Sei sulla pagina 1di 59

DISPENSE PER IL CORSO

DI

AFFIDABILITÀ E SICUREZZA NELL'INDUSTRIA DI PROCESSO

PROF. GUIDO SASSI

A.A. 2005-2006

Rappresentazione grafica di un impianto tramite P&I

4

1. Elementi grafici

4

Apparecchiature

4

Linee di Flusso

4

Strumentazione

5

2. Cenni di controllo e regolazione

5

3. Analisi di uno schema di flusso

6

4. Esercitazione di lettura di P&I complessi e suddivisione in sottosistemi

6

Idrogenazione del Toluene a Benzene

6

Idro-cracking-desolforazione di un gasolio leggero

7

Sicurezza: Gestione del rischio

9

1. Pericolo e rischio

9

Esercitazione

9

2. Rischio

10

Esempi ed analisi di incidenti rilevanti

13

Esercitazione

14

3. Analisi del rischio

15

Individuazione delle situazioni

15

Valutazione delle frequenze di accadimento

15

Valutazione delle conseguenze

15

Analisi Logica del comportamento di un impianto

16

1.

Tecniche di individuazione e di valutazione dei rischi

16

Safety Review (SR, Valutazione di Sicurezza)

16

CheckList Analysis (CLA, Analisi con Liste di Controllo)

17

Relative Ranking (Classificazione Relativo)

18

Preliminary Hazard Analysis (PHA, Analisi Preliminare di Rischio)

19

What-If Analysis (WIA, Analisi Cosa Succederebbe Se)

19

What-If/Cecklist Analysis (WICA, Analisi Cosa Succederebbe Se/Liste di Controllo)

20

Hazard and Operability Analysis (HazOp, Analisi di Rischio e Operabilità)

21

Failure Mode and Effect Analysis (FMEA, Analisi della Modalità e degli Effetti di Guasto)

22

Fault Tree Analysis (FTA, Analisi degli Alberi di Guasto)

22

Event Tree Analysis (ETA, Analisi degli Alberi degli Eventi)

23

Cause-Consequence Analysis (CCA, Analisi causa conseguenza)

24

Human Reliability Analysis (HRA, Analisi dell'Affidabilità Umana)

24

2. Analisi di operabilità ricorsiva (HazOp ricorsiva)

25

3. FMEA (Failure Mode & Effect Analysis)

27

4. DSI (Diagramma delle sequenze accidentali)

27

5. Alberi dei Guasti

29

6. Alberi degli Eventi

30

7. Esercitazione di applicazione delle tecniche di analisi: Analisi di un serbatoio di raccolta di

acqua

30

Analisi Ricorsiva per la deviazione Livello Alto

31

Diagramma delle Sequenze Incidentali

33

Albero dei Guasti per la Tracimazione

34

Albero degli Eventi Per la Valvola V1 Rotta chiusa

36

Esercitazioni

36

Affidabilità

37

1. Introduzione

37

2. Affidabilità fisica

37

Sollecitazioni

37

Carico e resistenza

38

3. Affidabilità statistica

39

Cenni di calcolo della probabilità e di statistica

39

Definizione di affidabilità e distribuzioni caratteristiche

44

4. Disponibilità

45

Eventi non riparabili

46

Eventi Riparabili Non Denuncianti il proprio stato di guasto

46

Eventi Riparabili Denuncianti il proprio stato di guasto

47

5. Manutenibilità

48

6. Misure di affidabilità

49

7. Valutazione di eventi complessi per sistemi multicomponenti

49

Serie, parallelo e logica maggioritaria

49

8. valutazione delle frequenze di accadimento

49

Pericolosità delle sostanze

50

1. Introduzione

50

2. Tossicità delle sostanze

50

Le vie di introduzione delle sostanze

50

Meccanismi di eliminazione della sostanza

51

Effetti

51

Studi di Tossicologia

52

Valutazione delle risposte in funzione delle dosi somministrate

53

3. Esplosioni (deflagrazioni e detonazioni) e incendi

54

Alcune definizioni

55

Limiti di infiammabilità e di detonalità di miscele gassose e di polveri, Temperature caratteristiche di combustibili liquidi e di polveri

56

Appendice

59

1. Criteri e tecniche di progetto

59

2. Direttiva Seveso

59

3. Aspetti economici

59

Rappresentazione grafica di un impianto tramite P&I

I P&I (Plant and Instrumentation) sono rappresentazioni grafiche del processo che evidenziano i flussi di informazione e di materia, le apparecchiature in cui si svolgono le operazioni unitarie e le strumentazioni presenti sull'impianto.

1. Elementi grafici

Apparecchiature

Le apparecchiature rappresentano i nodi di un grafo, nelle apparecchiature avvengono tutte le trasformazioni e i trasferimenti di materia e di energia. Le apparecchiature sono caratterizzate da flussi entranti e uscenti di materia e talvolta di calore (spesso anche il calore viene considerato tramite flussi di materia dei fluidi riscaldanti e raffreddanti). Le apparecchiature possono venire descritte tramite modelli matematici che correlano le variabili caratterizzanti i flussi in ingresso e in uscita. Questi modelli sono basati su bilanci macroscopici di materia ed energia e su bilanci microscopici e equazioni di continuità. Generalmente le apparecchiature sono rappresentate graficamente tramite un simbolo che ricordi la forma effettiva dell'apparecchiatura reale, tuttavia esistono anche P&I con blocchi quadrati e rettangolari che rappresentano le apparecchiature. Ogni apparecchiatura è contraddistinta da un codice alfanumerico costituito generalmente da una lettera che indica il tipo di apparecchiatura e un numero (in genere di tre cifre) che indica il numero d'ordine dell'apparecchiatura (fra le apparecchiature dello stesso tipo). Le apparecchiature rappresentano modelli di trasformazioni e accolgono le operazioni unitarie legate alla trasformazione stessa.

Linee di Flusso

Materia Le linee di flusso che uniscono fra di loro le apparecchiature sono linee di flusso di materia caratterizzate da uno stato ben determinato, si suppone generalmente che tutte le variazioni di stato avvengano nelle apparecchiature (le linee di flusso non sono quindi in senso stretto le tubazioni di raccordo) anche se in alcuni casi vengono considerate delle perdite di energia nelle linee di flusso (perdite di carico e dissipazioni termiche) con conseguente variazione della temperatura e della pressione (le linee di flusso sono comunque sempre sistemi chiusi anche se non sempre isolati). In genere sono caratterizzate da equazioni di continuità o al limite da bilanci energetici. Ogni linea è contraddistinta da un codice numerico a volte preceduto da una lettera, talvolta sono riportate dei diametri e delle lunghezze che si riferiscono alle tubazioni che nella realtà costituiranno i raccordi fra le apparecchiature. Informazioni Le linee di flusso che uniscono fra loro le strumentazioni o che uniscono le strumentazioni con linee di flusso di materia o con apparecchiature, sono linee di flusso di informazioni. Generalmente sono rappresentate da linee più leggere, tratteggiate o con segni ripetuti lungo lo svolgimento della linea (pallini doppie o triple sbarre trasversali, tilde, etc.). Se sono presenti più rappresentazioni grafiche delle linne di flusso di informazione, generalmente indicano differenti mezzi di trasporto dell'informazione (elettrica, oleopneumatica, pneumatica, digitale). L'informazione trasportata può essere di diverso contenuto. La più comune è una informazione quantitativa proporzionale al valore di una variabile, spesso l'informazione è di tipo logico binario (il valore di una variabile è maggiore o minore di un certo valore di set point (taratura). Raramente sono

accompagnate da un codice o da una legenda; viene specificato il contenuto dell'informazione se la linea viene interrotta fra un foglio e l'altro del P&I.

Strumentazione

La strumentazione può avere diverse funzioni, rendere esplicito il valore di una variabile, segnalare il superamento di un certo valore di set point, comandare una apparecchiatura, etc. Le strumentazione sonogeneralmente rappresentate da dei circoli che riportano al loro interno un codice alfanumerico che identifica in modo univoco lo strumento e le sue funzioni. Il codice riporta il simbolo della variabile di riferimento, i simboli delle funzioni dello strumento, il codice di riconoscimento dello strumento (generalmente due numeri di più cifre) e nel caso di flussi in logica binaria un simbolo che indica lo stato di attivazione

rispetto allo stato normale (h=alto(high) si attiva quando il valore della variabile è maggiore del valore di taratura; l=basso(low) si attiva quando il valore della variabile è inferiore del valore di taratura) alle volte viene riportato il valore di taratura (in termini assoluti o come percentuale del valore nominale o normale). Nel codice della funzione o nella rappresentazione del simbolo grafico si può a volte leggere la localizzazione dello strumento, a bordo macchina o in sala operativa a quadro. Le variabili più frequentemente incontrate sono:

Portata

F

Pressione

P

Temperatura

T

Volumetrica

Livello

L

Pressione

Pd

Rapporto fra due

R

Differenziale Le funzioni più comunemente incontrate sono:

portate

Deviatore (Switch) S Allarme A Registratore R

Indicatore

I

Controllore

C

2. Cenni di controllo e regolazione

Il controllo di un impianto serve a fissare i valori delle variabili indipendenti del sistema completo al fine di determinare univocamente lo stato di funzionamento dell'intero impianto. Le variabili controllate sono le variabili indipendenti del sistema, le variabili regolate sono le variabili dipendenti più direttamente legate alle indipendenti. Spesso la finalità del controllo è di regolare il sistema completo in steady state (stato stazionario). La seconda finalità della regolazione è quella di dividere l'impianto in sottosistemi sufficientemente indipendenti al fine di evitare complesse ridondanze nell'azione dei controllori. Le ridondanze potrebbero portare a situazioni di conflitto con conseguente fuoriuscita dal funzionamento normale del sistema. Tuttavia le ridondanze spesso irrobustiscono e stabilizzano il controllore, occorre comunque evitare ridondanze troppo estese. Il sistema di controllo di una variabile viene dimensionato per obbligare (in condizioni di normale funzionamento) i valori di una variabile ad oscillare all'interno di un intervallo considerato normale. La fuoriuscita dall'intervallo comporta l'esistenza di una deviazione dal funzionamento normale. Una deviazione dal funzionamento normale consiste in una fuoriuscita del valore di una variabile dall'intervallo considerato accettabile (sia per variabili indipendenti e controllate sia per variabili dipendenti). Il primo passo nell'individuazione delle variabili da controllare e da regolare è la valutazione dei gradi di libertà del sistema completo (numero di variabili meno numero di vincoli o equazioni). La scelta delle variabili deve essere effettuata fra le variabili osservabili presenti nel sistema con rilevanza rispetto ai fenomeni. Il concetto di osservabile dipende dai tempi di valutazione, dai costi di valutazione, dalla facilità di valutazione, etc.

3.

Analisi di uno schema di flusso

Uno diagramma di flusso strumentato e non per essere analizzato deve essere considerato nel suo complesso e anche valutato nel dettaglio dei suoi componenti. Ogni componente ha un ruolo ben definito che si riflette sul comportamento dell’impianto globale. Per passare dallacomplessità del sistema globale alla semplicità del singolo componente è possibile utilizzare dei sistemi (detti sottosistemi) che individuano certe parti funzionali dell’impianto in cui avviene un determinato processo unitario (reazione, separazione, riscaldamento, recupero termico, immagazzinamento, etc) oppure una certa funzione specifica del processo globale (ricircolo, post e pre trattamento, separazione,

etc). La divisione in sottosistemi non sempre èsemplice, esistono delle regole patiche che aiutano a trovare una soluzione, ma non esiste un’unica soluzione e nemmeno una soluzione definibile a priori come ottimale. I criteri possono essere:

Il sottosistema deve comprendere almeno una apparecchiatura di prima importanza Bisogna tagliare il minor numero possibile di linee di flusso

È

Il sottosistema dovrebbe poter essere descritto nel suo funzionamento in modo completo

noto lo stato delle correnti di materia entranti nel sottosistema stesso Non sono gli unici criteri adottabili, occorre comunque sempre adattare l’analisi alla situazione specifica e ritornare nell’approfondimento sulle scelte di suddivisione effettuate.

4. Esercitazione di lettura di P&I complessi e suddivisione in sottosistemi

preferibile tagliare una line di flusso di materia che di informazione

Idrogenazione del Toluene a Benzene

Descrizione Vedi File apposito, fogli a parte Materie prime: Gas di reforming (Idrogeno al 99.5%);Toluene (100%) Reazioni coinvolte: T + H B + M ; 2B D + H (T=Toluene; B=Benzene; H=Idrogeno; D=Difenile; M=Metano) La Selettività (S) dipende dal grado di conversione (x)

x =

Rg

in

Rg

fin

Rg

in

;

S =

(

Pd

in

Pd

out

)
)

ν Pd

(

Rg

in

Rg

out

)
)

ν Rg

;

Rg = moli di Reagente; Pd = moli di Prodotto; ν = Coefficiente stechiometrico

S = rapporto fra moli di prodotto formato e moli di reagente trasformato

x = rapporto fra moli di reagente trasformato e moli di reagente entrante nel reattore

Se Rg = Toluene e Pd = Benzene (1150°F; 500psia) vale la relazione

S =

1

0.0034

( 1 x

) 1.596

Per evitare il cocking del toluene il rapporto in moli fra idrogeno e aromatici all’ingresso del reattore deve essere almeno pari a 5. Dalla corrente 1 entra toluene che si miscela con la corrente 2 di idrogeno e viene vaporizzato completamente in Mix-Exc, dopodichè entra nel reattore formando difenile e benzene.

Il gas viene separato ad alta pressione per raffreddamento in 2 stadi FLASH 1 e 2 e in

parte ricircolato.

Il liquido formato nel raffreddamento viene ulteriormente separato dai gas in una prima colonna e inviato a una seconda colonna i cui si separa il benzene, e una seconda colonna in cui si ottengono toluene che viene ricircolato e difenile.

5.2 H+M Alta Pressione 6. H+M Comp Split Flh2 2. H+M 8. H+M+T Reattore Mix
5.2 H+M
Alta Pressione
6. H+M
Comp
Split
Flh2
2. H+M
8. H+M+T
Reattore
Mix
9. H+M+T+B+D
Flh1
Exc
1. T
7. T
5.1 H+M
4. B
Bassa Pressione
Dis3
Dis2
Dis1
3. D
11.T+D
10. T+B+D

Divisione in sottosistemi

Idro-cracking-desolforazione di un gasolio leggero

Descrizione Vedi schemi del processo Materie prime: Gas di reforming (Idrogeno al 99.5%); gasolio leggero dalla raffinazione Il processo è simile al precedente, i composti di partenza non sono completamente noti, si tratta di pseudocomponenti ovvero di tagli leggeri di petrolio con caratteristiche termodinamiche definibili empiricamente. Reazioni coinvolte: migliaia di reazioni di cracking, desolforazione, riduzioni in genere.

Una corrente di gasolio viene immessa nel serbatoio D101 (può provenire caldo dalla linea a monte o freddo da serbatoi intermedi di polmonazione), viene compresso (P101),

preriscaldato (E101) e miscelato con la corrente gassosa ricircolata. La miscela viene completamente vaporizzata in F101 e immessa nei reattori catalitici (R101 A e B) inter- refrigerati (E102). Nei reattori avviene una idrogenazione parziale del taglio di petrolio con rottura di alcune molecole, con formazione di H2S e altri prodotti acidi e formazione di metano, ci sono alcuni inerti presenti nel gas che non partecipano alla reazione. La corrente uscente dai reattori viene raffreddata (E101, E103) per integrazione termica di preriscaldamento dei reagenti producendo la formazione di liquido che viene separato in D102 e inviato alla separazione (T101). La fase gassosa viene ulteriormente raffreddata con scambiatori (E104, E105, E106) e per miscelazione con altre correnti liquide (da P105) o gassose (da C101) con formazione di liquido bifasico che viene separato in D103

in

Gas, Liquido Organico, Liquido Acquoso.

Il

Liquido Organico viene inviato alla separazione (T101), il Liquido Acquoso viene

scaricato come rifiuto, il gas viene inviato alla sezione di lavaggio per essere ricircolato.

Il lavaggio del gas consiste in un lavaggio con acqua (T102) e un lavaggio con MEA

(Monoetanolammina) (T103) il gas viene depurato dal liquido trascinato in D106, in parte

viene spurgato (per allontanare gli inerti) e in parte viene ricircolato tramite il compressore (C101), integrato con miscela fresca, preriscaldato (E103, E102) e miscelato alla corrente

di gasolio.

Liquidi Organici provenienti da D102 e D103 vengono rettificati in corrente di vapore in T101 con la produzione di u prodotto pesante in coda e un prodotto leggero misto ad acqua in testa.

I

Il prodotto leggero viene condensato (E107, E108) separato dalla fase acquosa in D104 e

allontanato in parte come prodotto leggero e in parte riflussato in testa alla colonna T101. Il prodotto di coda viene raffreddato (in un recuperatore di calore E109 che produce vapore e in E110 ed E112) e allontanato come prodotto pesante. Il prodotto di coda può

essere in parte utilizzato per preriscaldare l’alimentazione fredda proveniente dai serbatoi di polmonazione che viene filtrata (F101) prima di essere inviata a D101. Divisione in sottosistemi Come sottosistemi funzionali si possono individuare:

Pretrattamento liquido Preriscaldamento e vaporizzazione della miscela Reazione e raffreddamenti Separazione gas-liquido Lavaggio e Ricircolo del gas Separazione prodotti Recupero termico

Sicurezza: Gestione del rischio

Ogni evento che accade comporta la modifica dello stato esistente, alcuni eventi peggiorano lo stato e sono considerati non desiderabili. La non desiderabilità degli eventi dipende dall’entità dei danni che essi provocano; la valutazione dell’entità del danno è molto soggettiva. La Sicurezza si occupa della prevenzione dai danni. L’entità dei danni che misura quanto non sia desiderabile un evento dipende dall’entità dei danni che si ottengono ogni volta che si verifica l’evento e dalle volte che l’evento si verifica. La previsione dell’entità dei danni è quindi legata alla dannosità specifica dell’evento e al numero di volte che si prevede che l’evento si verifichi. Il numero di volte non può prescindere da un tempo di riferimento, il tempo di riferimento può corrispondere al periodo in cui l’evento può verificarsi, ovvero il tempo di esistenza del sistema che viene considerato (tempo di vita del sistema) oppure a un tempo legato alle verifiche di sicurezza effettuate sul sistema (tempo di test) ovvero la manutenzione ordinaria e straordinaria. La numerosità attesa di accadimento dell’evento dipende dalla probabilità di accadimento dell’evento e dal tempo di vita del sistema. In definitiva definendo il rischio come una misura della dannosità di un evento si può affermare che esso debba dipendere da:

Dannosità specifica

Tempo di riferimento (tempo di vita del sistema o tempo di test)

Numerosità attesa di accadimento dell’evento nel tempo di vita del sistema

Probabilità di accadimento dell’evento

La riduzione o la limitazione del rischio sono le finalità della Sicurezza. Occorre valutare il

rischio e quindi valutare le variabili da cui dipende per riuscire a stimare l’accettabilità o meno dela presenza di una possibilità di accadimento di un evento.

1. Pericolo e rischio

Pericolo e rischio sono valutazioni dei danni che si potrebbero subire a seguito dell’accadimento di un determinato evento, il pericolo è una sensazione soggettiva dell’imminenza di un danno, il rischio è un valutazione oggettiva della possibilità di subire dei danni. Sia il pericolo che il rischio dipendono dallo stato d’animo di chi è esposto al danno, ma mentre il pericolo può essere indotto, aumentato o diminuito dalla semplice suggestione (notizie sui giornali, racconti, rumori, contesto suggestivo, etc.) il rischio diminuisce se l’informazione ricevuta è corretta, se chi è esposto al danno è cosciente del rischio che sta correndo, se chi è esposto al danno è tranquillo. Il pericolo può quindi essere considerato come l percezione soggettiva del rischio, in buona sostanza la formazione e l’informazione, che sono uno dei cardini della Gestione della Sicurezza, sono finalizzate a far coincidere il pericolo al rischio, in modo da avere le sensazioni corrispondenti all’effettiva potenzialità del danno a cui si è esposti. Molto spesso il pericolo viene gestito in modo da pilotare il comportamento delle persone (terrorismo), terrorismo per scopi ludici (scherzi, case delle streghe, film del terrore, effetti scenici, etc.), terrorismo per scopi politici (gestione dell’informazione per pilotare il voto e l’opinione delle persone). Formarsi una corretta opinione basata su informazioni e formazione circostanziate e controllate (di cui sia accertata la fonte primaria) è l’unico modo per aumentare la propria Sicurezza e non restare in balia degli eventi.

Esercitazione

Questa esercitazione è finalizzata a focalizzare l’attenzione dello studente sui pericoli e sui rischi con cui convive quotidianamente. Viene evidenziata la distinzione fra pericoli e rischi e viene effettuata una valutazione soggettiva del livello di pericolo e di rischio. La

valutazione è completamente soggettiva e viene determinata dalla sensibilità dello studente. Una sensazione di pericolo elevata corrisponde ad una valutazione elevata. Viene richiamato il concetto di magnitudo. Ad esempio sentire in pericolo la propria vita corrisponde ad una valutazione elevata, sentire il pericolo di menomazioni o di perdite finanziarie potrebbe portare a una valutazione meno elevata; la valutazione è relativa alla sensazione provata al momento al di là dell’effettiva probabilità che l’evento si verifichi o meno (una sensazione di pericolo può essere indotta virtualmente). Nel rischio viene coinvolto un aspetto meno emotivo, viene valutata la frequenza di accadimento, la frequenza di esposizione, il periodo di esposizione, la magnitudo dell’evento dannoso possibile. L’insieme di queste grandezze porta alla valutazione di un indice relativo.

Fare un elenco dei maggiori pericoli corsi durante la propria vita (le situazioni in cui ha avuto coscienza di un possibile danno, presente o scampato) a ogni voce associare il nome della sensazione (paura, spavento, tensione, etc.) e un valore da 1 a 10 di intensità della sensazione.

Fare un elenco dei rischi a cui si è esposti quotidianamente nello svolgimento della propria attività (sport, lavoro, studio, spostamenti, mangiare, dormire, divertimento, etc.) a ogni voce associare un valore da 1 a 10 di dimensione del rischio.

2.

Rischio

Il rischio può essere definito come la dannosità di un evento ovvero la quantità di danni che l'evento potrebbe arrecare nell'unità di tempo. Le grandezze che influenzano il rischio di un evento sono la possibilità che avvenga, la probabilità che avvenga e la sua non desiderabilità. La possibilità di accadimento dipende da molte variabili spaziali, temporali, chimiche e fisiche. La stima della possibilità di accadimento può essere effettuata tramite una funzione di appartenenza che definisce il grado di appartenenza (GM) dell'evento all'insieme degli eventi possibili (GM[0,1], 1 sicuramente possibile, 0 sicuramente impossibile; in logica classica binaria solo i due valori estremi vengono considerati). Ad esempio l'incendio di un liquido ha una possibilità di accadimento che dipende dalla temperatura ovvero se la temperatura è inferiore della temperatura di flash la fiamma non può propagarsi, se la temperatura è maggiore della temperatura di flame la fiamma può propagarsi.

GM

1

0

Flash Flame
Flash
Flame

Temperatura

Possibilità di incendio di un combustibile liquido

La valutazione della probabilità di accadimento di un evento possibile può essere affrontata in termini affidabilistici modellando il sistema dal punto di vista delle connessioni logiche e considerando l'evento indesiderato come combinazione logica di eventi elementari che coinvolgono i malfunzionamenti dei componenti del sistema considerato.

La probabilità di accadimento dell'evento indesiderato risulta quindi essere una funzione

delle disponibilità dei singoli componenti. La non desiderabilità di un evento dipende essenzialmente dalla quantità di danni che

l'evento potrebbe provocare nel momento in cui accadesse. La stima della non

desiderabilità coincide quindi con la stima dei danni previsti. Anche in questo caso ci si può ricondurre a stime di possibilità e di probabilità di danno. Ad esempio: la presenza o meno di personale direttamente o indirettamente esposto al rischio; il verificarsi o meno di certe modalità di accadimento dell'evento indesiderato (esplosione di serbatoi a seguito di

un precedente evento indesiderato che abbia provocato un incendio). Esistono quindi dei

danni diretti coinvolti nell'accadimento dell'evento indesiderato e dei danni indiretti provocati dall'accadimento dell'evento indesiderato.Un evento catastrofico può essere considerato suddiviso temporalmente in tre eventi: Inizio, Propagazione e Terminazione. Il rischio viene generalmente espresso come prodotto di 2 grandezze che tengono conto degli aspetti fondamentali legati ad esso. La prima grandezza è il tasso (anche detto frequenza) di accadimento dell'evento ovvero la probabilità di accadimento dell'evento nell'istante successivo all'istante considerato posto che non sia accaduto fino ad allora. La seconda è la magnitudo dell'evento ovvero la stima dei danni espressa come valore dei danni subiti a seguito dell'evento o come numero di fatalità (morti), numero di feriti, ore lavorative perdute, eccetera. R=f(E)M(E)

Il tasso di accadimento riassume tutte le grandezze legate alla possibilità e alla probabilità

di accadimento dell'evento mentre la magnitudo tiene conto della non desiderabilità

dell'evento. Possibili interventi di limitazione del rischio possono essere indirizzati verso una delle due grandezze oppure ad entrambe. L'aumento di disponibilità dei componenti agisce solo sul tasso di accadimento mentre la disposizione spaziale delle apparecchiature e la loro protezione con muri e vasche di contenimento modificano la magnitudo. La scelta di determinate procedure di manutenzione o di materie prime o cammini di reazione possono agire su entrambe le grandezze.

Metodi di Limitazione e Riduzione del rischio

Evento

Effetto

Procedura

Esemplificazione

desiderato

Inizio

Diminuzion

Modifiche di Eliminazione di sostanze

e

processo

pericolose, Riduzione degli

 

Modifiche

immagazzinamenti di sostanze pericolose, Riduzione della drasticità delle condizioni di processo Impiego di linee e strumenti

progettuali

anti esplosione, limitazione dei

fattori umani coinvolti, protezione dagli agenti chimici pericolosi Aumento della Modifica e ridondanza di

disponibilità del componenti e sottosistemi,

sistema

Procedure di manutenzione

ordinaria e straordinaria rigorose Sistemi di controllo Sistemi di Shut down secondari

Introduzione di Valvole di ritenzione, dischi di sistemi di sicurezza rottura, circuiti di Blow down

Propagazion

Diminuzion

Organi di Muri di contenimento, Vasche

e

e

limitazione alla di contenimento, Antincendio, propagazione delle Limitazione di

 

conseguenze

Immagazzinamento di sostanze pericolose, Distribuzione spaziale delle apparecchiature (Layout), Sistemi automatici di Shut off, Impiego di materiali ignifughi

Terminazion

Aumento Sistemi di Antincendio, Sistemi di

e

spegnimento

rilevamento, Sistemi di Shut down

Metodologie di Prevenzione del rischio, Programmi di sicurezza

Analisi logica cause conseguenze ed individuazione degli eventi indesiderati possibili Modellazione logica e stima delle frequenze e

magnitudo degli eventi indesiderati Procedure normali Definizione delle modalità di comportamento durante il funzionamento normale del sistema

Individuazione del

rischio

Valutazione del rischio

Procedure

di

Definizione delle modalità di comportamento

emergenza

durante il funzionamento anormale del sistema

Controllo Verifica del rispetto delle procedure Informazione Corsi di formazione del personale, Cartelli informativi

Parametri di valutazione del rischio

Indice

Definizione

Scal

 

a

OSHA

Incident

Rate Numero

di

menomazioni

o 2

(menomazioni e malattie)

Incident

lavorativi perduti) FAR (Fatal Accident Rate)

OSHA

Rate

malattie per ore totali lavorate

(giorni Numero di giorni lavorativi perduti 2

10 5

per ore totali lavorate

10 5

Numero di morti per ore totali 10 8

 

lavorate

Fatality Rate

Numero

di

morti per numero di 1

persone coinvolte su base annua

OSHA = Occupational Safety and Health Association

I. T.S. Glickman, M. Gough, Ed.s, 1990. Readings in risk, Resources for the Future, Washington

II. Pasquon, 1989. Rischi potenziali, sicurezza e protezione ambientale nell'industria chimica, CLUP, Milano, cap 1, pp 9-17

III. Ghersini, 1988. ibidem, cap 16, pp 187

IV. Crowl, D.A., Louvar, J.F., 1990. Chemical process safety: fundamentals with applications, Prentice Hall, Englewood Cliffs NJ, cap 1, pp 1-21

V. Gugger, Heering, Müller, Prahl, Shild, Volkman, Weber, 1961. La sicurezza nell'industria chimica, De Kaan, Milano.

Esempi ed analisi di incidenti rilevanti

Flixborough,1974

Caratteristiche temporali: Sabato di Giugno

Caratteristiche di processo: Produzione di caprolattame, 70000 ton/anno, 6 reattori

di ossidazione di cicloesano (20 ton ciascuno, 155ºC, 7.9bar), Immagazzinamento di infiammabili (100 m 3 cicloesano, 15 m 3 nafta, 3 m 3 toluene, 7 m 3 benzene, 0.1 m 3 benzina), il cicloesano da 155ºC 7.9bar alle condizioni atmosferiche vaporizza completamente.

Aspetti conduttivi: Alcuni mesi prima il reattore No.5 ha iniziato a perdere a causa di

una fessurazione longitudinale del vessel in acciaio inox, la sostituzione del reattore con

un tubo di by pass era stata decisa in base alla valutazione delle rese di reazione. La sostituzione è stata effettuata con un tubo flessibile di sezione ridotta rispetto ai tubi di collegamento fra i reattori (20" contro 28") perchè disponibile a magazzino, Inoltre non si è provveduto sufficientemente al sostegno statico del flessibile considerato autoportante.

Incidente: Fuoriuscita di 30 ton di cicloesano, formazione di una nube di vapore, dopo 45 secondi una causa ignota ha innescato la nube, esplosione della nube.

Conseguenze:

Interne: 28 morti (18 in sala controllo), 36 feriti, 10 giorni di incendio, impianto distrutto.

Esterne: 53 feriti, 1821 appartamenti danneggiati, 167 negozi danneggiati.

Commenti:

Scarsa attenzione alle caratteristiche di sicurezza nella progettazione dell'intervento

Eccessivo immagazzinamento di materiale infiammabile Fortunatamente era sabato, non c'erano tutti gli impiegati nelle palazzine degli uffici

Seveso, 1976

Caratteristiche temporali: Sabato 10 Luglio

Caratteristiche di processo: Produzione di esaclorofene da triclorofenolo,

sottoprodotto di reazione TCDD(tetraclorodibenzoparadiossina, dose letale 10 -9 kg/kg 0.1mg per un uomo di 100 kg, effetti: provoca cloroacne, malformazione dei feti)

Aspetti conduttivi: La reazione avveniva in discontinuo, all'ultimo turno del venerdì

la reazione è stata fermata, fuori dal controllo la reazione ha modificato le rese e ha comportato un aumento della pressione della temperatura. Il disco di rottura ha sfiatato

all'esterno.

Incidente: Fuoriuscita di circa 2 kg di TCDD in forma di nube, la pioggia ha provocato la sua ricaduta al suolo su un'area di circa 25 km quadrati

Conseguenze:

Interne: L'impianto e le zone limitrofe sono a tutt'oggi non utilizzabili Esterne: 250 intossicazioni gravi, 600 persone evacuate, 2000 persone ancora oggi sotto

sorveglianza medica (verificate malformazioni di feti e effetti mutageni superiori alle medie).

Commenti: Non esisteva nessun sistema di blow down, l'informazione sia del

personale, sia delle autorità, sia dei civili era praticamente nulla a riguardo dei rischi, non esistevano piani di evacuazione. Sebbene nel 1963 ci fosse stato un incidente analogo a

Dhufar in India (200 g) non è stato considerato il rischio di rilascio. Bhopal, 1984

Caratteristiche temporali: Lunedì 3 Dicembre

Caratteristiche di processo: Produzione di pesticidi, intermedio di reazione MIC

(metilisocianato, TLW-TWA 0.02 ppm, TC 50 21 ppm, reazione esotermica con acqua, bp 39ºC, Po 0.45 bar a 20ºC) serbatoi refrigerati con 25 ton di MIC.

Aspetti conduttivi: Il sistema si trovava in stato di non funzionamento per ragioni sindacali.

Incidente: 1) per cause ignote si è verificato un inquinamento da acqua e altro in

un serbatoio di MIC, 2) la reazione ha portato ad un aumento incontrollato del serbatoio con conseguente aumento di pressione, 3) la valvola di sicurezza ha sfiatato nell'apposito sistema di blow down, 4) lo scrubber a umido di blow down non era in funzione, 5) la

torcia di blow down non era in funzione, 6) 25 ton di MIC si sono riversate in atmosfera dal camino della torcia in forma vapore.

Conseguenze:

Interne: Nessuna (perdita del prodotto intermedio) Esterne: circa 2000 morti, più di 20000 intossicati

Commenti: Eccessivo immagazzinamento di MIC, il sistema di blow down non

funzionante, ma soprattutto esistono schemi di reazione alternativi che evitano la formazione di composti così tossici. In sostanza il processo non era da utilizzare e le procedure dovevano essere rispettate.

Esercitazione

Questa esercitazione è finalizzata a sensibilizzare lo studente verso gli incidenti che occorrono giornalmente. Inoltre si vuole costruire una banca dati (non esaustiva e ridotta) degli incidenti in modo da poter effettuale delle valutazioni statistiche sugli incidenti.

Raccogliere, per l’intero periodo del corso, dai quotidiani, le informazioni riguardanti gli incidenti. Particolare attenzione dovrà essere dedicata agli incidenti sul lavoro e agli incidenti rilevanti.

Le informazioni devono essere strutturate in dati numerici e qualitativi in modo da identificare la tipologia di incidente e la sua rilevanza. La scelta delle informazioni e della loro struttura è libera. Si consiglia tuttavia di trovare con i colleghi una armonizzazione che permetta di confrontare e di unire le informazioni ricavate da persone diverse.

Le informazioni in base alla classificazione che si vuole studiare devono riguardare (Lo stesso incidente può appartenere a diverse classi):

La localizzazione dell’incidente: località, fattori ambientali (strada, locale chiuso, impianto chimico, montagna, ecc) ;

La temporizzazione dell’incidente: data, orario, stagione, ecc.;

La tipologia di incidente (Es. incidenti sul lavoro, incidenti stradali, incidenti rilevanti, incidenti domestici, ecc);

Il fattore umano legato all’incidente: il numero di persone coinvolte, i danni alle persone, ecc.;

I danni alle cose

3. Analisi del rischio

Individuazione delle situazioni

L'individuazione del riscio viene effettuata con una analisi approfondita del sistema sia da un punto di vista logico che da un punto di vista funzionale. Molte tecniche sono state messe a punto per iniziare e approfondire questa analisi logica del comportamento dell'impianto.

Valutazione delle frequenze di accadimento

La frequenza di accadimento è un momento successivo all'individuazione delle situazioni possibili di pericolo. La frequenza può essere determinata seguendo due strade: una valutazione qualitativa ed euristica, tramite la valutazione di un esperto o di un gruppo; e una valutazione che discende da una valutazione statistica della probabilità di accadimento di eventi semplici che formano l'evento complesso. Nel primo caso la valutazione della probabilità di accadimento dell'evento complesso consiste in una analisi di situazioni simili a quella in esame e a una deduzione in ragionamento approssimato di quella che potrebbe essere la frequenza di accadimento dell'evento. Nel secondo caso, si procede a una analisi logica dettagliata dell'evento scomponendolo in eventi semplici connessi logicamente fra loro. Conoscendo la probabilità di accadimento degli eventi semplici si può calcolare tramite un algoritmo (secondo l'algebra booleana o l'algebra sfumata o altra algebra decisionale) la probabilità di accadimento dell'evento indesiderato in un determinato periodo di tempo.

Valutazione delle conseguenze

La valutazione delle conseguenze deriva da una analisi dettagliata dell'evoluzione dell'evento indesiderato considerando tutti i sistemi di riduzione della magnitudo dell'evento. Per questo tipo di analisi vengono costruiti dei modelli descrittivi che permettano di simulare questa evoluzione. Sono necessariamente modelli dinamici che tengono conto della geometria del sistema, degli effetti cinetici e dei materiali coinvolti. Sono generalmente modelli molto complessi e scarsamente generalizzabili. Si usano solamente per situazioni particolari, poco ricorrenti e di grande impatto. Per situazioni semplici di elevata ricorrenza si utilizzano dati storici che permettano una valutazione approssimata tramite deduzioni euristiche della similitudine delle situazioni.

I. Modarres, M., 1993. Ibidem, cap 7, pp 297-330

II. Crowl, D.A., Louvar, J.F., 1990. Ibidem, cap 10-13, pp 308-402

Analisi Logica del comportamento di un impianto

1. Tecniche di individuazione e di valutazione dei rischi

L'AIChE (American Institute of Chemical Engineers - Center for Chemical Process Safety) ha pubblicato le linee guida per le procedure di valutazione del rischio. Vengono presentate 12 tecniche con diverse peculiarità che possono essere appropriate in

differenti circostanze di analisi. Alcune tecniche (Safety Review, Checklist Analysis, Relative Ranking, PHA, e What-If Analysis) sono efficienti per una visione "broad brush" per grandi impianti o processi complessi. Utilizzando queste tecniche in un valutazione iniziale del processo (pre commissioning) incrementa notevolmente l'efficacia economica degli sforzi di incremento

di sicurezza.

Altre tecniche (What-If/Checklist Analysis, HazOp Analysis e FMEA) sono scelte eccellenti per analizzare un ampio spettro di rischi durante la fase di progetto e le operazioni di routine. Molto utili anche per l'identificazione delle situazioni di rischio su cui possono essere applicate tecniche di analisi più sofisticate. Ulteriori tecniche (Analisi tramite: Alberi dei Guasti e degli Eventi, Causa-Conseguenze, Affidabilità Umana).

Safety Review (SR, Valutazione di Sicurezza)

Descrizione

È la prima tecnica storicamente utilizzata, è anche chiamata Process Safety Review,

Design Review, Loss Prevention Review. Viene preferibilmente applicata ad un impianto esistente e coinvolge una ispezione (walking through) dell'impianto che varia dalla visita informale con valutazione visuale delle procedure a una valutazione formale tramite una squadra di esperti che può durare più di una settimana. Per processi non operativi può essere l'analisi deve essere limitata alla valutazione dei disegni di progetto (P&I). Una tipica SR prevede delle Interviste agli operatori (operai, manutentori, ingegneri, manager, responsabili della sicurezza, e altro). La SR è fortemente basata sulla cooperazione di tutti gli operatori. La SR è generalmente focalizzata sulle situazioni di rischio più rilevanti. Il risultato consiste in un elenco di azioni raccomandabili, della loro giustificazione, delle responsabilità di esecuzione e dei tempi di attuazione. Una ulteriore analisi può essere prevista per la verifica del raggiungimento degli obiettivi. La SR deve generalmente essere affiancata ad altre tecniche di valutazione dell sicurezza (quanto meno ispezioni visuali delle routine).

Finalità La SR può essere usata per verificare se l'impianto, le operazioni e la manutenzione

soddisfano gli intenti di progettazione e gli standard di realizzazione. Inoltre 1) segnala al personale i rischi del processo, 2) effettua le necessarie revisioni delle procedure, 3) cerca

di identificare situazioni di rischio fuori dal normale comportamento del processo, 4) valuta

le basi di progetto del controllo e dei sistemi di sicurezza, 5) valuta le conseguenze dell'applicazione di nuove tecnologie sui rischi esistenti, 6) valuta l'adeguatezza della manutenzione e delle ispezioni di sicurezza. Tipo di Risultati Sono descrizioni qualitative dei potenziali problemi di sicurezza e dele azioni correttive suggerite. Il rapporto finale può includere anche deviazioni dalle intenzioni progettuali (procedure e tecnologie innovative, o nuove issues di sicurezza). La responsabilità per implementare le azioni correttive resta ai manager dell'impianto Risorse necessarie

Devono essere disponibili: codici e standard applicabili, studi di sicurezza precedenti, descrizioni dettagliate dell'impianto (P&I, diagrammi di flusso quantificati), procedure di avviamento (start up), di fermata (shut down), normali, di manutenzione e di emergenza, rapporti di incidenti personali, rapporti suincidenti a rischio rilevante, rapporti di manutenzione (verifica di strumenti critici, test delle valvole di sicurezza, ispezione dei recipienti in pressione), caratteristiche delle sostanze e dei materiali coinvolti nel processo. Il personale assegnato a una SR deve essere molto pratico delle procedure e degli standard di sicurezza.

Impianto

Preparazione

Valutazione

Documentazione

piccolo

o

2-4 ore

6-12 ore

4-8 ore

semplice

grande

o

1-3 giorni

3-5 giorni

3-6 giorni

complesso

CheckList Analysis (CLA, Analisi con Liste di Controllo)

Descrizione Una CheckList Analysis usa una lista scritta di item o passi procedurali per verificare lo stato di un sistema. Può variare notevolmente il livello di dettaglio e sono generalmente

utilizzate per indicare il raggiungimento di standard e pratiche di sicurezza. Sono semplici

e possono essere utilizzate ad ogni stadio di realizzazione di un processo.

Una checklist fornisce la base per una valutazione standard dei rischi di processo ed è generalmente accoppiata ad altre tecniche di valutazione del rischio. Sono limitate dalla

esperienza dei compilatori e necessitano quindi di una squadra con differenti background.

Spesso sono create come semplice riorganizzazione dei dati noti e devono essere costantemente aggiornate. Molte organizzazione hanno sviluppato delle Checklist standard per il controllo dello sviluppo di un processo e hanno il duplice scopo di controllo

e

informativo. Finalità

Il

loro scopo primari è la verifica del rispetto delle procedure pratiche standard. Usate in

unione con altre tecniche possono analizzare situazioni che la sola checklist non sarebbe in grado di individuare. Tipo di Risultati Vengono create dalla definizione di progettazioni standard o operazioni pratiche sulla base delle differenze o delle inadempienze vengono stilate delle domande alle quali viene accoppiata una risposta tipo (Si, No, Non Applicabile, Richiede Ulteriori Informazioni). I risultati qualitativi variano da situazione a situazione, ma generalmente portano a decisioni (Si o No) a proposito del raggiungimento degli standard. La conoscenza di queste inadempienze porta ad una lista facilmente sviluppabile di possibili alternative che migliorino il grado di sicurezza. Risorse necessarie È necessaria una checklist appropriata, una procedura di progettazione standard, un manuale operativo e qualcuno che abbia conoscenze di base sul processo. Sela checklist non è disponibile da un lavoro precedente è necessario stilarne una. L'analista deve essere un soggetto differente dallo stilatore della checklist. Il tipo di valutazione può essere molto variabile da semplici valutazioni a profonde introspezioni. È spesso un metodo a basso costo per l'identificazione di rischi gia verificati in casi analoghi. Impianto Preparazione Valutazione Documentazione

piccolo

o

2-4 ore

4-8 ore

4-8 ore

semplice

grande

o

1-3 giorni

3-5 giorni

2-4 giorni

complesso

Relative Ranking (Classificazione Relativo)

Descrizione

È

più una strategia di analisi che un singolo e ben definito metodo. La strategia permette

di

confrontare gli attributi di processi e/o attività per determinare se posseggono

caratteristiche di rischio che giustifichino ulteriori approfondimenti. Questa procedura può essere utilizzata anche per confrontare diverse opzioni per la localizzazione di un impianto, il posizionamento di una apparecchiatura o progetti di massima. L'analista fornisce delle valutazioni numeriche del livello di effettiva importanza associata ad ogni rischio. Il Relative Ranking dovrebbe essere applicato nei primi stadi di sviluppo di un processo prima del completamento il progetto di dettaglio e nelle prime parte di vita del processo. Alcune standardizzazioni della metodologia sono state svluppate per differenti campi applicativi. Il Dow Fire and Explosion Index (F&EI) è stato sviluppato per la

valutazione dei rischi di esplosione e incendio in molte zone in cui siano presenti facilities

di processo. Il processo viene suddiviso in unità a cui vengono assegnati indici basati sulle

caratteristiche chimiche fisiche dei materiali, sulle condizioni di processo, sulla disposizione delle apparecchiature e localizzazione dell'impianto e su altri fattori. I differenti indici producono un punteggio per il F&EI e ogni unità di processo ottiene un valore finale del F&EI. Altri metodi: ICI Mond Index (per rischi chimici, tossicologici,

esplosion e incendi), Dow Chemical Exposour Index (CEI) (per valutare i rilasci potenziali

di sostanze chimiche), EPA TPQI (Threshold Planning Quantity Index), Substance Hazard

Index (SHI, OSHA occupational safety and health administration e API american petroleum institute). Il CEI è basato su 5 fattori (tossicità, materiale volatile disponibile, distanza di ogni area, pesi molecolari, variabili di processo). Molte compagnie hanno elaborato i loro indici specifici.

Finalità

La

principale finalità dell'utilizzo del metodo di Relative Ranking è di determinare le aree o

le

operazioni di processo che hanno la maggiore rilevanza rispetto al rischio. La base del

metodo sono tre domande essenziali: 1) Cosa può andar male? 2) Come può avvenire? 3) Quali potrebbero essere gli effetti? La filosofia di approccio è di indirizzare queste domande alla determinazione dell'importanza relativa, in termini di rischio, dei processi e delle attività prima di implementare valutazioni addizionali e più costose del rischio.

Tipo di Risultati

Il risultato è una lista ordinata di processi, operazioni, attività, apparecchiature. Questa

lista potrebbe contenere alcuni livelli stratificati di rilevanza. Altri risultati come indici, punteggi, fattori di scala, grafi, etc. dipendono dalla tecnica impiegata per l'analisi. Questi risultati devono essere sempre accompagnati da una ulteriore valutazione che fornisca robustezza ai risultati.

Risorse necessarie Sono necessarie conoscenze di base sui dati chimici e fisici delle sostanze coinvolte, non sempre sono necessari disegni dettagliati delle apparecchiature e del processo. Sono invece indispensabili inventari di massima dei materiali, le condizioni di processo utilizzate nell'impianto, la distribuzione geografica dell'immagazzinamento dei materiali. Una indagine di questo tipo può essere condotta anche da un singolo analista. Spesso è meglio avere un analista esperto interfacciato con personale esperto nei singoli campi o unità. Tutto dipende dalle dimensioni del sistema. Impianto Preparazione Valutazione Documentazione

piccolo

o

2-4 ore

4-8 ore

4-8 ore

semplice

grande

o

1-3 giorni

3-5 giorni

3-5 giorni

complesso

Preliminary Hazard Analysis (PHA, Analisi Preliminare di Rischio)

Descrizione Deriva dalle procedure studiate dall'esercito americano, è focalizzata genericamente sui materiali impiegati e sulle principali aree processuali dell'impianto. Utile nelle fasi iniziali dello sviluppo del processo quando le informazioni sono scarse. Una PHA formula una lista di rischi e situazioni generiche di rischio considerando sei caratteristiche di processo. (Materie prime e intermedie e prodotti finali caratteristiche specifiche e interazioni; Apparecchiature; Disposizione delle facilities; Ambiente operativo; Attività operative, testing, manutenzione, etc.; Interfacce fra i componenti del sistema). Uno o più analisti assegnano un livello di criticità ad ogni situazione ipotizzabile. Il valore del livello viene utilizzato per creare delle priorità fra le raccomandazioni di miglioramento della sicurezza. Finalità La PHA è spesso usata per valutare rischi nelle prime fasi di sviluppo di un processo ovvero durante il progetto concettuale e la fase di ricerca e sviluppo. È anche comune utilizzarla per la revisione del progetto prima dell stesura del P&I. Normalmente viene utilizzata per la valutazione di processi in cui siano poche le informazioni riguardo la sicurezza. Tipo di Risultati Fornisce una descrizione qualitativa dei rischi relativi al progetto di un processo e una lista ordinata delle situazioni di rischio utilizzabile per dare priorità alle raccomandazioni per interventi mirati al miglioramento della sicurezza. Risorse necessarie L'analista deve avere accesso ai criteri progettuali, specifiche delle apparecchiature e dei materiali e altre fonti di informazione. Sono sufficienti una o due persone con una buona conoscenza dei problemi di sicurezza. Impianto Preparazione Valutazione Documentazione

piccolo

o

4-8 ore

1-3 giorni

1-3 giorni

semplice

grande

o

1-3 giorni

4-7 giorni

4-7 giorni

complesso

What-If Analysis (WIA, Analisi Cosa Succederebbe Se)

Descrizione

È un approccio brainstorming (tempesta di cervelli) in cui un gruppo di persone esperte

del processo a diverso titolo pone domande o riporta voci a proposito di possibili eventi

indesiderati. Richiede all'analista di adattare i concetti di base della sicurezza al problema specifico. Ci sono poche notizie su questa metodologia, ma è spesso usata nei primi stadi

di sviluppo del progetto e nelle prime parte di vita del processo.

La What-If Analysis incoraggia la squadra a pensare a domande strutturate in "Cosa

succederebbe se

l'avviamento?) comunque ogni aspetto può essere proposto anche in forma non canonica (Vorrei discutere sull'introduzione di materie prime diverse da quelle prescritte). Tutte le domande vengono riportate su supporto cartaceo, informatico o su una lavagna. Le domande vengono classificate e ordinate in specifiche aree di interesse (sicurezza elettrica, protezione incendi, sicurezza personale). Ogni area viene sviluppata da una

(Cosa succederebbe se la pompa A si fermasse durante

?"

squadra specifica. Per sistemi operanti sono importanti le interviste unite all'analisi degli schemi di processo e dei flowsheet quantificati. Le domande potranno riguardare ogni condizione anomale, non solo rotture di componenti e variazioni di processo. Finalità La finalità è l'individuazione di tutte le situazioni di rischio, dei rischi e di tutti gli eventi accidentali che possano produrre conseguenze indesiderate. Una ulteriore finalità è la raccomandazione di azioni correttive e di riduzione del rischio (riduzione delle conseguenze e operazioni di emergenza). La completezza dell'analisi è affidata all'esperienza della squadra. Tipo di Risultati Un risultato è quindi una lista di domande e risposte a proposito del processo. Inoltre una lista situazioni di rischio, eventi e rischi corredata da possibili azioni correttive e riduttive consigliate. Risorse necessarie La WIA è molto flessibile e può essere effettuata in ogni periodo di vita del processo usando ogni informazione e conoscenza disponibile. Per ogni area del processo 2 o 3 persone dovrebbero essere incaricati dell'analisi tuttavia un gruppo più numeroso è preferibile. Per processi complessi e di grandi dimensioni conviene avere un piccolo gruppo che coordina i gruppi assegnati alle singole aree del processo. La ripetizione di una What If analisi riduce notevolmente i tempi. Impianto Preparazione Valutazione Documentazione

piccolo

o

4-8 ore

4-8 ore

1-2 giorni

semplice

grande

o

1-3 giorni

3-5 giorni

1-3 settimana

complesso

What-If/Cecklist Analysis (WICA, Analisi Cosa Succederebbe Se/Liste di Controllo)

Descrizione Combina la creatività dell'analisi WhatIf con la sistematicità dell'analisi a Checklist. Il risultato di una checklist dipende fortemente dalla esperienza del compilatore, la parte della WhatIf incoraggia alla considerazione di nuove possibili situazioni ed eventi accidentali mentre la Checklist procede in modo sistematico attraverso l'impianto. Questa tecnica può essere utilizzata ad ogni punto dello sviluppo e della vita di un processo e viene generalmente utilizzata per analizzare i più comuni rischi che esistono in un processo. Tuttavia tramite quesa metodologia è possibile raggiungere qualunque livello di dettaglio anche se generalmente si usa a livelli di dettaglio inferiori del FMEA e spesso è il primo metodo di analisi del processo. Finalità La finalità è l'individuazione di tutte le situazioni di rischio, dei rischi e di tutti gli eventi accidentali che possano produrre conseguenze indesiderate. Una ulteriore finalità è la raccomandazione di azioni correttive e di riduzione del rischio (riduzione delle conseguenze e operazioni di emergenza). La completezza dell'analisi è sufficientemente assicurata dalla duplice azione dei due componenti l'analisi ma è comunque affidata all'esperienza della squadra. Tipo di Risultati Una tabella di potenziali incidenti ed eventi non desiderati con relative conseguenze azioni protettive e azioni mirate al miglioramento della sicurezza, comprende inoltre una lista di controllo completa. Risorse necessarie

Generalmente la WICA viene condotta da personale interno esperto in progettazione , operazioni normali, manutenzione e sicurezza. Il numero di persone dipende dalla complessità del sistema e dallo stadio di vita del processo. Impianto Preparazione Valutazione Documentazione

piccolo

o

6-12 ore

6-12 ore

4-8 ore

semplice

grande

o

1-3 giorni

4-7 giorni

1-3 settimane

complesso

Hazard and Operability Analysis (HazOp, Analisi di Rischio e Operabilità)

Descrizione La tecnica HAZOP è stato sviluppata per identificare e valutare i rischi in un impianto di processo e per identificare i problemi legati alle operazioni normali e alle procedure di sicurezza anche se pur non procurando situazioni effettive di rischio provocano indesiderate fermate di impianto o comunque eventi indesiderati fuori dal buon funzionamento dell'impianto. A causa delle informazioni dettagliate necessarie può essere implementato solo durante o al termine della progettazione esecutiva. Esistono molte variazioni dell'HaZop sviluppate dalle singole compagnie. Una squadra interdisciplinare usa un approccio sistematico e creativo per percorrere l'impianto e correlare in modo logico i singoli eventi accidentali per identificare le interazioni di eventi che possono portare a conseguenze indesiderate.

La sistematicità può essere raggiunta in molti modi. Ad esempio il metodo a parole guida prevede una combinazione fra le parole guida (No Poco Troppo, Molto, Basso) unite alle variabili di processo (Flusso Temperatura Pressione Livello). Passando in analisi i singoli punti dell'impianto valutando tutte le variabili e le parole guida si possono individuare tutte

le deviazioni possibili dalla normalità. Per ogni deviazione bisogna individuare le possibili

cause e le possibili conseguenze. Ogni linea della tabella che si viene a formare porta quindi una connessione logica fra eventi. Si verificano quindi le protezioni da eventi indesideratati e si identificano eventuali situazioni non note. Finalità Una rivisitazione completa dell'impianto e delle operazioni normali, di manutenzione e di emergenza. È un'ottima base per la stesura di manuali operativi delle singole parti dell'impianto e per la valutazione di procedure scritte.

Tipo di Risultati Una tabella di correlazioni logiche fra gli eventi, le nuove scoperte della squadra (rischi, problemi operativi), raccomandazioni per le modifiche del processo, dell'impianto e delle procedure, raccomandazioni per l'approfondimento dell'informazione su parti di impianto o

di processo non valutate a sufficienza.

Risorse necessarie L'HaZop richiede la disponibilità del P&I o disegni equivalenti, molte informazioni dettagliate sui processi nelle singole apparecchiature, le condizioni operative e le procedure operative e manutentive. L'informazione dimensionale deve essere abbastanza dettagliata anche sulla tipologia di strumentazione impiegata. 5-7 persone dovrebbero essere sufficienti per impianti complessi con esperienza differenziata. un minimo di 3-4 persone deve essere garantito. In genere un analista è responsabile dell'intera analisi, è coadiuvato da un addetto alla registrazione degli atti e delle tabelle (esistono programmi informatici dedicati che riducono notevolmente i tempi di registrazione dei risultati). L'analista si interfaccia di volta in volta con esperti dei singoli settori. Impianto Preparazione Valutazione Documentazione

piccolo

o

8-12 ore

1-3 giorni

2-6 giorni

semplice

grande

o

2-4 giorni

1-3 settimane

2-6 settimane

complesso

Failure Mode and Effect Analysis (FMEA, Analisi della Modalità e degli Effetti di Guasto)

Descrizione Corrisponde ad una tabulazione dei componenti dell'impianto accoppiata alla tabulazione delle modalità di guasto di questi componenti. La modalità descrive come il componente può uscire di servizio (Es. aperto, chiusa, perdita, accesa, spenta, etc.). L'effetto del guasto in una certa modalità è determinato dalla risposta del sistema al guasto stesso. L'identificazione dell'effetto può essere effettuata tramite simulazioni del comportamento o per deduzioni logiche euristiche basate sull'esperienza e su conoscenze teoriche e pratiche. Gli errori umani non vengono generalmente considerati in questo tipo di analisi anche se possono essere considerate delle operazioni errate alla base della modalità di guasto. Una FMEA non è in genere esaustiva nella valutazione delle combinazioni di eventi di guasto. Esistono delle FMECA (dove la C sta per Critical) in cui ad ogni effetto viene associato un indice euristico di criticità che porta ad identificare le zone di impianto da esaminare più approfonditamente. Finalità L'identificazione degli eventi iniziatori possibili è la maggiore finalità di una FMEA, agli eventi associa degli effetti potenziali che portano alla stesura di raccomandazioni sull'inserimento di protezioni. Tipo di Risultati Il risultato è generalmente una lista di riferimento qualitativa e sistematica dei componenti, del modo in cui possono guastarsi e degli effetti che possono produrre. I risultati possono essere facilmente aggiornati in base a modificazioni dell'impianto. La forma classica è una tabella. La tabella è corredata di suggerimenti dell'analista per il miglioramenti delle protezioni attive. Risorse necessarie Le informazioni devono essere molto dettagliate (il livello di dettaglio influenza fortemente il risultato finale). Sono necessari: Una lista dei componenti o un P&I; conoscenze sul comportamento specifico dei singoli componenti riguardo allla foriuscita di servizio; conoscenze del comportamento del sistema fuori dalle condizioni normali di funzionamento. La prima stesura dell'analisi può essere compiuta da un singolo analista, ma per assicurare una sufficiente completezza è necessario che specifici esperti rivedano criticamente l'analisi. La conoscenza degli strumenti e delle apparecchiature è fondamentale. In generale da 2 a 4 apparecchiature strumentate possono essere valutate in circa un'ora. Impianto Preparazione Valutazione Documentazione

piccolo

o

2-6 ore

1-3 giorni

1-3 giorni

semplice

grande

o

1-3 giorni

1-3 settimane

2-4 settimane

complesso

Fault Tree Analysis (FTA, Analisi degli Alberi di Guasto)

Descrizione

È una tecnica deduttiva che focalizza su un particolare incidente rilevante (Top Event) e

fornisce un metodo per individuarne le possibili cause. L'albero dei guasti è un modello

grafico che esplicita le connessioni logiche fra gli eventi di guasto e di errore umano

concomitanti che possono accadere in un sistema. La forza della FTA come strumento qualitativo consiste nella sua possibilità di individuare le combinazioni di eventi che possono portare all'evento indesiderato rilevante. Valutando le probabilità dei guasti dei singoli componenti è possibile calcolare la probabilità di accadimento del Top Event e riducendo l'albero è possibile individuare i Minimal Cut Set (MCS, Insieme Minimo di Taglio, concetto derivante dalla teoria dei grafi) che generalmente corrispondono alle combinazioni sufficienti a provocare il Top Event con la massima probabilità di accadimento. Questa analisi è fortemente indicata per sistemi ad elevata ridondanza. Per sistemi a singolo MCS conviene utilizzare tecniche orientate alla valutazione dei singoli eventi di guasto (FMEA e HazOp), la FTA può essere utilizzata per scendere nel dettaglio

in alcuni sottosistemi.

Finalità Identificazione delle combinazioni di eventi di guasto che portano al Top Event. Evidenzia quali eventi di guasto sono poco protetti e dove conviene intervenire per ridurre la frequenza di accadimento dell'evento di Top Tipo di Risultati

I risultati sono riportati come alberi di eventi di guasto combinati tramite porte logiche (And Or, Inhibit). Questi alberi descrivono le combinazioni come risultano dall'analisi logica dell'impianto. Tramite l'algebra booleana è possibile scrivere l'albero sottoforma di una equazione riducibile a una sommatoria di combinazioni di eventi di guasto primari. Questa equazione corrisponde a un nuovo albero detto albero ridotto che esplicita tutte le combinazioni che producono l'evento indesiderato. Le combinazioni con il minor numero

di eventi di guasto sono detti Minimal Cut Sets (MCS).

Risorse necessarie Una FTA richiede una conoscenza dettagliata di come il sistema funziona, sono necessari schemi dettagliati del processo e procedure normali, di manutenzione e di emergenza, la conoscenza dettagliata dei componenti (apparecchiature e strumentazione) e ruoli del

personale operativo. Un analista qualificato può sviluppare da sè l'albero, ma questo deve essere rivisto dal personale operativo e dagli ingegneri di processo delle singole unità coinvolte.

Impianto Preparazio ne

Costruzione

Valutazione

Documentazio

dei Modelli

Qualitativa

ne

piccolo

o

1-3 giorni

3-6 giorni

2-4 giorni

3-5 giorni

semplice

grande

o

4-6 giorni

2-3 settimane

1-4

3-5 settimane

complesso

settimane

Event Tree Analysis (ETA, Analisi degli Alberi degli Eventi)

Descrizione Un albero degli eventi mostra graficamente i possibili risultati incidentali che derivano da un evento di guasto iniziatore (un guasto di un componente o un errore umano) a seconda del funzionamento dei sistemi di protezione attiva presenti nel sistema. Ogni sequenza di evnti successivi all'evento iniziatore portano a delle conseguenze finali di maggiore o minor rilievo. Una ETA viene generalmente condotta per la valutazione dei sistemi di protezione attiva (riduzione delle frequenze di accadimento) Finalità Individuazione degli eventi provocati da un singolo evento di guasto in base al comportamento dei sistemi di protezione attiva, verifica del comportamento dei sistemi di

protezione attiva, quantificazione delle frequenze di accadimento dei differenti eventi indesiderati. Individuazione delle eventuali ridondanze dei sistemi protettivi che non aumentano la sicurezza del sistema.

Tipo di Risultati Liste di eventi finali e combinazioni dei sistemi di protezione attiva. Alberi di combinazione degli eventi di guasto dei sistemi protettivi. Gli analisti utilizzano questi modelli per identificare errori procedurali e tarature degli strumenti di sicurezza. Risorse necessarie Conoscenza dettagliata dei possibili eventi di guasto iniziatori e del comportamento dei sistemi di protezione attiva. Un singolo analista può sviluppare gli alberi ma almeno due persone sono preferibili.

Impianto Preparazio

Costruzione

Valutazione

Documentazio

 

ne

dei Modelli

Qualitativa

ne

piccolo

o

1-2 giorni

1-3 giorni

1-2 giorni

3-5 giorni

semplice

grande

o

4-6 giorni

1-2 settimane

1-2

3-5 settimane

complesso

settimane

Cause-Consequence Analysis (CCA, Analisi causa conseguenza)

Descrizione

È una miscela di FTA e ETA. Funziona bene per sistemi semplici e permette una migliore

comunicazione dei risultati grazie alla forma di presentazione dei diagrammi. Finalità Unire tramite connessioni logiche gli eventi che possono accadere in un impianto con il verificarsi o meno dei singoli eventi di guasto. Serve ad identificare le cause degli eventi indesiderati e leconseguenze degli eventi di guasto.

Tipo di Risultati Diagrammi a grafo che uniscono gli eventi (nodi) tramite connessioni logiche a seconda del verificarsi o meno dell'evento. Risorse necessarie Conoscenza dettagliata di tutti i componenti dell'impianto, di tutti i possibili eventi

indesiderati, conoscenza delle procedure e dei sistemi di protezione attiva. È necessario avere una squadra formata da poche persone di cui almeno uno sia esperto in CCA e gli altri esperti del processo.

Impianto Preparazio ne

Costruzione

Valutazione

Documentazio

dei Modelli

Qualitativa

ne

piccolo

o

1-2 giorni

1-3 giorni

1-3 giorni

3-5 giorni

semplice

grande

o

4-6 giorni

1-2 settimane

1-2

3-5 settimane

complesso

settimane

Human Reliability Analysis (HRA, Analisi dell'Affidabilità Umana)

Descrizione

È una valutazione sistematica dei fattori che influenzano i comportamenti degli operatori,

manutantori, tecnici, e ogni altro personale dell'impianto. Può essere basato su differenti tipi di analisi delle procedure. Queste analisi descrivono la fisicità delle procedure e le caratteristiche ambientali confrontandole con le capacità e le conoscenze richieste all'operatore che esegue le procedure. Una HRA identifica situazioni incongruenti che possano portare a incidenti e traccia le cause dell'errore umano. È una tecnica di supporto alle precedenti.

Finalità Identificare i possibili errori umani, le loro cause e i loro effetti.

Tipo di Risultati Una lista sistematica e ordinata (in base alla criticità dell'errore) degli errori umani che possono essere incontrati nelle procedure normali o di emergenza. A questa lista viengono associati i fattori che contribuiscono ad aumentare o diminuire la probabilità di errore e le proposte di modifiche delle procedure e dei sistemi di protezione. I risultati sono qualitativi ma è possibile avere dei dati quantitativi. Risorse necessarie Conoscenza delle procedure, conoscenza specifica del personale dell'impianto (tramite interviste), conoscenza della distribuzione territoriale dell'impianto, conoscenza dei pannelli di controllo e della strumentazione (essenzialmente l'interfaccia utente) e dei sistemi di allarme. Uno o due analisti sono sufficienti ma devono avere una buona conoscenza dell'uso delle interviste come metodologie di indagine e dei fattori di influenza. Inoltre la conoscenza dell'impiando dal punto di vista tecnico risulta indispensabile.

Impianto Preparazio

Costruzione

Valutazione

Documentazio

 

ne

dei Modelli

Qualitativa

ne

piccolo

o

4-8 ore

1-3 giorni

1-2 giorni

3-5 giorni

semplice

grande

o

1-3 giorni

1-2 settimane

1-2

1-3 settimane

complesso

settimane

2. Analisi di operabilità ricorsiva (HazOp ricorsiva)

L'analisi di operabilità consiste nella compilazione di una tabella che correla in modo logico gli eventi citati nelle colonne di una stessa riga. Nella tabella devono essere riportati gli evento correlati fra loro partendo da una deviazione (Deviazione, Causa, Conseguenza, Segnalazione, Intervento, Top Event, Nota). Le righe della tabella non sono ordinate e possono essere riportate in un qualsiasi ordine, tuttavia esistono dei criteri che migliorano la leggibilità dell'analisi. La seguente è una possibile intestazione di una tabella di HazOp.

Deviazione

Causa

Conseguenza

Segnalazione

Intervento

TE No.

Nota

No.

La tabella è divisa in tre zone: la prima che correla fra loro gli eventi principali che producono deviazioni dal funzionamento normale dell'impianto; la seconda che associa

alla deviazione le segnalazioni che si attivano e gli interventi automatici o manuali che devono avvenire (i sistemi di sicurezza attivati direttamante dalla deviazione o tramite la segnalazione); la terza che contraddistingue la conseguenza con un eventuale numero (se la conseguenza è identificata come evento indesiderato) e riporta il numero della nota descrittiva che permette un approfondimento. Si definiscono:

Evento primario un evento semplice di cui si conosca la probabilità di accadimento

Evento primario esterno

un evento semplice o complesso che agisca sul sistema in esame provocandone una deviazione, ma che non avvenga all'interno del sistema (o sottosistema) considerato

Top Event Evento complesso causato da un evento primario o intermedio indesiderato poichè produce direttamente effetti dannosi

Evento

Evento semplice o complesso causato da un evento intermedio o

intermedio

primario

La Deviazione è un evento intermedio provocato da un evento Causa e che provoca un evento Conseguenza. La causa è un evento anche primario che provoca la Deviazione. La Conseguenza è un evento intermedio o di Top provocato dalla deviazione se

l'Intervento non è andato a buon fine. La Segnalazione è un evento (generalmente semplice) che viene provocato dalla Deviazione e che produce un segnale (acustico, luminoso, etc.). L'Intervento è un evento semplice o complesso che viene provocato dalla Deviazione (Intervento automatico) o dall'azione di un operatore umano allertato dalla Segnalazione (Intervento Manuale).

Il TE No. è il numero progressivo dato a ciascuna conseguenza considerata come

indesiderata e di cui si voglia valutare la frequenza di accadimento. La Nota No. è il numero progressivo dato a ciascun approfondimento, l'approfondimento descrive le connessioni logiche fra causa, deviazione e conseguenza considerando eventuali procedure di calcolo, ipotesi effettuate e riferimenti al materiale utilizzato, descrivono inoltre le conseguenze dovute alla corretta esecuzione dell'intervento (spesso la corretta esecuzione dell'intervento può comportare un evento indesiderato anche se di dannosità

inferiore della conseguenza). Ogni Deviazione consiste di un unico evento, nella colonna Causa possono essere riportati più eventi collegati fra loro logicamente con connessioni OR o AND (alcuni o tutti gli eventi sono necessari affinchè avvenga la Deviazione), nella colonna Conseguenze possono essere riportati più eventi collegati fra loro logicamente con connessioni AND (la Deviazione provoca tutti gli eventi). La Deviazione può provocare un evento Conseguenza diverso a seconda degli eventi Causa che l'hanno generata, la riga viene così suddivisa in sottorighe. Una segnalazione

o un intervento possono servire da protezione ad un solo evento Conseguenza, anche in

questo caso la riga viene suddivisa in sottorighe facenti capo ad un'unica Deviazione. Analogo discorso per i TE No. e i Nota No. che possono riferirsi ad un solo evento Conseguenza. Nella tabella è riportato una riga di esempio, particolarmente complicata, in cui la Deviazione D1 è provocata dagli eventi Ca1.1, Ca1.2, Ca1.3 (i primi due contemporanei oppure dal terzo). L'evento Co1.1 avviene se avviene D1 (provocato dagli eventi Ca1.1 e Ca1.2) e se l'intervento I1.1 (su segnalazione S1.2) non va a buon fine. L'evento Co1.2 avviene se avviene D1 (provocato dall'evento Ca1.3) e se l'intervento I1.2 (su segnalazione S1.2) non va a buon fine. L'evento Co1.3 avviene se avviene D1 (provocato dall'evento Ca1.3) e se l'intervento I1.3 (automatico) non va a buon fine. L'evento Co1.2 è considerato un evento di Top.

Deviazione

Causa

Conseguenza

Segnalazione

Intervento

TE No.

Nota

No.

D1

Ca1.1

Co1.1

S1.1

I.1.1

 

§1

Ca1.2

         
         

Ca1.3

Co1.2

S1.2

I1.2

1

§2

Co1.3

 

I1.3

 

§3

Legenda:

Connessione AND Connessione OR

L'HazOp ricorsiva comporta una connessione logica fra le righe riportando l'evento Deviazione in ulteriori righe nella colonna Causa o nella colonna Conseguenza. Nella tabella seguente è riportato un esempio di ricorsività. Si può notare come le Segnalazioni

e gli interventi non siano coinvolti direttamente.

Deviazione

Causa

Conseguenza

Segnalazione

Intervento

TE No.

Nota

No. D1 Ca1 Co1 S1 I1 §1 D2(=Ca1) Ca2 Co2(=D1) S2 I2 §2 D3(=Co1) Ca3(=D1)
No.
D1
Ca1
Co1
S1
I1
§1
D2(=Ca1)
Ca2
Co2(=D1)
S2
I2
§2
D3(=Co1)
Ca3(=D1)
Co3
S3
I3
1
§3
3. FMEA (Failure Mode & Effect Analysis)

La Failure Mode & Effect Analysis (FMEA) è una analisi delle fuoriuscite dal servizio processi. Serve a verificare le conseguenze di eventi primari o esterni, localmente sul punto di applicazione e in generale sul sistema o sotto sistema in esame. Fornisce una buona rappresentazione di una parte dei risultati di una What-If analysis. La FMEA (o FMECA C= Critical) viene applicata a piccole parti di sistemi per l'analisi del comportamento in presenza di singoli guasti. Tipico è l'utilizzo per la verifica del comportamento di sistemi di pompaggio con più pompe in parallelo. La FMEA è utilizzata anche in altri ambiti relativi alla valutazione della qualità di gestione, in questo caso si analizzano i processi produttivi e amministrativi.

Componente

Modalità

di

Effetti

 

Criticità

Processo

guasto

 

Identificativo

Descrizione

 

Locali

Generali

 

V1

Valvola

di

Rotta

No

Portata

Cresce livello in 1

il

7

Regolazion

Chiusa

in 2

e

 

Rotta

Alta portata

Si svuota il serbatoio 1

4

aperta

in 2

4. DSI (Diagramma delle sequenze accidentali)

Il Diagramma delle sequenze accidentali (DSI) è una rappresentazione grafica, con una struttura ad albero a sviluppo orizzontale, delle connessioni logiche degli eventi e degli stati di un sottosistema. Viene utilizzata in congiunzione con la HazOp ricorsiva e ha lo stesso contenuto informativo della HazOp. Per la sua costruzione si parte in genere dagli eventi primari ed esterni presenti nella colonna cause della HazOp. In una riga della HazHop ci sono delle connessioni logiche fra le cause e la deviazione, fra la deviazione e le conseguenze e le protezioni verso le conseguenze attivate dalla deviazione. Le connessioni fra cause e deviazione possono essere di tipo OR oppure AND. La connessione OR viene rappresentata con una porta (esistono molte simbologie, quella qui adottata è una porta con il simbolo "+") che viene attivata anche da una sola delle cause. La connessione AND viene rappresentata con una porta (esistono molte simbologie, quella qui adottata è una porta con il simbolo "x") che viene attivata quando tutte le cause si verificano. La deviazione è collegata alle conseguenze direttamente se non ci sono protezioni che vengono attivate dalla deviazione per proteggere dalla conseguenza tramite la messa in sicurezza del sistema (la messa in sicurezza può anche prevedere il ripristino a nuovo del sistema, cioè la riparazione, quando i tempi caratteristici del ripristino e delle conseguenze sono compatibili). In presenza di protezioni la connessione logica è rappresentata da una porta di tipo INHIBIT. La porta INHIBIT si attiva in presenza della deviazione, prosegue verso la conseguenza per mancato intervento della protezione o verso la messa in sicurezza in caso di intervento riuscito. Queste connessioni sono

riportate qui di seguito in due esempi di riga HazOp e conseguente rappresentazione ad albero in DSI. Ovviamente la stessa riga potrebbe essere rappresentata graficamente in modi differenti con piccole variazioni della distribuzione delle porte. Le rappresentazioni forniscono gli stessi risultati di connessione logica, ma evidenziano aspetti differenti del sistema.

Deviazione Causa Conseguenza Segnalazione Intervento TE No. Nota No. Deviazione Causa 1 Conseguenza 1 §1
Deviazione
Causa
Conseguenza
Segnalazione
Intervento
TE No.
Nota
No.
Deviazione
Causa 1
Conseguenza 1
§1
Causa 2
Conseguenza 2
Protezione 1
§2
Causa 3
Note: §2 Messa in sicurezza 1
Legenda:
Connessione AND
Connessione OR
Causa
Conseguenza
Causa
+
Deviazion
Messa in Sicurezza
e
Causa
Conseguenza
Protezione 1
Deviazione
Causa
Conseguenza
Segnalazione
Intervento
TE No.
Nota
No.
D1
Ca 1.1
Co 1.1
S1.1
I.1.1
§1
Ca 1.2
Ca 1.3
Co 1.2
I1.3
§3

Note §1 Messa in sicurezza 1 §3 Messa in sicurezza 2 Legenda:

Connessione AND Connessione OR

S + I 1.1 Ca 1.1 Co 1.1 x Messa in Sicurezza Ca 1.2 Deviazion
S
+
I 1.1
Ca 1.1
Co 1.1
x
Messa in Sicurezza
Ca 1.2
Deviazion
+
Messa in Sicurezza
e
Ca 1.3
Deviazion
Co 1.2
e
I 1.3

5. Alberi dei Guasti

Gli alberi dei guasti sono rappresentazioni grafiche delle connessioni logiche fra un singolo evento di Top indesiderato e gli eventi primari ed esterni che lo possono generare. Rispetto al DSI ha uno sviluppo verticale e non contiene sdoppiamenti delle uscite dalle deviazioni. Viene infatti costruito a partire dall'evento indesiderato (Top Event) passando logicamente alle cause dirette dell'evento e via via verso gli eventi primari (cause primarie dell'evento di Top). L'albero dei guasti fornisce la rappresentazione grafica della logica di collegamento fra gli eventi primari (di cui si conosce la probabilità di accadimento) dell'evento di Top. Permettono quindi di modellare logicamente la dipendenza della probabilità di accadimento dell'evento di top con le probabilità di accadimento degli eventi primari. L'albero è la rappresentazione grafica di un sistema di equazioni logiche fra gli eventi. In figura è riportato un albero dei guasti e la sua rappresentazione in termini di equazioni logiche.

Top
Top
EI2 S1 + EI1 EP3 x EP1 EP2
EI2
S1
+
EI1
EP3
x
EP1
EP2

Top

EI

EI

2

1

=

=

=

EI 2

EI

EP

1

1

S

1

EP

EP

3

2

Il sistema di equazioni può essere risolto come:

Top = ((EP1EP2)EP3)S1

Rielaborando l'equazione si ottiene:

Top = (EP1EP2 S1)(EP3 S1)

Questa viene detta equazione ridotta in quanto è formata da somme di prodotti di eventi (unioni di intersezioni di eventi). All'equazione ridotta corrisponde l'albero ridotto in cui sono presenti solo eventi primari o esterni collegati al top eventi tramite una porta

AND e una porta OR. Nella figura seguente è riportato l'albero ridotto corrispondente all'equazione. Le porte INHIBIT scompaiono nell'albero ridotto in quanto perdono il loro

significato di rappresentare un intervento di protezione, rimane solo il significato di connessione logica e hanno lo stesso operatore AND.

Top + x
Top
+
x
S1
S1
EP
EP
EP
EP
EP
EP
S1
S1

Bibliografia

I. Modarres, M., 1993. Ibidem, cap 4, pp 127-190

II. Poucet, A., 1988. Fault tree and event tree analysis, In: A., Amendola, A. Saiz de Bustamante, Reliability engineering, Kluver Academic publishers.

III. Contini, S., Poucet, A., 1990. Advances on fault tree and event tree analysis, In: A.G., Colombo, A. Saiz de Bustamante, System reliability assessment, Kluver Academic publishers.

6. Alberi degli Eventi

L’albero degli eventi è una rappresentazione grafica delle catene di eventi che derivano dall’accadimento di un evento iniziatore e dalle risposte dei sistemi di sicurezza attivati

dall’evento iniziatore stesso. Mette in evidenza il risultato degli interventi di sicurezza e la loro efficacia.

 

Prima

Seconda

Terza

Quarta

 

protezion

protezion

protezion

protezion

e

e

e

e

si

Messa in sicurezza 1

 

si

   

Messa in sicurezza 2

Evento

       

iniziatore

si

Messa in sicurezza 3

si

Messa in sicurezza 4

no

   
 

no

 

no

Evento indesiderato

 

no

Top event

7. Esercitazione di applicazione delle tecniche di analisi: Analisi di un serbatoio di raccolta di acqua

Dato lo schema semplificato e strumentato di un serbatoio di raccolta di acque a valle di una condotta e con una condotta successiva. Il livello nel bacino è controllato ad un certo valore normale tramite il controllore LC1. Il sistema è dotato di allarmi e di sistemi di intervento automatico per evitare tracimazioni del serbatoio stesso. I set point sul livello sono in ordine crescente da hLA1 a hLAS2 a TP1. Si individuano pertanto tre valori alti per la variabile livello

Livello

Valore

della

Strumento

Attivato dalla

Protegge

dalla

variabile

di

deviazione:

conseguenza:

 

Sicurezza

 

Tracimazione

 

Altissimo

HHH

TP1

L=HHH

Tracimazione

Molto Alto

HH

hLSA2

L=HH

L=HHH

Alto

H

hLA1

L=H

L=HH

Normale

N

TP1

V2 Sotto lLA1 3 Y Sistema III hLA 1 LC1 2 Sotto hLSA Sistema II
V2
Sotto
lLA1
3
Y
Sistema III
hLA
1
LC1
2
Sotto
hLSA
Sistema II
V1
V3

Legenda:

L

livello

C

controllore

A

allarme

S

switch

V

valvola

h

alto

l

basso

TP

troppo pieno

Y

scarico

Y

Analisi Ricorsiva per la deviazione Livello Alto

Si individua una variabile indipendente o ritenuta tale, ovvero una variabile controllata, in questo caso il livello L. Si inizia da una deviazione fra quelle possibili (Livello alto o basso). L'unica causa possibile per una deviazione di una variabile controllata è il malfunzionamento del sistema di controllo, tuttavia il malfunzionamento può essere dovuto a rotture sulla catena di controllo oppure a deviazioni di altre variabili che abbiano deviato il sistema in condizioni tali per cui il controllore non può funzionare in quanto non progettato per quella situazione anormale. Si considerano sempre il controllore e tutte le apparecchiature ben progettate per funzionare in condizioni normali, tuttavia una deviazione potrebbe fare venire meno le condizioni gestibili da controllore o apparecchiatura. Le condizioni di Fuori Progetto sono quelle che fanno della variabile controllata una variabile dipendente da altre deviazioni. Se non si individuano condizioni tali da impedire il funzionamento del controllore in stato di efficienza, allora la variabile è completamente indipendente, e l'analisi (per quanto riguarda le cause) rimane circoscritta al sottosistema e si riduce la complessità della descrizione delle correlazioni logiche. Le frecce sulla tabella indicano la ricorsività derivata dalla prima riga, procedendo con la stessa metodologia is riesce a compilare l'intera tabella. La rottura della catena di controllo è esplicitata in deu componenti, il controllore (che contiene il misuratore e il sistema di confronto fra i valori e la trasduzione di un segnale all'attuatore in base alla logica di controllo) e l'attuatore (in questo caso una valvola di regolazione). La situazione di fuori progetto è legata a fenomeni che comportino un aumento del volume tale da non poter essere smaltito dal sistema di controllo (ovvero dalla condotta in uscita con la valvola v1 completamente aperta), oppure ad una ridotta capacità di evacuazione nel condotto 2. L'aumento può derivare dal condotto 3 oppure da fenomeni

esterni, a titolo di esempio si riporta la pioggia, che può assumere importanza per serbatoi aperti con un'area sufficientemente vasta, e una frana, fenomeno osservato per il bacino del Vajont con le note conseguenze. La riduzione in 2 o l'aumento in 3 delle portate di acqua può essere legato solo a fenomeni esterni al sottosistema che arrivano da altri sotto sistemi che si interfacciano tramite le correnti di materia al sottosistema in esame. Per la parte delle conseguenze alla deviazione è stato seguito il criterio esemplificato nella tabella precedente.

Deviazione Causa Conseguenza Segnalazion Intervento TE No. Nota e No. HL in 1 MF LC1
Deviazione
Causa
Conseguenza
Segnalazion
Intervento
TE No.
Nota
e
No.
HL in 1
MF LC1
HHL in 1
hLA1
§1
MF LC1
RH LC1
HL in 1
§2
FP LC1
RH LC1
LC1 RH*
MF LC1
V1 RC*
Fmin
verso ss
§3
II
FP LC1
Pioggia **
MF LC1
Frana **
F
max verso ss
§4
II**
Onda di piena
1
§5
HF in 3
MF LC1
F
max verso ss
§6
II**
LF in 2
MF LC1
§7
HF in 3
HF da ss III**
FP LC1
§8
LF in 2
LF da ss II**
FP LC1
§9
HHL in 1
HL in 1
HHHL in 1
hLA2
HLS2
§10
HHHL in 1
HHL in 1
Tracimazione
TP1
2
§11
Allagamento
hLA2
TP1
3
§12
strumenti
Legenda:
H
= alto
L
= Basso

MF = MalFunzionamento

R

= Rotto

L

= Livello

F = Portata Volumetrica ss = Sotto Sistema

'*' = Evento Primario

'**' = Evento esterno

 

Note:

§1

hLA1 richiama l' operatore O1 che: 0, verifica le condizioni del bacino (già allertato in condizioni di pioggia particolare) 1, verifica la funzionalità dell'allarme e la misura del livello; 2, se il livello è alto apre parzialmente V3; 3, verifica e ripristina la funzionalità di LC1 e V1. Nel caso di riuscita dell'intervento il sistema è ripristinato in condizioni normali.

§2

RH LC1 non è considerato evento primario, lo potrebbe essere conoscendone la frequenza di accadimento

§3

Fmin è calcolato considerando l'apertura minima della valcola e il battente in

 

condizioni normali [F=Cvf(s)RadQ(P/ρ)]

§4

Fmax è calcolato considerando l'apertura massima della valcola e il battente in condizioni di straripamento [F=Cvf(s)RadQ(P/ρ)]

§5

Il valore dell'onda di piena può essere valutato in base alle tempistiche di auneto del volume del bacino. Si ipotizza che i tempi caratteristici dell'onda non permetterebbero l'intervento di alcun sistema di sicurezza (in caso contrario questo evento non si differenzierebbe da un aumento anomalo di livello).

§6

Vedi nota §4

§7

Nessun commento

§8

Valutare i valori massimi derivabili dal sottosistema III e confrontarli con la portata in uscita con V1 tutta aperta e un battente normale [F=Cvf(s)RadQ(P/ρ)]. Se la portata massima ottenibile da ssIII risulta maggione della massima evacuabile sussistono le condizioni di fuori progetto.

§9

Valutare i valori minimi derivabili dal sottosistema II. Probabilmente F=0

§10

hLA2 richiama l'operatore O2 che esegue le stesse operazioni della nota §1, in più ripristina V2 e hLS2 e allontana gli strumenti che si potrebbero allagare. Se l'intervento riesce la situazione viene normalizzata.

§11

TP1 è in grado di scaricare fino a una portata Fmax1 l'eccedente strariperà

§12

Vedi Note §10 e §11

Le note e la legenda sono strumenti fondamentali per la comprensione dell'HazOp e per la successiva stesura del DSI (Diagramma delle sequenze indidentali).

Diagramma delle Sequenze Incidentali

Si individuano gli eventi primari e gli eventi esterni presenti nella colonna Cause della tabella dell'analisi HazOp ricorsiva. Si uniscono tramite le corrette porte OR o AND alle relative Deviazioni e Conseguenze. La Deviazione può essere ripetuta se provoca differenti conseguenze a seconda delle cause che l'hanno generata, in pratica si tratta di eventi simili (ad esempio, tutti hanno in comune il fuori progetto del controllore ma si differenziano in base al tempo caratteristico con cui l'uscita dalle condizioni di normale funzionamento si verifica o per le posizioni delle valvole al momento dell'uscita dalla normalità). Il fuori progetto è sempre in genere un evento complesso che può essere generato da molte cause e pur avendo alcune conseguenze comuni a tutte le cause ne può avere alcune non comuni. Si generano quindi delle triplette logiche Causa/e-Deviazione-Conseguenza/e. Le deviazioni fanno parte di tre triplette una volta come deviazione una volta come causa e una volta come conseguenza. Applicando le correlazioni logiche di ogni singola riga della tabella HazOp si costruisce l'intero DSI. La A è un simbolo di collegamento per poter spezzare in due il diagramma. Nelle porte Inhibit entrano gli eventi che chiamano l'intervento di una sicurezza (segnalazione o intervento automatico) e il Mancato Intervento (MI) della sicurezza, dalle porte escono, la conseguenza indesiderata e la situazione controllata (descritta nella nota).

Onda di piena FP LC1' Pioggia ** + F max verso FP LC1'' Frana **
Onda di piena
FP LC1'
Pioggia **
+
F
max verso
FP LC1''
Frana **
+
ss II**
FP LC1'''
+
HF
da
ss
HF in 3
III**
+
MF LC1
A
LF da ss II**
LF in 2
+
LC1 RH*
RH LC1
+
F
min verso
ss
II**
MI TP1
V1 RC*
§1
§10
Tracimazione
§11
A
HL in 1
HHHL in 1
HHL in 1
§12
Allagamento
MI
hLS2
strumenti
MI
TP1
MI hLA1
x
x
MI
hLA2
MI
hLA2

Albero dei Guasti per la Tracimazione

Scelto un evento di Top, si procede a ritroso sul DSI riportando le porte e gli eventi intermedi esterni o primari con uno sviluppo verticale dell'albero. I mancati interventi delle

Tracimazione MI TP1 HHHL in 1 x MI hLA2 MI hLS2 HHL in 1 +
Tracimazione
MI TP1
HHHL in 1
x
MI hLA2
MI hLS2
HHL
in 1
+
+
V3 RC*
MI O2*
hLA2 R*
V2 RA*
HLS2 R*
MI hLA1
HL in 1
+
MF LC1
V3 RC*
hLA1
R*
+
FP LC1
RH LC1
+
+
+
+
LC1 RH*
V1 RC*
HF in 3
LF in 2
Pioggia **
Frana **
HF da ss III**
LF da ss II**

sicurezze vengono sviluppati negli eventi primari che possono portare al mancato intervento.

TE2 EP11 G11 G9 G10 G8 EP6 EP7 EP8 EP9 EP10 G7 G6 G5 EP3
TE2
EP11
G11
G9
G10
G8
EP6
EP7
EP8
EP9
EP10
G7
G6
G5
EP3
EP4
EP5
EP2
EP2
G3 G4 EP1 G1 G2 EE1 EE2
G3
G4
EP1
G1
G2
EE1
EE2
EE3
EE3
EE4
EE4

Si possono esprimere le correlazioni logiche in algebra booleana qui riportate:

TE2

=

G11

EP11

G11

G9

=

=

G8

EP6

G9

EP7

G10

EP8

G10

=

EP9

EP10

G8

G7

=

=

G6

EP3

G7

EP4

EP5

G6

G5

G3

G1

= G5

= ⊕

=

=

G3

G4

EE1

EE3

EE2

G1

G2

=

EE4

G4

=

EP1

EP2

TE2

=

G

8

EP6

EP7

G 8

=

(

EE1

EE2

EE3

TE2

=

(

EE1

EE2

EE3

G2

EP8

EE4

EE4

EP9

EP1

EP1

EP10

EP2

)

)

EP2

EP3

EP4

EP5

EP6

EP7

EP8

EP11

EP3

EP9

EP4

EP5

EP10

EP11

V3 RC corrisponde sia a EP6 che a EP3 per cui EP3 EP6 = EP3

TE2

=

EE1

EP3

EP4

EP5

EP7

EP8

EP9

EP10

EP11

+

EE2

EP3

EP4

EP5

EP7

EP8

EP9

EP10

EP11

+

EE3

EP3

EP4

EP5

EP7

EP8

EP9

EP10

EP11

+

EE4

EP3

EP4

EP5

EP7

EP8

EP9

EP10

EP11

+

EP1

EP3

EP4

EP5

EP7

EP8

EP9

EP10

EP11

+

EP2

EP3

EP4

EP5

EP7

EP8

EP9

EP10

EP11

La soluzione del sistema di correlazione esplicitando TE2=f(EE1-EE4; EP1-EP11) comporta un'unica equazione algebrica in algebra booleana.

Albero degli Eventi Per la Valvola V1 Rotta chiusa

Scelto un evento primario riportato nella colonna Cause della tabella dell'analisi HazOp, si

elencano tutte le sicurezze che si possono incontrare avanzando dall'evento lungo i

diversi rami del DSI (in questo caso le sicurezze sono su un unico ramo a protezione degli

eventi di top 2 e 3. Ogni intervento di sicurezza (segnalazione o intervento automatico) può andare o meno a buon fine provocando effetti diversi (prosecuzione oltre la porta Inhibit sul DSI o entrata nella nota)

A

B

C

D

E

Conseguenz

Calcolo

a

evento

hLA1

hLA2

hLS2

TP1

Si

 

Normale

AB

V1 RC*

 

Si

   

Normale

ABC

       

Flusso

Si

interrotto

ABCD

No

 

Si

Perdita

 

Acqua

ABCDE

No

 
 

No

 

Tracimazion

 

e

ABCDE

No

Esercitazioni

Omologazione di un oggetto

Analisi dell’uscita di servizio di un componente

Affidabilità

1. Introduzione

L'affidabilità (R=Reliability=Affidabilità; F=Failabiliy=Inaffidabilità=1-R) può essere definita come la probabilità di un dispositivo di svolgere determinate funzioni, in condizioni assegnate, per un periodo assegnato ovvero di svolgere il compito assegnatogli ovvero di compiere una missione. L’affidabilità in quanto probabilità è un numero adimensionale compreso fra 0 e 1. In termini di progetto la valutazione della affidabilità di un sistema (sottosistema o componente) consiste nella previsione del comportamento del sistema (sottosistema o componente) durante la fase lavorativa. La previsione del comportamento si basa su analisi strutturali (affidabilità fisica) sul sistema che portano a modelli descrittivi della struttura fisica del sistema parametrati in base allle sollecitazioni a cui il sistema è sottoposto oppure su analisi storiche statistiche (affidabilità statistica) che portano a modelli di previsione del comportamento del sistema

in base alla distribuzione di comportamento osservato per sistemi simili o per il sistema

stesso.

Il primo passo dell'analisi affidabilistica di un sistema consiste nella sua frammentazione

in componenti semplici per i quali possa essere effettuata una generalizzazione delle

valutazioni ottenute, i componenti sono quindi gli elementi su cui si basa qualunque analisi

di affidabilità. I modelli (fisici o statistici) elaborati sui componenti saranno poi riversati sul

sistema completo tramite la modellazione logica del sistema che individua le relazioni fra

gli eventi di guasto dei componenti e gli eventi di guasto del sistema completo.

2. Affidabilità fisica

L'analisi strutturale è indirizzata all'individuazione dei meccanismi di guasto del sistema e all'individuazione del punto di rottura correlato a quella modalità di guasto. Il punto di rottura corrisponde alla sollecitazione limite non sopportabile dal sistema; per sollecitazione si intende un insieme di misure quantitative che caratterizzino la funzione che il componente deve svolgere. L’affidabilità risulta quindi essere la probabilità che la sollecitazione a cui il componente è sottoposto superi la resistenza del componente stesso.

Sollecitazioni

La sollecitazione considera gli effetti legati a due classi di cause: il carico (una misura del compito che il componente deve svolgere, ad esempio la corrente elettrica che attraversa

il componente, la portata d'acqua o il carico dinamico o statico) e i fattori di influenza (che derivano dalle condizioni a cui il componente è sottoposto durante il funzionamento). I fattori di influenza possono essere di diversa origine: ambientale, meccanica, elettrica. I fattori di influenza ambientali tengono conto di tutto ciò che circonda il componente:

temperatura, umidità, pressione, presenza polveri, immersione in liquidi, acidità, eccetera.

I fattori di influenza meccanici considerano tutte le interazioni di tipo meccanico estranee alla funzione che il componente deve svolgere, ad esempio urti (prevalentemente in fase

di trasporto e messa in opera), carichi statici e dinamici (ad esempio un componente che

viene fissato su un telaio subisce delle sollecitazioni derivanti dal telaio estranee alla sua

funzione). i fattori di influenza elettrici derivano principalmente dalle interferenze elettromagnetiche che il componente potrebbe subire.

Carico e resistenza

Il carico misura la sollecitazione a cui il componente viene sottoposto, la resistenza misura la sollecitazione al di sopra della quale il componente smette di funzionare. La quantificazione di queste due misure viene effettuata con sistemi differenti e per entrambe esiste una variabilità legata sia al componente (principalmente per la resistenza) sia al sistema in cui il componente è inserito (principalmente per il carico); ne deriva una distribuzione statistica dei valori generalmente di tipo normale.

Il confronto fra questi valori fornisce informazioni utili alla previsione di affidabilità.

L'affidabilità può essere considerata come la probabilità che il carico sia maggiore della resistenza ovvero che ci sia sovrapposizione fra le loro distribuzioni. Formalmente si può esprimere il margine di sicurezza come la differenza fra resistenza e carico; essendo una differenza fra distribuzioni normali è anch'esso distribuito normalmente. L'affidabilità risulta quindi essere la funzione cumulativa di distribuzione da meno infinito fino al margine di sicurezza espresso come differenza ridotta fra i valori medi delle distribusioni normali:

MS =

Re sistenza

Carico

delle distribusioni normali: MS = Re sistenza − Carico 2 σ Re sistenza + σ 2

2

σ

Re sistenza

+ σ

2

Carico

Il valore della affidabilità viene ricavato dal valore tabellato F(z) della normale ridotta. Ad esempio una resistenza che resiste ad una corrente di 2000±100 A sottoposta ad una corrente di 1400±150 A ha un margine di sicurezza MS=3.32 che corrisponde a una

affidabilità R=0.9995 che esprime la probabilità che il componente svolga le sue funzioni

Situazioni con margini di sicurezza

per il tempo al quale il test di resistenza è stato svolto

superiori a 3 (R>0.99865) sono dette intrinsicamente affidabili

Probabilità.

Carico

Carico
Resistenza Sollecitazione
Resistenza
Sollecitazione

I fattori di influenza agiscono sulle caratteristiche di resistenza del componente

modificandone sia il valore medio sia la varianza della distribuzione del valore (in alcuni

casi anche sul tipo di distribuzione. Gli effetti dei fattori di influenza sono funzione del tempo cumulativo durante il quale il componente è stato sottoposto all'azione del fattore di influenza considerato. La valutazione di questo tempo è spesso problematica per cui generalmente si fa uso di caratteristiche temporali del componente più facilmente disponibili quali: il tempo di vita del componente (ovvero il tempo intercorso fra la costruzione o la messa in opera del componente e la fine della missione) e del tempo cumulativo di lavoro del componente (la somma dei periodi di tempo durante i quali il componente ha lavorato). L'effetto dei fattori di influenza modifica quindi il margine di sicurezza al quale il componente lavora; si fa riferimento al margine di sicurezza al termine della missione che

il componente deve svolgere. La conoscenza del comportamento del componente nel

tempo sotto l'azione dei diversi fattori di influenza rimane comunque un dato poco disponibile se non in condizioni particolari. La raccolta di questo tipo di dati comporta una campagna di esperimenti molto onerosa sia in termini di tempo che di spesa.

Evoluzione della resistenza Evoluzione del carico
Evoluzione della resistenza
Evoluzione del carico

Sollecitazione

Tempo di esposizione

3. Affidabilità statistica

Cenni di calcolo della probabilità e di statistica

Il concetto di probabilità viene utilizzato in modo casuale dalla gente comune praticamente tutti i giorni per la rappresentazione di sensazioni legate al verificarsi o meno di un evento. Tutti i giochi legati a scommesse (Totocalcio, Totogoal, Totip, Lotto, lotterie varie, Giochi

di carte, etc.) sono basati sul calcolo delle probabilità. L'uso formale dei concetti

probabilistici è largamente diffuso in tutti i rami delle scienze applicate dalla biologia all'ingegneria. In alcuni casi viene fatto un abuso dei concetti probabilistici, soprattutto in campo medico (Il 33% del campione ha reagito bene alla somministrazione del farmaco, 1/3 del campione è morto e il terzo topo è scappato). La probabilità potrebbe essere definita come il limite del rapporto fra numero di volte che un evento risulta verificato e il numero di volte in cui sia stato valutato il verificarsi dell'evento per il secondo numero che tende a infinito. Questa definizione è la più vicina alla sensazione che permette una sua rappresentazione tangibile (se noi lanciamo un dado n volte la probabilità che esca il 2 corrisponde al numero di volte che il dado si è fermato sul 2 fratto n, se n è "sufficientemente" grande).

Pr(

La valutazione a priori della probabilità di un evento deriva da definizioni differenti e da

valutazioni teoriche sul comportamento del sistema come rapporto fra il numero di stati equivalenti del sistema che portano all'evento e il numero totale degli stati possibili del sistema (un dado ha sei facce di cui solo una ha il numero 2 per cui la probabilità che esca il 2 è pari a 1/6, con due dadi la probabilità che esca una somma pari a 4 è pari a 3/36 [1+3;2+2;3+1]).

La valutazione a posteriori della probabilità si basa sul concetto di limite della frequenza di

accadimento dell'evento tramite l'analisi di un numero "sufficientemente elevato" di situazioni. La probabilità rimane in ogni caso condizionata dalla possibilità di accadimento dell'evento, in quanto un evento impossibile ha una probabilità nulla di accadere (La teoria della possibilità sarà soltanto accennata brevemente in questo corso).

Insiemi e calcolo booleano L'impiego dell'insiemistica e del calcolo booleano diventa praticamente necessario per presentare le operazioni legate al calcolo delle probabilità. Un insieme (set) è l'unione di singoli elementi accomunati da almeno una caratteristica comune; l'insieme di tutti gli

E ) =

lim

N

N

E

singoli elementi accomunati da almeno una caratteristica comune; l'insieme di tutti gli E ) = lim

N

elementi di interesse (gli Stati di funzionamento che il sistema in esame può assumere nel nostro caso) si indica generalmente con la lettera omega maiuscola , l'insieme vuoto ovvero privo di elementi si indica con la lettera fi minuscola φ. Un sottoinsieme è un insieme che contiene solo una parte degli elementi dell'insieme, ogni insieme considerabile E sarà quindi un sottoinsieme di (E ⊂ Ω). La negazione di un insieme E si

indica con lo stesso nome dell'insieme sopralineato (o sottolineato) E e contiene tutti gli elementi di che non appartengono all'insieme E; anche la negazione è un sottoinsieme

di (E ⊂ Ω). Le operazioni di unione e intersezione sono definite internamente agli insiemi (operano sugli insiemi generando degli insiemi); l'unione di più insiemi è un insieme contenente tutti gli elementi di tutti gli insiemi sottoposti a unione (contati una sola volta); l'intersezione di più insiemi è un insieme contenente tutti gli elementi comuni a tutti gli insiemi sottoposti a intersezione (contati una sola volta). L'uso dei diagrammi di Venn permette una esemplificazione grafica dei concetti insiemistici molto utile alla comprensione delle operazioni sugli insiemi.

A

A
A

Rappresentazione di un insieme A, dell'insieme negato di A (tutto ciò che non è A ma che fa parte dell'universo del discorso ).

B A A B
B
A
A
B

Rappresentazione dell'intersezione di due insiemi

B A A B
B
A
A
B

Rappresentazione dell'unione di due insiemi

Le operazioni di unione e intersezione posseggono alcune proprietà:

AB=BA AB=BA A(BC)=(AB)C=ABC A(BC)=(AB)C=ABC A(BC)=(AB)(AC) A(BC)=(AB)(AC) AA=A AA=A A(AB)=A A(AB)=A

Proprietà Commutativa Proprietà Associativa

Proprietà Distributivativa

Legge di Idempotenza Legge di Assorbimento Legge di Complementarietà

A A

= ∅

A A

= Ω

=

A A

 

A

B

=

A

B

Teorema di De Morgan

A

B

=

A

B

Probabilità degli eventi L’universo del discorso nel caso della probabilità legata al rischio è l’insieme di tutti gli stati possibili che il sistema in esame assume. A ogni stato è legata una probabilità che lo stato si verifichi. Un evento è quindi l’insieme degli stati del sistema (elementi dell’insieme) tali per cui l’evento sia verificato (proprietà/caratteristica dell’insieme). La probabilità dell’universo del discorso equivale alla probabilità che il sistema considerato abbia un suo stato, se il sistema esiste deve avere uno stato quindi la probabilità che un sistema esistente esista è unitaria P()=1. È quindi una probabilità condizionata all’esistenza del sistema considerato. In modo analogo possiamo definire la probabilità dell’insieme vuoto φ; la probabilità dell’insieme vuoto φ equivale alla probabilità che il sistema considerato non abbia un suo stato, se il sistema esiste deve avere uno stato quindi la probabilità che un sistema esistente non esista è nulla P(φ)=0. Anche questa è una probabilità condizionata all’esistenza del sistema considerato. Tutte le probabilità degli eventi associati a un determinato sistema sono quindi condizionati all’esistenza del sistema stesso. Le intersezioni di eventi (insiemi), le unioni di eventi (insiemi) e le negazioni di eventi (insiemi) hanno una probabilità che può essere calcolata a partire dalle probabilità di accadimento dei singoli eventi. P(A B)= P(A)P(B A)= P(B)P(A B) P(A B)= P(A)+ P(B)P(A B)

P(A)=1P(A) Due eventi A e B si dicono mutuamente esclusivi se non hanno stati di funzionamento del sistema (elementi) in comune, ne deriva che l’intersezione fra eventi mutuamente esclusivi sia l’insieme vuoto a cui è associata la probabilità nulla.

che l’intersezione fra eventi mutuamente esclusivi sia l’insieme vuoto a cui è associata la probabilità nulla.
che l’intersezione fra eventi mutuamente esclusivi sia l’insieme vuoto a cui è associata la probabilità nulla.

A

P A

(

B

=

φ

B

)

=

P

(

)

φ

= 0

P(A B) P(A) P(B) P( ) P(A) P(B)

=

+

φ

=

+

Considerare l’ipotesi di eventi mutuamente esclusivi comporta la semplificazione del calcolo della probabilità dell’unione, ovvero comporta il trascurare in una somma la

probabilità dell’intersezione rispetto alle probabilità dei singoli eventi. Se uno degli eventi

(A) ha una probabilità inferiore a 10 -3 (P(A)<10

ameno tre ordini di grandezza (in base 10) inferiore della probabilità dell’altro evento (B); l’errore legato alla semplificazione sarà quindi inferiore allo 0.1%.

Due eventi A e B si dicono indipendenti se la probabilità assoluta di accadimento

dell’evento A è uguale alla probabilità condizionata all’altro evento B ( P(A)= P(A B)). Per eventi indipendenti si può quindi scrivere: P(A B)= P(A)P(B) L’ipotesi di indipendenza è una semplificazione di cui non si può valutare facilmente la portata. Il condizionamento di un evento a un altro può comportare un aumento o una diminuzione della probabilità dell’evento dipendente. Probabilità condizionate e Teorema di Bayes Il calcolo delle probabilità condizionate a partire dalla conoscenza delle probabilità dei singoli eventi semplici e dei condizionamenti inversi può essere effettuato tramite il teorema di Bayes che deriva direttamente dalla definizione della probabilità dell’intersezione di eventi:

), l’intersezione avrà una probabilità di

-3

di eventi: ), l’intersezione avrà una probabilità di -3 P ( A ∩ B ) =

P(A B)= P(A)P(B A)= P(B)P(A B) P B P A B

P

(

B ) = P ( A ) P ( B A ) = P ( B

B

A

)

=

( ) ( )
(
)
(
)

P(A)

P ( B ) P ( A B ) P B P A B P (

Teorema di Bayes

Valutazione statistica della probabilità degli eventi La valutazione statistica della probabilità di un evento si può calcolare dalla numerosità delle situazioni testate N T e dalla numerosità delle situazioni testate in cui l’eventi si sia verificato N E . La numerosità delle situazioni testate deve essere sufficientemente elevata. Il concetto di “sufficientemente” è legato alla accuratezza con cui si desidera conoscere la probabilità. Per sistemi complessi il valore vero della probabilità non è conosciuto e la numerosità minima non è valutabile dalla precisione richiesta. In genere la numerosità degli eventi testati deriva da considerazioni di tipo economico (costo in termini di tempo e denaro dei test).

Pr(

E ) =

lim

N

T

N

E

di tempo e denaro dei test). Pr( E ) = lim N T → ∞ N

N

T

La probabilità condizionata si calcola tenendo conto delle numerosità in cui l’evento condizionatore sia verificato

Pr(