola lapertura della valvola tre-vie che determina la portata di olio diatermico circolante nello scambiatore di calore, agendo quindi sulla temperatura dellaria in ingresso al mulino. La temperatura, non solo influisce notevolmente sulla produttivit dellimpianto (allaumentare della temperatura di set point si accorciano quantomeno i tempi di avvio dellimpianto), ma costituisce anche una delle variabili pi critiche per la sicurezza (allaumentare della temperatura diminuiscono sicuramente i margini di sicurezza nella conduzione dellimpianto). Sulla base di prove sperimentali si era stabilito che: - limpianto deve essere esercito impostando la temperatura di set point in ingresso ai cicloni (TC2) a 110C, a cui corrisponde una temperatura di uscita al mulino sicuramente inferiore ai 125C. - il sistema antincendio, al superamento dei 125C in uscita al mulino, attiva un allarme sia acustico che visivo e immette acqua attraverso un ugello posto immediatamente a monte del mulino.

Lalbero dei guasti


Esplosione all'interno dell'impianto Gate1

innesco Gate2

concentrazione superiore al LEL Gate3

temperatura superiore a 128C Gate4

scintille Gate5

portata d'aria insufficiente Gate8

accumulo di polvere nel mulino Gate9

controllo di processo non conforme Gate6

mancato intervento correttivo del sistema di ... Gate7

presenza di cor pi estranei (es. bulloni) Event1

mal funzionamento ventilatori Event7

malfunzionamento manometri Event8

ostruzione della g riglia Gate10

alimentazione di solo ricircolo Gate11

error e umano - set point ai cicloni >110C Event2

malfunzionamento sistema di controllo ... Event3

mancato funzionamento della valvola tre vie Event4

mancato funzionamento allarme alta T per ... Event5

disattivazione/tacitazione seg nale di allarme Event6

fango eccessivamente umido Event9

fango non conforme Event10

mancata alimentazione fang o fresco Gate12

indebita alimentazione ricircolo Gate13

intasamento e blocco motore Event11

malfunzionamento del blocco impianto (se in ... Event12

errore umano di mancato arresto ricircolo (se in ... Event13

Gli eventi iniziatori

I cut set

1/2

I cut set

2/2

Luso postdittivo
Modifica in senso postdittivo: eliminare i percorsi che alla luce delle prove raccolte risultano non proponibili, a posteriori. In termini analitici, si procede allanalisi di ogni cut set, al fine di valutarne la congruenza con le condizioni in essere al momento del fatto.

Innanzi tutto, si pu osservare che gli eventi 1, 2, 3 e 4 sono tra loro in or, ovvero, sufficiente il verificarsi di uno solo di essi. Lindagine ha acquisito levidenza dellevento 2 (errore umano - set point ai cicloni impostato a T>110C); esso da considerarsi certo, in quanto: - in riferimento ai valori di temperatura riportati nei verbali di inchiesta ed a quanto riportato circa la temperatura di set point da impostare in ingresso ai cicloni (110C), evidente che limpianto fu deliberatamente condotto (probabilmente per accelerare lavviamento) in regime di temperature notevolmente superiori alle massime consentite; - altrettanto evidente dallindagine che tale regime di temperatura non sia da ascrivere ad un malfunzionamento (eventi 3 e 4) ma piuttosto ad un comportamento volontario delloperatore che ha manualmente variato la temperatura settata nel quadro di controllo, - la temperatura elevata di per s condizione sufficiente al verificarsi dellinnesco e non si raccolta nessuna evidenza dllevento 1.

Ne consegue che il numero dei cut set si riduce ai primi 10 dei 35 visti

Consideriamo ora gli eventi 5 e 6 (anchessi in OR), si pu ritenere levento 6 certo se si considera che: loperatore era a conoscenza di quali dovessero essere i corretti valori di temperatura (era stata svolta unadeguata attivit di formazione in merito); per cinque volte loperatore ha riportato sul foglio di marcia temperature oltre la soglia di allarme, senza considerare queste come situazioni anomale. Di conseguenza escludibile levento 5; restano quindi da valutare i cut set deal 6 al 10.

Il cut set n6 da considerarsi certamente non realistico, in quanto prevede sia un guasto ai ventilatori, (event 7), sia un guasto al sistema di monitoraggio sul loro funzionamento (event 8), oltre ad una mancata rilevazione di tali guasti da parte delloperatore. I cut set da valutare restano, quindi quelli identificati dai numeri dal 7 al 10. Gli eventi 9 (fango eccessivamente umido) e 10 (fango non conforme) sono sicuramente da considerarsi equivalenti ovvero la distinzione fra le due situazioni irrilevante al fine del caso in essere. Ad ogni modo, la condizione relativa allevento 10 da ritenersi pi credibile in quanto congrua con le informazioni evidenziate relative al fango presente in impianto anche nelle due giornate precedenti. Restano da analizzare gli eventi 12 (malfunzionamento del blocco impianto - se in funzionamento automatico) e 13 (errore umano di mancato arresto ricircolo - se in funzionamento manuale).

A questo punto lADG diventato:


Esplosione all'interno dell'impianto Gate1

innesco Gate2

concentrazione superiore al LEL Gate3

temperatur a super iore a 128C Gate4

accumulo di polver e nel mulino Gate9

contr ollo di pr ocesso non conforme Gate6

mancato intervento cor rettivo del sistema di sicur ezza Gate7

ostruzione della g rig lia Gate10

alimentaz ione di solo ricircolo Gate11

er ror e umano - set point ai cicloni > 110C Event2

disattivazione/tacitazion e seg nale di allarme Event6

fang o non confor me Event10

mancata alimentazione fang o fr esco Gate12

indebita alimentazione ricircolo Gate13

intasamento e blocco motore per alimentazione del fresc Event11

malfunzionamento del blocco impianto ( se in funzionamento automati Event12

er ror e umano di mancato ar resto ricircolo (se in funziona Event13

In pratica sarebbe necessario verificare se, al momento dellincidente, limpianto era condotto (per quanto riguarda i trasporti) in modalit automatica oppure in modalit manuale. A tal proposito, lindagine ha appurato che il fango trattato il giorno del fatto era particolarmente fuori-standard: spesso creava problemi di alimentazione e causava larresto del cassone piccolo bloccando la produzione (infatti, se si conduce limpianto in modalit automatica e si arresta lalimentazione del fango fresco, si produce automaticamente il blocco impianto). Visti i problemi di cattiva alimentazione del fango, presumibile che, al momento dellincidente, limpianto fosse gestito non in automatico, ma con almeno i trasporti in manuale; in questo modo, infatti, era possibile riarmare il quadro, ogni volta che saltava il motore del cassone piccolo, senza dover riavviare limpianto. Inoltre, in caso di ostruzioni nella griglia era possibile interrompere per un tempo maggiore lalimentazione del fresco per cercare di eliminare lostruzione.

Verosimilmente, gli operatori decisero di condurre limpianto mantenendo temperature superiori ai limiti consentiti e per fare ci modificarono il valore di set point ai cicloni impostandolo ad una temperatura superiore ai 110C (probabilmente 140C evento 2). In tali condizioni, si attiv, molto probabilmente, lallarme antincendio (T superiore a 125C), e quindi gli operatori tacitarono lallarme o comunque non lo tennero in considerazione (evento 6). Poich il fango alimentato era poco adatto ad essere trattato nellimpianto (event 10) e causava frequenti intasamenti e difficolt di alimentazione (come era gi accaduto nei giorni precedenti), presumibile che per evitare continue interruzioni sia stato deciso di condurre limpianto con i trasporti in manuale escludendo, di fatto, gli interblocchi di sicurezza. Una volta giunti a regimi di alimentazione superiori al massimo consentito in quelle condizioni, si verific un intasamento del mulino con conseguenti sbuffi. A questo punto si decise di spegnere limpianto per procedere alla pulizia della griglia senza, per altro, seguire la procedura di arresto (che avrebbe previsto lo spegnimento della caldaia solo dopo aver ridotto lalimentazione fino a 10 Hz). Lincidente, quindi, molto probabilmente avvenne perch, volendo spegnere limpianto, si arrest la caldaia e si blocc lalimentazione del fresco (volontariamente o pi probabilmente perch si blocc il motore del cassone piccolo event 11), ma, essendo in manuale, non si arrest lalimentazione del ricircolo: la concentrazione di polvere aument per lostruzione e la temperatura si innalz bruscamente oltre i 226C a causa del mancato ingresso di fango fresco, provocando un abbassamento dellumidit e quindi lesplosione nel mulino.

Alcune considerazioni finali

Luso dellADG nel contesto di procedimenti giudiziari, a nostra conoscenza, ancora assai limitato; nonostante ci, esso sembra ragionevole e promettente. Infatti, lADG permette di identificare tutte le sequenze che concorrono ad un determinato evento; esso pertanto uno strumento idoneo allanalisi dellevento, effettivamente verificatosi, come nel caso di un procedimento peritale nel contesto di un procedimento giudiziario. I dati dellindagine tendono a selezionare alcuni, possibilmente uno solo, dei rami dellalbero. Se assunto come base metodologica comune a tutti i periti, lADG tende a ridurre il livello di discordanza delle analisi svolte dai diversi periti; in particolare, potrebbe essere usato dal CTU per interagire con i CTP in modo strutturato e razionale. Nellesperienza degli autori, tuttavia, lADG risulta nella sostanza poco conosciuto e quindi non capito nelle sue potenzialit e non utilizzato. Unassociazione come la 3ASI potrebbe forse farsi promotrice della diffusione di questo strumento nellambito dei procedimenti giudiziari e pi in generale dei contenziosi legati a malfunzionamenti, incidenti e infortuni.