Analisi di Sicurezza di Apparecchiature

ed Impianti in Pressione
Analisi di Sicurezza - Introduzione

In relazione alle apparecchiature in pressione per sistemi di prevenzione si intendono ad

esempio i dispositivi di controllo e regolazione, allarme, blocco e le soluzioni progettuali
finalizzate a prevenire il verificarsi di un’anomalia.

Per sistemi di protezione si intendono i dispositivi che intervengono una volta che
l’anomalia si è gia verificata e che hanno la funzione di limitare le conseguenze e riportare
i parametri di funzionamento nelle normali condizioni di processo.
Analisi di Sicurezza & Normativa

Vecchio Approccio (DM 21.11.72 – DM 21.5.74 – DM 1.12.75)

Per la fase di esercizio relativa agli apparecchi a pressione (di gas, vapori o miscele) deve
essere redatta una relazione tecnica (relazione di primo impianto) che ha lo scopo di
dimostrare che le condizioni di esercizio degli apparecchi in esame ed i relativi dispositivi
di controllo/regolazione e di protezione sono confomi alle norme (ossia sono idonei a
mantenere i parametri di esercizio nei limiti di processo, evitando che si creino le
condizioni che possono portare ad un incidente, Raccolta E – E1B5).

La relazione deve contenere, inoltre, il programma dei controlli atti a giustificare

l’affidabilità dei dispositivi nel periodo tra due verifiche successive.

L’obbligo della relazione impone di fatto la necessità di una prima analisi di sicurezza
dell’impianto affidata all’utente o al progettista.
Analisi di Sicurezza & Normativa

Nuovo Approccio (Direttiva 97/23/CE – PED)

Il fabbricante dell’attrezzatura ha preliminarmente l’obbligo di analizzare i rischi per

individuare quelli connessi con la sua attrezzatura a causa della pressione e deve quindi
progettarla e costruirla tenendo conto della sua analisi (art.3).

La direttiva, impone i seguenti obblighi al fabbricante delle attrezzature:

ƒ Analizzare i rischi ed identificare quelli applicabili alla propria attrezzatura;

ƒ Eliminare o ridurre questi rischi;

ƒ Applicare misure di protezione riguardo i rischi che non possono essere eliminati;

ƒ Informare l’utilizzatore dell’attrezzatura circa i rischi residui;

ƒ Ove sia prevedibile un uso scorretto, l’attrezzatura in pressione deve essere

progettata in modo da eliminare i pericoli derivanti da tale uso.
Dispositivi di Protezione

Le apparecchiature (i.e. serbatoio, reattore chimico, generatore di vapore, etc.)

all’interno delle quali possano avvenire reazioni tali da produrre esplosioni
termiche o chimiche, con conseguenti rapidi aumenti di pressione, debbono
essere munite di dispositivi di sicurezza in modo da garantire che la pressione
e/o la temperatura non superi quella di progetto delle apparecchiature stesse o
dell’impianto.

Per ogni anomalia che può causare una sovrapressione all’interno di una o più
apparecchiature viene calcolata la portata di fluido da scaricare attraverso i
dispositivi di protezione (valvole di sicurezza, dischi a frattura prestabilita, etc)
affinchè non venga superata la pressione/temperatura di progetto
dell’apparecchiatura stessa.
Dimensionamento dei dispositivi

Il dimensionamento dei dispositivi di sicurezza è strettamente connesso con la

disposizione impiantistica di cui l’apparecchiarura da proteggere fa parte e con le cause
che determinano l’intervento di detti dispositivi; queste cause possono essere le seguenti:

1. anomalie di esercizio: ossia per errori di manovra, disservizi dei controlli automatici
o dei meccanismi di regolazione automatica compresi i dispositivi di riduzione di
pressione con o senza by-pass, apporto di calore da sorgenti esterne non dovuto ad
incendio, etc.;

2. incendio esterno (di sostanze infiammabili, solide o liquide presenti nel locale di
installazione dell’apparecchio o nelle immediate vicinanze e presenti in quantità tali
da poter alimentare un’incendio).

Per il dimensionamento del dispositivo di sicurezza si assume, come valore di portata q, il

il maggiore tra quello relativo al caso riconducibile ad anomalie di esercizio
dell’apparecchio e quello calcolato per incendio esterno allo stesso.
Dispositivi di Sicurezza

PSV

pe

R. Disk

pi
Valvole di sicurezza (PSV)

corpo valvola

Le valvole di sicurezza (PSV) hanno lo scopo di

proteggere le membrature delle apparecchiature a
pressione da qualsiasi innalzamento anomalo della
pressione al di sopra della pressione massima
consentita (pressione di bollo delle membrature).

Hanno la funzione di scaricare il fluido contenuto

all’interno dell’apparecchiatura quando viene
raggiunta una pressione max stabilita.
uscita fluido

ingresso fluido
Valvole di Sicurezza (PSV)

esempio di valvola a molla diretta

Una valvola di sicurezza è costituita da un
corpo metallico al cui interno è ricavato un
condotto che ha lo scopo di mettere in
comunicazione diretta con l’atmosfera la parte
in pressione del recipiente; questo condotto in
molla
esercizio è chiuso da un accessorio valvola
denominato «otturatore».

Le valvole di sicurezza vengono sede

comunemente distinte, a seconda del sistema

con cui viene realizzato l’otturatore, in:

ƒ a peso diretto;

ƒ a peso e leva; otturatore

ƒ a molla diretta.
Valvola a Molla Diretta

E’ il tipo di valvola di uso più comune.

In questo tipo di valvola il carico asta
guidamolla
sull’otturatore è dovuto all’azione superiore
esercitata da una molla antagonista
molla uscita
(compressa tra una parte fissa e
l’otturatore stesso).
otturatore
Quando la forza dovuta alla pressione
interna all’apparecchio da proteggere
supera la forza agente, per azione della
molla sull’otturatore, questo si alza e ingresso fluido

permette la rapida fuoriuscita del fluido

contenuto nell’apparecchiatura.
PSV & Dimensionamento

Il dimensionamento di una valvola di sicurezza consiste fondamentalmente nella scelta

dell’area della sezione minima trasversale di entrata valvola.

Il metodi di calcolo utilizzabili sono diversi a seconda del fenomeno fisico che genera la
sovrapressione nell’apparecchiatura da proteggere.

Generalmente le valvole di sicurezza sono utilizzate per proteggere un’apparecchiatura da

sovrapressioni originate da fenomeni non chimici (surriscaldamenti, occlusioni della linea
di scarico, etc.), in questo caso per la non eccessiva rapidità del fenomeno è possibile
determinare “a priori” la portata che deve essere scaricata.

Il successivo dimensionamento della sezione trasversale di ingresso valvola è

relativamente semplice in quanto basato sull’applicazione delle equazioni che descrivono
l’efflusso di un fluido da un recipiente; si riportano di seguito le equazioni indicate nella
normativa italiana sull’esercizio degli apparecchi a pressione (DM 21.5.74 – Raccolta E)
PSV & Metodo di dimensionamento

Caso di miscele gassose o vapori

Occorre innanzitutto distinguere il caso di efflusso sonico o da quello subsonico del gas; il
primo caso si realizza quando il rapporto tra la pressione p1 nell’apparecchiatura durante
la fase di scarico della valvola e la contropressione p2 (pressione a valle del dispositivo) è
maggiore del valore critico:

k
⎛ p1 ⎞ ⎡ k + 1⎤ k −1
⎜⎜ ⎟⎟ = ⎢ ⎥
⎝ p2 ⎠c ⎣ 2 ⎦

in cui k è l’esponente dell’equazione di espansione isentropica, calcolato alla pressione p1

ed alla temperatura del gas o vapore T1 nell’apparecchio.
...segue – PSV & Dimensionamento

Nel caso di efflusso sonico (di gas o vapore), la norma italiana sull’esercizio (DM 21.5.74 -
Raccolta E cap.E1D2) riporta la formulazione per la verifica della sezione minima
trasversale netta dell’entrata valvola:

q v1
A = ⋅
( 0 . 9 ⋅ K ) ⋅ (113 . 8 ⋅ C ) p1
...segue – PSV & Dimensionamento

⎛ q ⎞ v1
A = ⎜⎜ ⎟⎟ ⋅
nella formula si considera: ⎝ ( 0 . 9 ⋅ K ) ⋅ (113 . 8 ⋅ C ) ⎠ p1

ƒ A è l’area della sezione minima trasversale netta dell’ingresso valvola (cm2);

ƒ q è la portata ponderale massima da scaricare (kg/h);

ƒ K è il coefficiente di efflusso (è determinato sperimentalmente e certificato dal

costruttore della valvola – rappresenta il rapporto tra la portata di fluido effettiva/portata
teorica);

ƒ p1 rappresenta la pressione corrispondente alla massima portata q: è la pressione

nell’apparecchio protetto durante la fase di scarico - è espressa in (bar);

ƒ T1 è la temperatura del fluido all’ingresso della valvola durante la fase di scarico (in K);

ƒ v1 è il volume specifico del fluido (in m3/kg) alle condizioni di scarico p1 – T1;

ƒ C è il coefficiente di espansione: ⎛ k +1 ⎞
⎜ ⎟
⎛ 2 ⎞ ⎝ k −1 ⎠
C = k ⋅⎜ ⎟
⎝ k + 1 ⎠

(se il rapporto k è sconosciuto si assume k=1 → C=0,607).

...segue – PSV & Dimensionamento

Nel caso la pressione interna risulti inferiore al valore critico per lo scarico (di gas o
vapore) a velocità sonica, la portata di scarico è dipendente anche dalla contropressione a
valle della valvola (ossia la p2); in tal caso per il dimensionamento, la norma italiana,
raccomanda di utilizzare la medesima formulazione moltiplicata per un coefficiente di
sicurezza (>1), dichiarato dal costruttore della valvola stessa.

Per quel che riguarda le valvole destinate a scaricare liquidi (surriscaldati o non) il
dimensionamento viene effettuato dal costruttore della valvola (o dall’utente) tenendo
conto delle caratteristiche termodinamiche del fluido da scaricare.
...segue – PSV & Dimensionamento

Caso di incendio esterno

La normativa italiana, per i recipienti contenenti liquidi in equilibrio con la loro fase
gassosa il valore della portata q in caso di incendio, riporta la seguente formulazione:

0.82
F⋅S
q = 155.000 ⋅
L

nella formula si considera:

ƒ S la superficie esposta al fuoco del recipiente a contatto del liquido (in m2);

ƒ F fattore di isolamento termico ();

ƒ L il calore latente di vaporizzazione del liquido alla pressione dell’apparecchio p1

(kJ/kg).
...segue – PSV & Dimensionamento
0.82
F⋅S
q = 155.000 ⋅
L
...segue - Caso di incendio esterno

Per quel che riguarda la superficie esposta al fuoco S si deve considerare quella inclusa in
un’altezza di almeno 8 metri sopra ogni piano sul quale possono accumularsi le sostanze
infiammabili, o nel caso di sfere, quella compresa tra il piano precedente e la quota del
diametro orizzontale massimo oppure 8 metri (prendendo la maggiore tra le due).

Nella superficie S deve includersi, nel caso il serbatoio è installato a distanza inferiore a 7
metri da manufatti suscettibili di incendio, la porzione del recipiente esposto alla
radiazione termica.
...segue – PSV & Dimensionamento
F ⋅ S0.82
q = 155000 ⋅
L
...segue - Caso di incendio esterno

Il fattore di isolamento termico F () è funzione del coefficiente di trasmissione U della

coibentazione (W/m2°C):

ƒ per serbatoi nudi e U > 22 → F=1;

ƒ per 11 < U ≤22 → F=0,5

ƒ per U ≤ 11 → F=0,3

Si ricorda che U=λ/s dove s (espresso in metri) rappresenta lo spessore dell’isolante e λ

(espresso W/m°C) è la conducibilità termica dello stesso.

In ogni caso l’isolante deve essere termicamente incombustibile.

Dischi di Rottura (RD)

Un disco di rottura (o dispositivo a frattura prestabilita)

è costituito da una membrana, generalmente, in
materiale metallico (Al, Ag, Fe, Ni, Ta, etc.)

in alcuni casi sono ricoperti di materiale plastico inerte

(i.e. teflon, resine, etc. quando vi sono problemi di
corrosione)

o materiali fragili quale grafite o porcellana (hanno

principalmente proprietà meccaniche indipendenti dalla
temperatura di funzionamento).
...segue - Dischi di Rottura (RD)

La membrana è trattenuta tra due flange che sono

connesse all’apparecchio da proteggere.

La scelta del materiale costituente il disco va fatta

tenendo conto della pressione di rottura richiesta, del
diametro del disco, della resistenza alla deformazione ed
alla corrosione, delle temperature di lavoro.

I dischi convenzionali sono del tipo piano o concavo

nella direzione dell’ambiente da proteggere dalla
sovrapressione; essi lavorano in trazione e si rompono
automaticamente per cedimento del materiale quando la
pressione raggiunge un limite prefissato.
...segue - Dischi di Rottura (RD)

È utilizzato anche il tipo rovesciato (reverse buckling), sono

cioè convessi verso la zona da proteggere e lavorano a
compressione. La rottura avviene lungo apposite linee a
minor resistenza (incisi) o perchè opportunamente tagliati
da lame incorporate nel supporto; viene così realizzata la
rottura del materiale in regime elastico e non plastico.

Questi dischi sono maggiormente adatti per applicazioni

nelle quali il disco deve essere resistente a condizioni di
vuoto o a contropressioni generate nell’apparecchio da
proteggere.
Disco di Rottura (reverse)
Dischi di Rottura & Proprietà

I dischi di rottura sono utilizzati quando è necessaria la protezione contro rapidi

innalzamenti di pressione che possono verificarsi per esplosioni di gas o polveri o per
sviluppo incontrollato di una reazione esotermica.

Il disco di rottura può garantire che in tempi molto brevi (∝ millisecondi) si renda
disponibile una grande superficie di scarico in grado di proteggere in modo efficace
l’apparecchiatura interessata dalla sovrapressione di esercizio.

Il dischi di rottura non hanno meccanismi o parti mobili e quindi sono stagni sia sotto
pressione che sotto vuoto; necessitano di una minore manutenzione rispetto alle valvole.

Principale inconveniente dei dischi si presenta quando si ha la rottura, in quanto il

contenuto del recipiente sul quale è istallato si espande sino alla pressione atmosferica
(esterna) ed è parzialmente scaricato all’esterno; questo comporta la fermata dell’impianto
(per la sostituzione del disco) e l’emissione in atmosfera di prodotti che possono essere
combustibili/infiammabili o tossici.
Dischi di Rottura & Dimensionamento

Il dimensionamento dei dischi a rottura consiste nella determinazione dell’area di efflusso

e della pressione di frattura (ossia la pressione alla quale è prevista la rottura del
dispositivo). I metodi di calcolo utilizzabili sono diversi a seconda del fenomeno fisico che
genera la sovrapressione nell’apparecchiatura.

Anche per i dispositivi a frattura prestabilita vale la considerazione secondo la quale se la

sovrapressione all’interno dell’apparecchio è dovuta a fenomeni non chimici è piuttosto
semplice schematizzare il campo di moto generato dall’efflusso del fluido attraverso il
dispositivo e quindi la determinazione della portata che deve essere scaricata mediante il
dispositivo stesso.
Dischi di Rottura & Dimensionamento

Miscele Gassose

Occorre sempre distinguere il caso di efflusso sonico o da quello subsonico; il caso di

efflusso sonico, come visto, si ha quando il rapporto tra la pressione dell’apparecchiatura
da proteggere (che si suppone pari alla pressione di rottura del dispositivo pr) e la
contropressione (la pressione esterna pa) è maggiore del valore critico:

k
⎛ pr ⎞ ⎡ k + 1⎤ k −1
⎜⎜ ⎟⎟ = ⎢ ⎥
⎝ pa ⎠ c ⎣ 2 ⎦

in cui k è l’esponente dell’equazione di espansione isentropica, calcolato alla pressione di

rottura pr ed alla temperatura del gas T nell’apparecchio.
...segue – R.D. & Dimensionamento

In condizioni di salto critico ossia di efflusso sonico (di solo gas), la norma
italiana sull’esercizio degli apparecchi a pressione (Raccolta E cap.E1D4)
riporta la seguente formulazione per il dimensionamento della sezione minima
trasversale netta del disco e dei condotti di ingresso e uscita in corrispondenza
del dispositivo a frattura prestabilita:

q Z ⋅T
A = ⋅
0 . 62 ⋅ ( 394 . 9 ⋅ C ) ⋅ p1 M
...segue – R.D. & Dimensionamento
⎛ q ⎞ Z ⋅T
si considera: A = ⎜⎜ ⎟⎟ ⋅
⎝ 0 . 62 ⋅ 394 . 9 ⋅ C ⋅ p1 ⎠ M

• A è l’area della sezione minima trasversale netta dell’orifizio (cm2);

• q è la portata ponderale massima da scaricare (kg/h);

• p1 rappresenta la pressione corrispondente alla massima portata q: è la pressione

nell’apparecchio protetto durante la fase di scarico (corrisponde a pr) - è espressa in
(bar);

• T è la temperatura del gas a monte del disco durante la fase di scarico (K);

• Z è il fattore di comprimibilità del fluido alla pressione p1-T1 (si assume uguale ad 1 se
non si conosce il valore effettivo);

• M è il peso molecolare del gas (kg/kmol);

• C è il coefficiente di efflusso o espansione: ⎛ k +1 ⎞

⎜ ⎟
⎛ 2 ⎞ ⎝ k −1 ⎠
C = k ⋅⎜ ⎟
⎝ k +1⎠

(se il rapporto k è sconosciuto si assume k=1 → C=0,607).

...segue – R.D. & Dimensionamento

In caso di salto non critico la pressione risulta inferiore al valore critico pc (caso
di efflusso subsonico del gas), la portata di scarico è dipendente anche dalla
pressione a valle del disco (pa); in tal caso per il dimensionamento del disco, la
norma italiana citata, prescrive di utilizzare la medesima formulazione
moltiplicata per un coefficiente di sicurezza (>1), dichiarato dal costruttore del
dispositivo a frattura prestabilita che si è scelto di utilizzare.
 Recipienti in Pressione
&
Tecniche di Analisi dei Rischi
PV & Tecniche di Analisi dei Rischi

Identificazione dei pericoli

ƒ FMEA/FMECA Failure Mode and Effects Analysis (& Criticality Analysis)

Stima delle probabilità di accadimento

ƒ FAULT TREE Albero dei Guasti (FTA)

PV & Tecniche di Analisi dei Rischi

FMEA/FMECA
Sono metodi di analisi di affidabilità intesi ad identificare i guasti di componenti o
dispositivi di sicurezza che hanno conseguenze significative sulla funzionalità del
sistema nella applicazione considerata.

Partendo dalle caratteristiche dei guasti degli elementi base del sistema (modi di
guasto) e dalla struttura del sistema, la FMEA determina gli effetti di tali modi di
guasto sulla funzionalità complessiva, la FMECA associa anche una valutazione
numerica di tali effetti (criticità).
Esempio di applicazione - FMEA

HLS HLA

LIC

Vr1 T1

A LLS B
P1
G
Esempio di applicazione - FMEA

FMEA – Failure Mode & Effects Analysis

EFFETTI
DISPOSITIVI DI TOP
COMPONENTE MODO DI GUASTO
SUL COMPONENTE SUL SISTEMA PROTEZIONE EVENT

Mancata
Mancata apertura Basso livello in T1 alimentazione al TOP 2
sistema B
Cavitazione pompa Blocco pompa P1
TOP 3
P1 per basso livello LLS

Blocco alto livello

HLS, con
segnalazione di
Valvola di Tracimazione nel allarme HLA per
regolazione Mancata chiusura Alto livello in T1 bacino di intervento operatore. TOP 1
Vr1 contenimento
Rilevazione di vapori
infiammabili nel
bacino

Rilascio di liquido
Rilevazione di vapori
Perdita tenuta stelo infiammabile nel
------- infiammabili nel TOP 1
valvola bacino di
bacino
contenimento
Analisi FMECA

impianto
impianto

serbatoio
serbatoio-- generatore
generatoredidi linee
lineediditrasporto
trasporto
accumulatore
accumulatoredidiv.v. vapore
vaporen.1
n.1

dispositivi
dispositivididi dispositivi
dispositivididi dispositivi
dispositivididi
alimentazione
alimentazione allarme
allarme sicurezza
sicurezza

PSV
PSV
...Analisi FMECA

asta
Se si suppone di aver individuato tra i modi

principali di guasto gli eventi relativi:

- trafilamento di vapore (o mancata chiusura)

della valvola di sicurezza (PSV) installata sul

corpo del generatore di vapore;

- mancata apertura della valvola stessa.

Questi eventi hanno conseguenze sulla otturatore

funzionalità dell’intero impianto o sistema....

ingresso fluido
...Analisi FMECA
PROBABILITÀ

Probabilità
Probabilità Classe Frequenza
(accadimento/anno)

0 Improbabile P ≤ 10E-7 non ci sono eventi

evento che richiede una

1 Molto raro 10E-7 ≤ P ≤ 10E-5
combinazione di eventi rari

evento che è occorso su un

2 Raro 10E-5 ≤ P ≤10E-3 equipaggiamento avente più
sicurezze

evento occorrente da una volta

3 Possibile 10E-3 ≤ P ≤ 10E-1 ogni mille anni a una volta ogni 10
anni

evento occorrente più di una volta

4 Frequente P > 10E-1
ogni 10 anni
...Analisi FMECA
GRAVITÀ

Danno alla Proprietà (ovvero alla

Gravità Lesione Fisica Danno Ambientale
Produzione)

Nessun danno alla proprietà (ovvero

0 Nessuna Nessun danno
alla produzione)

Danno moderato senza Danno minore alla proprietà (ovvero

1 Lesione minore
effetti sul lungo termine breve perdita di produzione)

Danno maggiore alla

Danno grave sul quale è proprietà/produzione (perdita della
2 Lesione importante
possibile intervenire produzione quantificabile in diversi
giorni)

Danno grave a lungo Danno maggiore alla

3 Morte accidentale termine (danno al sito ed proprietà/produzione (perdita
alle aree circostanti) quantificabile in mesi)

Distruzione alla proprietà/agli impianti

4 Incidente maggiore Disastro ecologico
(perdita totale della produzione)
...segue - Analisi FMECA (esempio PSV)

CRITICITÀ = Probabilità x Gravità

...Analisi FMECA

MATRICE DELLE CRITICITÀ

Gravità
0 1 2 3 4
Evento

0 04 14 24 34 44

1 03 13 23 33 43

2 02 12 22 32 42

3 01 11 21 31 41

4 00 10 20 30 40

area di area di area di rischio

rischio basso rischio limite non accettabile
...Analisi FMECA (esempio PSV)

Se si introduce un fattore "individuabilità" relativo al trafilamento ovvero alla mancata

apertura della PSV, definito come:

Individuabilità (I) descrizione tipologia di controllo o ispezione

componente presidiato a distanza

1 molto facile
durante l’esercizio/turno di lavoro

è prevista l’ispezione ovvero il

2 facile controllo visivo dell’operatore durante
l’esercizio o turno

il componente non è presidiato nè

3 difficile
ispezionato in esercizio

il componente è disposto in posizione

4 molto difficile
o area non facilmente ispezionabile
...segue - Analisi FMECA (esempio PSV)

Risk Priority N. (RPN) = Criticità x Individuabilità

...Analisi FMECA

CRITICITÀ
Modo di Guasto
Funzione Cause RPN
(solo alcuni)
P G I

Mancata chiusura
PSV Chiusa (o perdita per diverse 3 1 1 11
trafilamento)

errore di
PSV Aperta Mancata apertura
taratura
1 3 4 132

............ ............. ............ ... ... .. ....

Tecniche di Analisi dei Rischi

FTA (Fault Tree Analysis)

L’albero dei guasti è un diagramma logico delle interrelazioni tra gli eventi che coinvolgono i
singoli componenti (eventi primari) ed un evento finale del sistema (top event).

Definito l’evento finale di interesse, che di solito è un guasto del sistema, ad ogni elemento
vengono associati uno o più eventi primari che lo caratterizzano, in relazione alla funzione
da esso svolta e si traccia un albero orientato, con radice nell’evento finale in cui ogni
evento (conseguenza) è connesso agli eventi che provocano (causa).

In questo modo è possibile stimare la probabilità del verificarsi dell’evento finale tramite
l’unione e l’intersezione dei vari eventi primari.

I due passi fondamentali per FTA sono la:

ƒ costruzione dell’albero logico degli eventi;

ƒ sua valutazione in termini probabilistici.

Tecniche di Analisi dei Rischi

FTA (Fault Tree Analysis)

I singoli eventi elementari sono legati fra loro tramite una serie di porte logiche di
tipo AND e OR le quali esplicano le seguenti funzioni logiche:

Porta AND: fornisce l’evento descritto in uscita se and

tutti gli eventi in ingresso si avverano.

Porta OR: fornisce l’evento descritto in uscita se

or

almeno uno degli eventi in ingresso si avvera.

 and or
SCOPPIO

or

and

cricca o superamento il dispositivo

cedimento pressione max di sicurezza
strutturale di esercizio non funziona

or

incendio anomalie
esterno di esercizio

or
and

and

accumulo di mancato mancato

incendio
innesco sostanze funzionamento funzionamento
provocato da
accidentale combustibili sistemi di sistemi di
altri locali
nel locale regolazione blocco
Affidabilità & definizioni

L’affidabilità (reliability) di un elemento rappresenta la caratteristica ovvero l’attitudine

dell’elemento stesso a svolgere una funzione richiesta, in condizioni date, per un dato

intervallo di tempo - ovvero la capacità dell’elemento a restare funzionante.

In termini quantitativi essa è espressa dalla probabilità che l’elemento possa eseguire la

funzione richiesta in condizioni date per un dato intervallo di tempo.

Il guasto (failure) è la cessazione dell’attitudine dell’elemento ad eseguire la funzione

richiesta; in altri termini è l’evento corrispondente alla cessazione del servizio offerto.

Si indica con avaria (damage) lo stato in cui viene a trovarsi l’elemento in seguito al

verificarsi di un guasto.
Affidabilità dei Componenti

L’affidabilità R(t) di un oggetto (elemento, circuito o sistema) rappresenta la probabilità di

sopravvivenza funzionale in condizioni operative specificate dopo un certo tempo t dalla sua
messa in funzione. Questa funzione può essere stimata mettendo in funzione N(0) oggetti
ad un dato istante (t=0) e determinando quanti di essi N(t) sopravvivono in funzione del
tempo trascorso t. Si ottiene così la stima dell’affidabilità (funzione del tempo):

R(t)=N(t)/(N(0)

Il complemento ad uno dell’affidabilità e la probabilità di guasto F(t) (ovvero inaffidabilità):

F(t)= 1- R(t)

Si definisce, ancora, densità di probabilità di guasto la funzione:

f(t)= dF(t)/dt=-dR(t)/dt

che ha il significato di probabilità che l’oggetto, in esercizio da t=0, si guasti nell’intervallo dt.
...segue- Affidabilità dei Componenti

Derivando la relazione R(t) rispetto al tempo, dividendo per N(t) e cambiando di segno si
ottiene:
-1/N(t)·dN/dt = - [1/R(t)]·dR/dt
La probabilità di guasto istantaneo per un elemento, prende il nome di tasso di guasto
istantaneo (failure rate) ed è definito come:
1 dN
λ(t) = − ⋅
N( t ) dt
pertanto combinando le espressioni precedenti si ottiene:
1 dN 1 dR f ( t )
λ(t) = − ⋅ =− ⋅ =
N( t ) dt R ( t ) dt R ( t )

La funzione λ(t) rappresenta la frazione di popolazione che si guasta in un intervallo dt

rapportata al numero dei componenti ancora funzionanti all’istante t.
Il tasso di guasto ha le dimensioni di un tempo-1; normalmente si misura in fit (failure in
time)=10-9 (1/h).
...segue - Affidabilità dei Componenti

Integrando la precedente relazione e tenendo conto che R=1 per t=0, si possono ricavare le
seguenti espressioni generali:
⎛ t ⎞
⎜ ⎟
R(t) = exp ⎜ −
⎜ ∫ λ( τ )d τ ⎟
⎟
⎝ 0 ⎠
⎛ t ⎞
⎜ ⎟
f(t) = λ ( t ) ⋅ exp ⎜ −
⎜ ∫ λ( τ )d τ ⎟
⎟
⎝ 0 ⎠

Il valore atteso del tempo di guasto (mean time to failure) è espresso, infine, dalla relazione:

MTTF =
∫ R ( t ) dt
0

Questa grandezza rappresenta il tempo medio fra il tempo 0 (componente funzionante) ed il

suo guasto.
...segue - Affidabilità dei Componenti
invecchiamento
λ(t)
vita utile

In generale l’andamento nel tempo di λ non è costante; in molti casi di interesse pratico,
l’andamento è quello a forma di vasca da bagno (bathtube) mostrato in figura.

Spesso, a livello di schematizzazione semplice, si assume per i componenti un tasso di

guasto costante nel tempo λ(t)=λ, allora si trova che l’affidabilità segue la legge
esponenziale:

R(t) = exp(-λt)

f(t) = λ exp(-λt)

e il tempo medio fra i guasti MTTF (mean time to failure) diventa:

MTTF=1/λ
Affidabilità: sistema serie R1 R2

Un insieme di elementi tali che il guasto di uno implichi il guasto del sistema è detto in serie;
ovvero: il sistema funziona solo se tutti gli elementi funzionano.
L’evento W=“sistema funziona” è dato da:
W=R1∩R2 (∩≡AND)
In termini di probabilità possiamo scrivere che:
P(W)= P(R1) · P(R2|R1)
(la notazione P(R2|R1) denota la probabilità di R2 quando si suppone che R1 si sia
verificato – cioè sia funzionante).
Se gli eventi sono indipendenti (cioè P(R2|R1)=P(R2)) allora :
P(W)= P(R1)·P(R2)
L’affidabilità complessiva di un sistema serie è quindi data dal prodotto delle affidabilità
n
delle singole unità:
Rs(t) = ∏ Ri(t)
i

Siccome le R(t) sono probabilità da ciò segue che l’affidabilità complessiva di questo
sistema decresce al crescere delle unità presenti.
Sistema serie (esempio)

4
1 2 3

Componente tasso di guasto λ (g./h) R(t*) (per distribuzione esponenziale)

(t* tempo di missione = 1 Y = 8760 h)

1- Indicatore di Pressione 2·10-6 R1=0,983

2- Controllore Logico 5·10-6 R2=0,957

3- Gruppo Motore/Pompa 20·10-6 R3=0,839

4- Valvola 10·10-6 R4=0,916

4
n ⎛ 4 ⎞
∑
−6
Rs(t) = ∏ Ri(t) = exp⎜⎜ ∑ λi ⋅ t * ⎟⎟ = 0.723 λs =
1
λi = 37 ⋅ 10 (g / h )
i ⎝ 1 ⎠

1
MTTF = = 2703 h ≅ 0,31 Y
λs
 R1
Affidabilità: sistema parallelo

R2

Un insieme di elementi tali che ciascuno basta ad assicurare il funzionamento del sistema
stesso è detto in parallelo; ovvero: il sistema è guasto quando entrambe le unità sono
guaste.
L’evento W=“sistema guasto” è dato da:
W=R1UR2 (U≡OR)
In termini di probabilità possiamo scrivere:
P(W)=P(R1UR2)=P(R1)+P(R2)-P(R1∩R2)
Se gli eventi sono indipendenti allora:
P(W)=P(R1)+P(R2)-P(R1)·P(R2)=1-[1-P(R1)]·[1-P(R2)]
L’affidabilità complessiva di un sistema parallelo è esprimibile come:
n

Rp(t) = 1 − ∏ (1- Ri(t))

i

Da tanto si riscontra iI vantaggio di questa configurazione che porta ad un aumento

dell’affidabilità complessiva del sistema rispetto a quelle delle singole unità.
FT & Esempio di applicazione

HTS
fluido di
TCS spegnimento

T1 V2

P1 acqua di
raffreddamento
V1
FT & Esempio di applicazione

Esaminiamo il caso di un recipiente in pressione (i.e. reattore chimico o un serbatoio)

funzionante in condizioni di esercizio alla pressione p ed alla temperatura t.

La temperatura nel recipiente è controllata mediante la sonda TCS, la quale agisce sulla
apertura della valvola V1.

In caso di raggiungimento della temperatura interna al recipiente ad un valore limite di

stabilità dello stesso (i.e valore della temperatura di progetto delle membrature), il sensore
HTS agisce sulla valvola V2 provocando l’immissione del fluido di spegnimento all’interno
del recipiente.

Si vuole studiare il Top Event “raggiungimento della temperatura limite tcr di stabilità
strutturale dell’apparecchio”
FT & Esempio di applicazione

raggiungimento della and or

temperatura tcr T

and

E F

mancanza
acqua di mancanza fluido
raffreddamento di spegnimento

or
or

V1 è chiusa TCS è guasto HTS è guasto V2 è chiusa

A B C D
FT & Esempio di applicazione

Le relazioni di struttura del sistema possono essere espresse in funzione degli eventi

primari di guasto PA,PB,PC,PD, nel seguente modo:

P(T ) = PE ⋅ PF
PE = 1 − [1 − PA ] ⋅ [1 − PB]

PF = 1 − [1 − PC] ⋅ [1 − PD ]

Infine, l’espressione P(T) può essere opportunamente raggruppata come:

P(T ) = 1 − [1 − PA ⋅ PC] ⋅ [1 − PA ⋅ PD ] ⋅ [1 − PB ⋅ PC] ⋅ [1 − PB ⋅ PD ]

Affidabilità & Criteri per l'incremento

I criteri che possono essere seguiti in fase di progettazione dei sistemi allo scopo di
ottenere un’elevata affidabilità complessiva consistono in generale:
ƒ nel prevedere che i componenti siano utilizzati in esercizio ad un livello di
sollecitazione (meccanica, elettrica, termica, etc.) inferiore a quello per cui essi sono
stati progettati;
ƒ nell’uso di tecniche di ridondanza o tolleranza ai guasti (fault tolerance).
Circa il primo criterio dobbiamo osservare che, in generale, l’affidabilità dipende dal livello di
sollecitazione in condizioni di esercizio; essa in particolare, per i componenti in pressione,
diminuisce all’aumentare della temperatura e delle sollecitazioni meccaniche ripetute.
Relativamente al criterio della ridondanza, essa consiste nel far sì che il funzionamento di
un sistema non dipenda criticamente dal funzionamento di tutti i suoi componenti; si dice
che in tal caso i componenti non sono disposti “in serie“ (il guasto di uno di essi produce il
guasto dell’intero sistema) dal punto di vista affidabilistico, ma “in parallelo“ (il sistema è
soggetto a guasto solo quando si sono guastati tutti i suoi componenti).
 Analisi di Sicurezza
di
Apparecchiature ed Impianti in Pressione

O&GSA/SAPV-
Y04/cdg