3 L’incidente come fenomeno e la sua stima
4.3 Funzionamento dell’impianto di ventilazione in galleria
4.3.8 Calcolo dell’affidabilità
Fatte le dovute premesse si può procedere al calcolo di ogni singola funzione per arrivare a stabilire il livello di sicurezza del sistema. Il Mean Restoration Time, da sommare al tempo medio intercorrente tra due successive manutenzioni, è stato volutamente escluso dalle formule perché il suo contributo è trascurabile. Rilevazione da parte dei sensori di galleria
Considerando l’impianto di rilevazione costituito da cinque sensori sorveglianti H24 e in condizione di parallelo affidabilistico. Tendenzialmente, più è basso il rapporto tra M ed N, più è sicura la configurazione e questo porterebbe a ipotizzare uno schema 1oo5 per i rilevatori di gas in galleria. È anche vero però che uno schema del genere rischierebbe di procurare falsi allarmi, dal momento che un’anomalia in un solo sensore genererebbe un segnale di allarme. Preso atto di ciò è adottata una configurazione 2oo5 (già illustrata in precedenza), sostanzialmente al riparo da falsi allarmi e con un alto grado di tolleranza.
Si specifica che è supposta la logica di funzionamento alla pari tra i componenti, cioè, presi i cinque sensori si suppone che tutti operino allo stesso livello con le medesime performance, indipendentemente dalla loro posizione.
167
𝐸𝐸𝐹𝐹𝐷𝐷 = ((1 − β) ∗ 𝜆𝜆𝐷𝐷𝑆𝑆∗ 𝜏𝜏)4+ 𝐶𝐶2𝑡𝑡𝑡𝑡5∗β ∗ 𝜆𝜆𝐷𝐷𝑆𝑆2 ∗ 𝜏𝜏 Dove:
β indica la proporzione fissa dei guasti derivanti da una causa comune; λDU è il tasso dei guasti pericolosi non rilevati;
CMooN è un coefficiente, dipendente dalla configurazione in parallelo dello schema, che va a modificare il
valore di β;
τ è il tempo che intercorre tra due successive manutenzioni.
Il termine CMooN si ricava immediatamente dalla tabella specifica e corrisponde a 0,45. Per λDU e τ si estraggono
i dati d’interesse dalle tabelle del NOG 07021:
Figura 82: tasso di guasto e intervallo tra due successive manutenzioni per i sensori
Per il calcolo di β si ipotizza, a favore di sicurezza, che non sia presente un regolare controllo diagnostico, da cui deriva un valore di C pari ad 1. Inoltre si fa l’ipotesi che non sia presente un adeguato controllo ambientale. Le ipotesi sono cautelative e probabilmente non realistiche ma servono a verificare la bontà del sistema e a vedere in che modo un maggior controllo diagnostico potrebbe migliorare le prestazioni. Si anticipa infatti che i calcoli svolti verranno rieseguiti una seconda volta con un fattore β potenziato.
A seguito delle ipotesi formulate, si ottengono valori di A e B pari rispettivamente a 340 e 242. Dalla formula si ottiene:
𝐸𝐸 = 340 ∗ 1 + 452 = 792 Sostituendo tale valore di S nella formula (x) si ha:
β = 0.3 ∗ 𝑒𝑒(−3.4∗792)2624 = 0.11
Si fa presente che tale valore di β sarà utilizzato anche per gli altri componenti del sistema. Non risultano infatti grandi differenze nei risultati ricavabili dalle tabelle dell’Appendice tra i valori di A e B per quanto riguarda i sensori e i valori di A e B per quel che riguarda gli altri componenti.
Avendo anche il valore di β si può procedere al calcolo di affidabilità dei sensori:
21 070 - Norwegian Oil and Gas application of IEC 61508 and IEC 61511 in the norwegian petroleum industry, Appendice A “Background for minimum SIL requirements”, pagg. 57-59. Si fa riferimento a questa fonte anche per i componenti dell’impianto descritti in seguito.
168
𝐸𝐸𝐹𝐹𝐷𝐷 = (0,89 ∗ 7 ∗ 10−7∗ 4380)4+ 0.45 ∗0.11∗7∗10−7∗4380
2 = 7,59 ∗ 10−5h-1 L’affidabilità è il complemento a 1 della inaffidabilità, per cui si ottiene:
𝑅𝑅 = 1 − 0,0000759 = 0,9999241
In analogia a quanto sviluppato per i sensori, è possibile procedere alla valutazione della prestazione delle altre funzioni di sistema.
Calcolate le PFD di tutte e cinque le funzioni si può procedere al calcolo della PFD dell’intero impianto. Trattandosi di un sistema in serie, è necessario moltiplicare i valori di affidabilità trovati per ottenere l’affidabilità del sistema. A quel punto l’inaffidabilità del sistema è il complemento a 1 del risultato trovato:
𝑅𝑅𝑡𝑡𝑡𝑡𝑡𝑡= 0,9999241 ∗ 0,9994979 ∗ 0,9999998 ∗ 0,9998554 ∗ 0,9996328 = 0,99891 𝐸𝐸𝐹𝐹𝐷𝐷𝑡𝑡𝑡𝑡𝑡𝑡= 1 − 0,99891 = 1.09 ∗ 10−3h-1 FUNZIONE PFD (h-1) R SCADA 2 x 10-7 0,9999998 Sensori 7,59 x 10-5 0,9999241 PLC 1,446 x 10-4 0,9998554 DSS 5,021 x 10-4 0,9994979 Attuatori 3,6713 x 10-4 0,9996328
Tabella 29: R delle singole funzioni, in ordine decrescente
Dal momento che, in realtà, il controllo diagnostico è presente, si rieseguono i calcoli per ogni funzione usando un nuovo valore di β. Tale valore sarà più piccolo (migliorato) rispetto al precedente perché prenderà in considerazione l’effettiva presenza di un controllo diagnostico. Con l’inserimento di un controllo diagnostico, i valori di A, B e C cambiano nel seguente modo:
A: 340 390 B: 452 993 C: 1 2
Il relativo valore di S che si ottiene è il seguente:
𝐸𝐸 = 390 ∗ 2 + 993 = 1773 Sostituendo il nuovo S nella formula si ottiene un nuovo valore di β: β = 0.3 ∗ 𝑒𝑒(−3.4∗1773)2624 = 0.03 Da qui si procede con la riesecuzione dei calcoli col fattore β migliorato: Sensori
𝐸𝐸𝐹𝐹𝐷𝐷 = (0,97 ∗ 7 ∗ 10−7∗ 4380)4+ 0,45 ∗0,03 ∗ 7 ∗ 10−7∗ 4380
2 = 2,07 ∗ 10−5ℎ−1
𝑅𝑅 = 1 − 0,0000207 = 0,9999793 DSS
169
𝐸𝐸𝐹𝐹𝐷𝐷 = 0,03 ∗ 10−6∗8760 2 + (0,97 ∗ 1 ∗ 10−6∗ 8760)2 3 = 1,555 ∗ 10−4ℎ−1 𝑅𝑅 = 1 − 0,0001555 = 0,9998445La funzione relativa agli SCADA non subisce modifiche al suo valore di affidabilità in seguito al miglioramento del fattore β. 𝑅𝑅 = 0,9999998 PLC 𝐸𝐸𝐹𝐹𝐷𝐷 = 0,3 ∗ 0,03 ∗ 10−6∗8760 2 + (0,97 ∗ 1 ∗ 10−6∗ 8760)3 4 = 3,96 ∗ 10−5ℎ−1 𝑅𝑅 = 1 − 0,0000396 = 0,9999604 Attuatori 𝐸𝐸𝐹𝐹𝐷𝐷𝑖𝑖𝑛𝑛𝑡𝑡 = 0,03 ∗ 2 ∗ 10−7∗175202 +(0,97 ∗ 2 ∗ 10 −7∗ 17520)2 3 = 5,64 ∗ 10−5ℎ−1 𝑅𝑅𝑖𝑖𝑛𝑛𝑡𝑡 = 1 − 0,0000564 = 0,9999436 𝐸𝐸𝐹𝐹𝐷𝐷𝑎𝑎𝑡𝑡= 0,003 ∗ 5,8 ∗ 10−6∗87602 +(0,97 ∗ 5,8 ∗ 10 −6∗ 8760)2 3 = 1,5717 ∗ 10−4ℎ−1 𝑅𝑅𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑖𝑖 = 1 − 0,00015717 = 0,9998428 𝑅𝑅𝑡𝑡𝑡𝑡𝑡𝑡_𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑖𝑖= 𝑅𝑅𝑖𝑖𝑛𝑛𝑡𝑡∗ 𝑅𝑅𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑖𝑖 = 0,9999436 ∗ 0,9998428 = 0,999786 𝐸𝐸𝐹𝐹𝐷𝐷𝑡𝑡𝑡𝑡𝑡𝑡_𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑎𝑎𝑡𝑡𝑡𝑡𝑎𝑎𝑖𝑖= 1 − 0,999786 = 2.14 ∗ 10−4ℎ−1
Si riepilogano in tabella i nuovi valori di affidabilità delle funzioni:
FUNZIONE PFD [𝐡𝐡−𝟏𝟏] R SCADA 2 x 10-7 0,9999998 Sensori 2,07 x 10-5 0,9999793 PLC 3,96 x 10-5 0,9999604 DSS 1,555 x 10-4 0,9998445 Attuatori 2.14 x 10-4 0,999786
Tabella 30: R delle singole funzioni, in ordine decrescente, in presenza di un controllo diagnostico.
Il nuovo valore di affidabilità del sistema e la sua relativa PFD sono:
𝑅𝑅𝑡𝑡𝑡𝑡𝑡𝑡= 0,9999998 ∗ 0,9999793 ∗ 0,9999604 ∗ 0,9998445 ∗ 0,999786 = 0,9961135 𝐸𝐸𝐹𝐹𝐷𝐷𝑡𝑡𝑡𝑡𝑡𝑡= 1 − 0,99957 = 4,299 ∗ 10−4ℎ−1
Per procedere alla valutazione della probabilità di fallimento in caso di chiamata in servizio dell’impianto è a questo punto necessario transitare dal concetto di affidabilità a quello di disponibilità. A tale scopo è necessario introdurre il tempo medio di riparazione e calcolare quindi l’incidenza del corretto funzionamento (in termini di disponibilità temporale normalizzata) sul totale del ciclo medio costituito da tempo medio di guasto e tempo medio di riparazione, in perfetta conformità a quanto presentato in § 2.
170
In considerazione dell’incertezza dell’evento di incendio (che costituisce il fenomeno oggetto di monitoraggio), la valutazione del SIL del sistema è ottenuta stimando il SIL relativo alla condizione di guasto pericoloso per sistemi interventivi.
Per valutare la probabilità che si abbia indisponibilità della funzione nell’occasione di incendio è necessario introdurre il valore del tempo di resa in pristino dell’impianto, che, in quanto impianto di sicurezza, deve essere oggetto di un contratto di manutenzione dedicato.
Ipotizzando che la condizione di guasto – rilevata – attivi una manutenzione efficace in un tempo medio di 11 giorni (10 di attesa media, vista la programmazione di un accesso ogni 20 giorni, oltre ad 1 giorno lavorativo effettivo di intervento), si ha:
U=1-A= 1-MTTF/(MTTF + MTTR)= 1-(2300/(2300+264))=0,104