ETA – EVENT TREE ANALYSIS

L'albero degli eventi è un mezzo diagrammatico per descrivere tutti i potenziali cammini nei quali un evento può svilupparsi attraverso un sistema o un impianto. Il suo utilizzo nell’analisi di rischio relativa agli insediamenti produttivi si rivolge a quegli eventi il cui sviluppo può evolvere in una situazione incidentale e per questo è forse la metodologia più appropriata per essere utilizzata nella valutazione di sicurezza di depositi di rifiuti radioattivi, come supporto di analisi probabilistica al processo più generale della definizione degli scenari (vd. Capitolo 4).

L’albero degli eventi è una procedura che trae origine da applicazioni in campo economico e finanziario, procedura che è poi stata utilizzata anche in campo industriale per evidenziare tutti i possibili scenari incidentali derivanti dall’evoluzione di un evento iniziatore, in rapporto all’intervento o meno di sistemi preposti alla protezione dell’impianto e dell’ambiente esterno.

Tale metodologia10, sviluppata per analizzare i sistemi complessi, racchiude conoscenze

provenienti da differenti discipline scientifiche. Nella sua versione ormai consolidata fu introdotta,

(insieme alla FTA) dal noto “Rapporto Rasmussen” (WASH-1400)11, per quantificare la

probabilità d’accadimento di un evento indesiderato, partendo da un dato evento “base” (malfunzionamento di componenti, cause esterne ecc.), valutando la disponibilità dei sistemi che intervengono in seguito a detto evento. E’ considerata una metodologia matura per questo tipo d’analisi, quindi affidabile; è, infatti, utilizzata non solo nell’analisi degli impianti nucleari, ma anche per processi e impianti chimici e per sistemi spaziali.

Una sequenza incidentale è costituita da un evento iniziatore, eventi intermedi (tra cui possono esserci nuove rotture, malfunzionamenti, mancati interventi dei sistemi di sicurezza, errori umani, o altri eventi dovuti a cause interne/esterne all’impianto), e diversi scenari possibili (eventi d’uscita o Final Event); questo tipo d’albero può quindi essere utilmente applicato per valutare l’efficienza e l’efficacia dei sistemi di sicurezza e delle procedure d’emergenza. Tale metodologia può essere applicata con successo a qualsiasi tipo d’impianto e in qualunque fase della vita dello stesso. Nel caso in cui sono disponibili i dati sulle probabilità dei singoli eventi che compongono la sequenza incidentale, l’albero degli eventi consente di quantificare la probabilità o la frequenza d’accadimento di ciascuna sequenza.

3.4.4.1 Applicazione dell’ETA

Per applicare questa metodologia, caratterizzata da una logica induttiva, si parte dalla definizione dell'evento iniziatore per passare alla definizione ed identificazione di tutti i possibili sistemi di

sicurezza che sono chiamati ad intervenire dal verificarsi dell'evento iniziatore considerato. Questi ultimi sono disposti in ordine d’intervento e per ognuno di questi sono definiti lo stato di successo e di fallimento; ogni sistema di sicurezza rappresenta quindi un nodo da cui parte una biforcazione.

Graficamente l'albero si presenta come mostrato nella figura 3.4

Figura 3.4 – Struttura generale dell’Event Tree

La generica foglia dell'albero rappresenta un possibile scenario, in corrispondenza di una particolare combinazione di eventualità. Le probabilità che caratterizzano ogni nodo sono condizionate, quindi devono essere definite in relazione alla situazione che si è definita nei nodi che precedono quello che si sta valutando. In fase di calcolo, la probabilità del singolo scenario sarà data dal semplice prodotto delle probabilità che si trovano sui rami che collegano la foglia con l'evento iniziatore. Più precisamente, l'analisi con questa metodologia si compone di 4 fasi, di seguito descritte.

3.4.4.2 Definizione degli eventi iniziatori

La definizione degli eventi può essere il risultato di una valutazione tecnologica basata su un'analisi di rischio effettuata in precedenza, su incidenti verificatesi o in ogni caso sull'esperienza e sulla sensibilità dell'analista. Le principali classi d’eventi iniziatori riguardano:

• rotture o guasti di componenti o di sistemi;

• errori umani;

• processi che non avvengono, o che possono dar luogo a effetti negativi;

• malfunzionamenti delle strutture;

• cause esterne.

La scelta degli eventi iniziatori corrisponde all’accettazione di un certo livello di rischio: si presuppone che l’incidente possa accadere, e si deve progettare il sistema affinché il rischio associato allo sviluppo di tale incidente resti sotto ad un certo valore. Nel caso in cui si ammette la possibilità di accadimento di diversi incidenti, si devono realizzare più alberi degli eventi.

3.4.4.3 Le funzioni di sicurezza

Le funzioni di sicurezza (sistemi, procedure, interventi degli operatori), esplicitate durante le sequenze incidentali, possono essere identificate come quei sistemi o procedure di protezione e mitigazione che sono chiamati ad intervenire nel caso si verifichi l'evento iniziatore, per il quale tali sistemi sono stati adottati. Queste, in genere, includono:

• sistemi di sicurezza; • sistemi d’allarme;

• le azioni degli operatori, che devono essere attuate come risposta agli allarmi, richieste dalle procedure;

• sistemi di mitigazione.

Nella rappresentazione dell'albero, le funzioni di sicurezza sono indicate in base all'ordine temporale d’intervento. Nell’identificazione e valutazione delle funzioni di sicurezza coinvolte nelle sequenze incidentali, sono considerate di solito solo due possibilità, il successo o l'insuccesso. Nel caso in cui si considerano diversi modi di fallimento, si possono considerare più ramificazioni in uno stesso nodo (una per ogni stato della funzione di sicurezza considerata).

3.4.4.4 Sviluppo dell'albero degli eventi ET

Definiti gli eventi iniziatori considerati e tutti i sistemi e le funzioni di sicurezza successivamente coinvolte, si può sviluppare l’albero secondo la logica decisionale che lo caratterizza, per ottenere tutti i possibili scenari incidentali che possono avere luogo a seguito dell’accadimento degli eventi iniziatori considerati.

In particolare, la procedura prevede che si assuma che l'evento iniziatore si sia verificato, quindi l'analista deve decidere, nell'ordine adeguato per ogni funzione di sicurezza, se il successo o l'insuccesso di questa ultima può influenzare lo sviluppo incidentale. Nel caso in cui la funzione influenza lo sviluppo incidentale, nello schema viene riportato un punto di ramificazione, per distinguere tra il successo e l'insuccesso della funzione stessa; normalmente la parte che denota il successo si sviluppa verso l'alto, mentre quella relativa all'insuccesso verso il basso. Quando la funzione che si sta analizzando non ha influenza sullo sviluppo incidentale, si procede senza punti di ramificazione fino alla funzione di sicurezza successiva. Occorre ricordare che gli stati possibili del sistema in un determinato nodo dell’albero sono condizionati dai precedenti stati considerati, così come la probabilità associata a ciascuno stato sarà condizionata, dipendente quindi da quanto già accaduto (o supposto tale). Analisi di tipo FT sono utilizzate per calcolare tali probabilità condizionate.

In un ETA è fondamentale identificare la giusta sequenza di attivazione dei vari sistemi lungo la catena incidentale, nonché la loro dipendenza da altri dispositivi posti a monte della stessa catena.

Tipicamente gli eventi iniziatori possono essere organizzati in classi:

• rotture, guasti e malfunzionamenti di componenti/sistemi;

• errori umani;

• processi che avvengono in violazione delle aspettative di progetto;

• cause esterne.

Per sistemi di sicurezza si intendono:

• azionamenti automatici in risposta a situazioni anomale;

• allarmi diretti ad operatori/sistemi di emergenza;

• azionamenti manuali in risposta ad allarmi;

• sistemi di protezione e mitigazione.

È utile anche se non necessario suddividere i sistemi in categorie, quali ad esempio:

• meccanici;

• elettronici;

• elettrici;

• umani.

Ogni sistema può influenzare la sequenza incidentale ponendosi in uno stato attivo (funzione di sicurezza assolta) o passivo, quindi l’albero degli eventi sarà di tipo binario. In linea teorica si potrebbero prevedere n gradi di funzionamento del sistema e corrispondenti a n rami figli. Con riferimento ai soli alberi binari, introducendo la probabilità di mancato funzionamento (F) della funzione di sicurezza la complementare probabilità di successo varrà (S=1-F).

L’evento iniziatore viene posto all’estrema sinistra, quindi procedendo verso destra si dispongono tutti i sistemi ordinati secondo il criterio di attivazione.

Con riferimento alla Figura 3.4 che rappresenta un event tree binario COMPLETAMENTE

SVILUPPATO dove sono mostrati gli scenari finali che tengono conto delle prestazioni (nel senso

FUNZIONA/NON FUNZIONA) di 3 sistemi di sicurezza che sono chiamati ad intervenire (secondo sequenze e logiche previste in fase di progettto) a seguito del verificarsi dell’evento iniziatore.

Questa posizione comporta il riconoscimento di 8 possibili percorsi o rami, attraverso i quali può evolvere il transitorio incidentale fino ai rispettivi esiti finali. Gli eventi dove non si verificano condizioni incidentali sono E1,E3,E5 ed E7, mentre E2,E4,E6 ed E8 sono eventi incidentali. A ciascuno di questi percorsi è possibile associare una probabilità del suo verificarsi, pari alla funzione logica (AND) delle probabilità del verificarsi del SUCCESSO/FALLIMENTO dei sistemi di sicurezza stessi.

Occorre osservare che la colonna di destra [esiti o consequence] indica uno spettro di eventi terminali che possono realizzarsi in dipendenza delle combinazioni di successo/fallimento dei vari sistemi di sicurezza. In generale tra gli esiti si possono evidenziare differenze in termini di entità delle conseguenze, ma in alcuni casi gli esiti si possono dividere esclusivamente in due grandi categorie: INCIDENTE/ NO INCIDENTE.

Indipendentemente da questa precisazione, per il singolo esito la probabilità di accadimento [frequency] è sempre pari al prodotto delle probabilità associate a ciascun ramo (biforcazione) dell’albero che lo palesa. Per quanto riguarda il valore numerico di tali probabilità, si deve tener conto che il calcolo va sviluppato tenendo presente la CONDIZIONE DI DIPENDENZA di un evento (SUCCESSO/FALLIMENTO) dall’evento che lo precede logicamente. Una tale condizione si esprime dalla notazione (evento A | evento B) che comporta il calcolo della probabilità che si verifichi l’evento A condizionato dall’essersi verificato dell’evento B, come indicato nella figura seguente.

Per quanto riguarda lo sviluppo degli ET per l’analisi di rischio di incidenti rilevanti negli insediamenti produttivi, l’albero assume una forma tipica mostrata nella successiva figura dove i sistemi di sicurezza sono previsti funzionare come barriere successive costituenti una cosiddetta logica di difesa in profondità. Affinché si verifichi l’incidente devono fallire tutti i sistemi di sicurezza o, che è lo stesso, che è sufficiente il funzionamento di anche uno solo di questi per evitare il verificarsi dell’incidente. Nell’esempio riportato in figura si possono realizzare solo 4 esiti dove gli eventi NO INCIDENTE sono E1,E2 ed E3, mentre l’unico evento incidentale è E4.

3.4.4.5 L’analisi quantitativa dell’ET

Riferendosi alla struttura più generale di un FT binario completo, la probabilità del verificarsi dei suoi possibili esiti è pari a:

P(E1) = P(S1|(S2|S3)) ·P(S2|S1) · P(S1)

P(E2) = P(F3|(S2|S3)) · P(S2|S1) · P(S1)

P(E3) = P(S3|(F2|S1)) · P(F2|S1) · P(S1)

P(E4) = P(F3|(F2|S1)) · P(F2|S1) · P(S1)

P(E5) = P(S3|(S2|S1)) · P(S2|F1) · P(F1)

P(E6) = P(F3|(S2|S1)) · P(S2|F1) · P(F1)

P(E7) = P(S3|(F2|F1)) · P(F2|F1) · P(F1)

P(E8) = P(F3|(F2|F1)) · P(F2|F1) · P(F1)

1

)

E

(

P

=

∑

In generale, per il calcolo delle singole probabilità si possono utilizzare i risultati di una FTA che prevede come TOP EVENT il NON FUNZIONAMENTO/GUASTO del relativo sistema di sicurezza dato gli insuccessi dei sistemi che lo precedono, così come mostrato nella figura che segue.

3.4.4.6 Analisi dei risultati delle sequenze incidentali

Per evidenziare le diverse sequenze si utilizzano delle lettere che distinguono l'evento iniziatore e i mancati interventi delle funzioni di sicurezza; in questo modo ogni sequenza sarà identificata da una serie di lettere diverse.

Generalmente una o più sequenze possono essere senza conseguenze per l'impianto, per i lavoratori e per la popolazione, e quindi permettono un ritorno al normale esercizio senza nuovi problemi. Altre possono avere delle conseguenze sull'impianto e richiedere quindi l'arresto dello stesso; altre ancora, quelle più importanti dal punto di vista della sicurezza, conducono a conseguenze più o meno gravi e per l'impianto e/o l'ambiente esterno, nonché per le persone (sono quelle che, in pratica, danno luogo ad un incidente vero e proprio, al Top Event). Questa situazione rimanda, in qualche modo, al concetto di

In genere si rende necessaria un'analisi quantitativa delle sequenze incidentali, per valutare la loro significatività. La quantificazione è svolta avendo a disposizione dei dati affidabilistici di tutte le funzioni di sicurezza. E' possibile a questo punto anche ridurre l'albero, eliminando tutte quelle sequenze che hanno una probabilità inferiore ad una soglia stabilita. Oltre a calcolare la probabilità d’accadimento di ogni scenario è opportuno identificare una variabile che quantifichi l'aspetto che si vuole studiare, nel nostro caso il tempo complessivo richiesto per l'esecuzione di un’attività.

Si vuole porre l’accento su come il risultato del rischio associato a ciascuno scenario individuato, sia il prodotto delle probabilità d’accadimento di ciascun ramo che porta allo scenario considerato: è quindi indipendente dall’ordine dei fattori che costituiscono detto prodotto12. Di fatto quindi, l’Event Tree così considerato, è indipendente dall’ordine (temporale) con cui si considera l’intervento delle singole funzioni di sicurezza, se non per quanto questo influenzi eventualmente il risultato dei Fault Tree utilizzati nel calcolo delle probabilità condizionate.

4. L’APPROCCIO IAEA PER UNA METODOLOGIA DI VALUTAZIONE DELLA