Sviluppo di metodi probabilistici avanzati per la valutazione del rischio: analisi delle barriere di protezione.

Scuola di Ingegneria

Corso di Laurea Magistrale in

INGEGNERIA CHIMICA

Dipartimento di Ingegneria Civile e Industriale (DICI)

Tesi di Laurea Magistrale

“Sviluppo di metodi probabilistici avanzati per la valutazione

del rischio: analisi delle barriere di protezione”

Relatore Candidata

Dott. Ing. Gabriele Landucci Anna Maria Monfeli

Controrelatore

Prof. Leonardo Tognotti

UNIVERSITÀ DI PISA

Scuola di Ingegneria

Corso di Laurea Magistrale in

INGEGNERIA CHIMICA

Dipartimento di Ingegneria Civile e Industriale (DICI)

Tesi di Laurea Magistrale

“Sviluppo di metodi probabilistici avanzati per la valutazione

del rischio: analisi delle barriere di protezione”

Autore:

Anna Maria Monfeli Firma:_____________________

Relatore:

Dott. Ing. Gabriele Landucci Firma:_____________________

Controrelatore:

Prof. Leonardo Tognotti Firma:_____________________

Ad Anna e Maria, a Nello e Guido con infinito affetto.

“Ho sempre creduto, e credo ancora, che qualsiasi fortuna buona o cattiva possa presentarsi sulla nostra strada, possiamo darle un significato e trasformarla in qualcosa di valore.” H. Hesse, Siddhartha

i

Sommario

Indice delle figure ... iii

Indice delle tabelle ... v

1 Introduzione ... 1

2. Effetto domino nell’industria di processo ... 4

3. I dispositivi di protezione ... 7

3.1 Approccio basato sulla sicurezza intrinseca ... 8

3.2 Barriere Attive ... 8

3.3 Barriere Passive... 11

3.4 Barriere Procedurali e di Emergenza ... 11

4. Metodi probabilistici per l’analisi del rischio... 12

4.1 Stima delle frequenze e probabilità degli incidenti a effetto domino ... 12

4.2 Analisi mediante la tecnica dell’albero degli eventi ... 14

4.3 Analisi mediante la tecnica dell’albero dei guasti ... 16

4.4 Eventi a cascata: soglie di danno e propagazione... 17

4.5 Analisi mediante la teoria dei grafi ... 19

4.6 Reti Bayesiane ... 21

4.7 Bayesian Updating ... 23

4.8 Bayesian Adapting ... 24

4.9 Metodi per la valutazione dell’errore dell’operatore ... 25

5 Metodologia ... 34

5.1 Failure rates delle barriere di protezione-raccolta dei dati... 35

5.2 Stima delle frequenze di fallimento associate alle protezioni ... 38

5.3 Human Factor: Analisi storica ... 40

5.3.1 ARIA ... 43

5.3.2 FACTS ... 44

5.3.3 MHIDAS ... 44

5.4 Variabili discrete e continue ... 45

5.5 Variabili continue: Distribuzioni di Probabilità... 46

ii

5.7 Regole di combinazione degli Eventi ... 50

5.8 Probabilità condizionata ... 51

5.9 SMILE Engine ... 52

5.10 GeNIe software ... 53

5.10.1 Elementi costitutivi Rete Bayesiana su GeNIe ... 54

5.11 Mappatura dell’Event Tree ... 56

5.12 Proprietà dei nodi: inserimento frequenze delle barriere nella BN ... 59

5.13 Influenza del primario sulle barriere, Fault Tree Analysis ... 64

5.14. Mappatura Fault Tree in Bayesian Network ... 66

5.15 Analisi delle decisioni ... 67

5.16 Analisi Cost-effectiveness ... 68

6 Applicazione ai casi studio ... 73

6.1 Caso studio 1 ... 73

6.1.1 Influenza del Top Event nelle performance di barriera ... 85

6.1.2 Updating delle performance di barriera ... 88

6.1.3 Joint probability distributions ... 90

6.1.4 Adaptation delle probabilità ... 91

6.2 Caso studio 2: Applicazione in Large Scale ... 93

6.2.1 Barriere di protezione: ... 96

6.2.2 Scenari Incidentali: ... 96

6.2.3 Procedura caso studio ... 98

7. Risultati ... 101

7.1 Caso studio 1: Validazione del metodo ... 101

7.2 Caso Studio 2- Analisi Cost Effectiveness ... 112

7.3. Gestione Emergenza ... 120

8 Discussione ... 122

9 Conclusioni ... 123

iii

Indice delle figure

1.Tipi di gates associati alle protezioni e stati di guasto (fonte: Landucci etAl) ... 12

2. Attività associate all'operatore in situazioni di emergenza (fonte DiMattia et.Al) ... 27

3.Rischio associato al tempo di attività e delle attività operatore (Fonte: DiMattia et Al) .... 28

4. Performance Shaping Factors (Fonte: DiMattia) ... 28

5.Peso di ciascun PSF nelle performance operatore (Fonte: DiMattia et. Al) ... 29

6.Fattori di performance dell'operatore (Fonte:Madonna et.Al) ... 31

7.Flow chart Attività Tesi ... 34

8.Densità si probabilità (f(x)) e distribuzione di probabilità (F(x)) ... 47

9.Gate AND (fonte: Landucci et. Al) ... 50

10.Gate OR (Fonte: Landucci et. Al) ... 51

11. GeNIe 2.1... 54

12. Identificazione dei nodi su GeNIe ... 57

13. Definizione PFD di una PSV su GeNIe ... 58

14.Definizione distribuzione di una PSV su GeNIe ... 58

15. Definizione guasto PSV su GeNIe ... 61

16.Definizione guato Foam Sprinkler su GeNIe ... 61

17. Distribuzione di Guasto su GeNIe ... 62

18 Grafico di ottimizzazione usato per analisi cost-effectiveness ... 71

19.Caso Studio 1 Fonte: Landucci et. Al ... 73

20 Equation Based Model BN caso studio 1 ... 77

21 Equation Based Model con Probabilità condizionate ... 79

22 Discretizzazione rispetto al limite superiore ... 80

23 Discretizzazione di guasto rispetto al limite inferiore ... 81

24. Struttura discretizzata rete Bayesiana ... 81

25. Definizione stati associati ai nodi chance ... 82

26. Rappresentazione equazione originaria nei nodi chance... 82

27 definizione stati del nodo conseguenza... 83

28 Inserimento evidenza nodi chance ... 84

29 FTA Water Deluge System (Fonte: Necci et. Al) ... 86

30 BN associata al FTA del Water Deluge System- caso Top Event indipendente ... 86

31 BN associata al guasto Water Deluge System, caso con Top event dipendente ... 87

32. Annealed MAP su GeNIe ... 89

33 Configurazione parco di stoccaggio per il caso studio 2 (Fonte: Janssens et. Al) ... 93

34 nodi di riferimento per il parco di stoccaggio caso studio 2 (Fonte: Jahnssens et. Al) ... 94

35 Gradi di escalation: Un grado (a sinistra), due gradi di escalation (a destra) ... 97

36. Distanze principali tra tanks ... 98

37 Rete chance caso studio 1 ... 101

38 Probabilità dell'evidenza legata allo scenario di escalation non mitigata ... 102

39 ETA caso studio 1. Fonte Landucci et. Al ... 103

iv 41 Grafico di confronto scenari con e senza influenza del Top event tra le cause di guasto

... 106

42 Most Probable explanation per scenario di escalation mitigata ... 107

43 rappresentazione stati della barriera foam ... 108

44 Probabilità condizionate a posteriori Foam Sprinkler ... 109

45 Grafico Update delle probabilità per escalation mitigata ... 109

46 Adattamento probabilità di guasto barriere ... 111

47 Rete Chance caso studio 2 ... 112

48 Grafico cost-effectiveness per un grado di escalation ... 113

49 Grafico cost-effectiveness per due gradi di escalation ... 115

50 Configurazione Caso studio 2 ... 116

51 Distanze principali caso studio 2 ... 116

52 Mappatura Pool Fire relativo a rottura lieve (ALOHA) ... 117

v

Indice delle tabelle

Tabella 1. Barriere Attive e Definizioni di guasto ... 10

Tabella 2.Soglie escalation radiazione ... 18

Tabella 3. Efficienza Barriere di Protezione ... 39

Tabella 4 Raccolta dati di guasto barriere ... 60

Tabella 5 Mappatura FTA in BN ... 67

Tabella 6 Definizione stato di guasto barriere caso studio 1 ... 74

Tabella 7 Mappatura ETA in BN ... 75

Tabella 8 Probabilità condizionate Barriere caso studio 1 ... 76

Tabella 9 Configurazione eventi per adattamento probabilità ... 92

Tabella 10. Frequenze di rottura tank a priori ... 95

Tabella 11 costi associati alle safety barriers del caso studio2 . (Fonte Jahssens et Al) ... 96

Tabella 12 Distanze principali tra i tank del caso studio 2 ... 98

Tabella 13 Configurazioni associate agli scenari scelti per il caso studio 1 ... 104

Tabella 14 confronto frequenze ETA e BN caso studio 1 ... 104

Tabella 15 Probabilità adattate da evidenze multiple ... 110

Tabella 16 Frequenze secondario in funzione della configurazione barriere scelta ... 113

Tabella 17 Frequenze secondario in funzione della configurazione barriere scelta ... 114

Tabella 18 Frequenze di escalation aggiornate con l'introduzione delle barriere di protezione ... 119

Tabella 19 Nodi prioritari per intervento di emergenza ... 120

1

1 Introduzione

Nei contesti industriali, gli incidenti ad effetto domino, anche detti a cascata, possono essere definiti come incidenti nei quali un Top Event iniziale (ovvero un incendio, esplosione o dispersione di sostanza pericolosa), genera una propagazione di ulteriori incidenti nelle apparecchiature vicine a quelle coinvolte, fino ad espandersi nelle unità adiacenti e, in casi peggiori, in impianti vicini a quello primariamente coinvolto. La propagazione degli Eventi incidentali avviene generalmente per mezzo di radiazione, sovrappressione o proiezione di frammenti dovuti all’ esplosione delle apparecchiature (Khakzad & al, 2016). Sebbene questo tipo di Eventi avvenga con una bassa frequenza, dato che non sempre un incidente trova le condizioni migliori per la propagazione, gli effetti associati ad esso possono essere molto gravi; tipicamente, un incidente a effetto domino determina il danneggiamento di diverse aree di impianto, e quindi le quantità di sostanze che vanno ad alimentare gli incendi o a disperdersi nelle aree interne ed esterne agli impianti sono in misura superiore rispetto ad uno scenario singolo (Reniers, 2013).

Per questo motivo, mentre la Quantitative Risk Assessment (QRA) si sviluppava negli anni nei contesti industriali per molte tipologie di scenari accidentali singoli, gli effetti domino guadagnavano attenzione minore a causa della loro bassa frequenza di accadimento, ma anche a causa della loro complessità (Khakzad N. F., 2012).

Solo dopo l’accadimento di alcuni incidenti gravi come quello di Texas City e di Buncefield (2005) è aumentata la considerazione degli scenari domino nella QRA e nei report di sicurezza (Khakzad N. K., 2013)

Nello studio del rischio associato agli effetti domino, tuttavia, lo studio delle barriere di protezione è sempre rimasto piuttosto marginale, mentre c’era più interesse a focalizzarsi sulla determinazione delle probabilità di danno, anche dette probabilità di escalation, tramite lo sviluppo di modelli basati sulle distanze tra gli apparecchi, i valori di soglia di radiazione e sovrappressione, e i modelli Probit (Landucci & al, 2016).

Il caso dell’incidente di Texas City 2005, che ha coinvolto una raffineria della British Petroleum, è uno degli incidenti più recenti a effetto domino. Il rilascio di

2

una nube di idrocarburi che si è incendiata esplodendo violentemente (Vapor cloud explosion -VCE) nell’unità di isomerizzazione della raffineria, ha determinato una serie di ulteriori esplosioni ed incendi a cascata, determinando 15 vittime e più di 180 feriti. Dai report dell’incidente, emergono dettagli importanti riguardanti la gestione dell’emergenza e l’installazione delle barriere di protezione. In particolare, la CSB (Chemical Safety and Hazard investigation Board) ha decretato che la mancanza di sistemi di sicurezza e organizzativi di emergenza hanno contribuito a determinare i gravi effetti dell’incidente, sebbene ci fossero stati vari segnali di vulnerabilità del sistema. In particolare, la mancata applicazione di raccomandazioni riguardanti l’installazione di sistemi di protezione più efficaci sono state disattese. (Mogford, 2005).

Nello stesso anno è avvenuto l’incidente di Buncefield, in uno dei parchi di stoccaggio più grandi della Gran Bretagna, per cui una cascata di esplosioni ha coinvolto più di 20 storage tanks. Dai report dell’incidente emerge come non siano stati considerati nella valutazione del rischio le eventuali implicazioni di più di un tank incendiato. Non sono stati valutati i rilasci di grandi volumi di sostanza come risultati di esplosioni e/o scenari di escalation.

(COMAH, 2005).

Khakzad (Khakzad & al, 2016), definisce la vulnerabilità al domino come la suscettibilità di un impianto nel permettere ad un incidente primario di espandersi attraverso gli effetti a cascata, dando vita agli incidenti secondari, terziari e così via. Ne consegue che uno studio approfondito delle performance delle barriere preposte alla mitigazione e alla prevenzione degli scenari secondari può essere di grande importanza per l’abbattimento del rischio di escalation. Da un punto di vista normativo, nella direttiva Seveso II risulta ‘la necessità di stabilire per quanto riguarda i sistemi di gestione, principi base tali da consentire di prevenire e ridurre i rischi di incidenti rilevanti nonché di limitarne le conseguenze’ (Seveso). Gli standard tecnici finalizzati al controllo dei rischi di incidente rilevante includono delle misure per valutare, prevenire e mitigare le propagazioni dell’effetto domino (Goossens (TUDelft & Hourtolou (INERIS, 2003)Tra questi, si include l’introduzione di barriere di protezione che possano evitare o ridurre la credibilità della propagazione.

Una volta valutata la credibilità di un incidente e dei suoi potenziali effetti tramite l’analisi delle conseguenze, è possibile intervenire per prevenirne l’accadimento e procedere alla mitigazione. Quest’ultima è possibile se il

3

personale esterno ed interno ha la sufficiente preparazione ed organizzazione rispetto alle procedure di emergenza, e non trova condizioni che possano mettere in discussione la loro operabilità.

In alcuni casi riportati nell’industria di processo, inoltre, la propagazione degli incidenti dovuti ai malfunzionamenti hanno coinvolto direttamente gli operatori, determinando la perdita del controllo del processo e quindi le escalation accidentali, che hanno coinvolto anche le aree esterne d’impianto.

In caso di incidente, quindi, è evidente che anche la gestione dell’emergenza ha un ruolo fondamentale per garantire la protezione della popolazione e la mitigazione dell’incidente, per cui, parallelamente allo studio del rischio è forte e crescente l’esigenza di effettuare uno studio sulle migliori misure da adottare in caso di emergenza

Lo scopo di questa tesi, avvalorato da questi elementi, è quello di sviluppare dei metodi per l’analisi del rischio degli scenari incidentali nel caso di incidenti a effetto domino che tenga conto delle performance delle barriere di protezione nella mitigazione di tali incidenti. Questo metodo, basato su analisi probabilistiche di guasto delle barriere, permette lo studio di vulnerabilità degli impianti sia per determinare le migliori configurazioni delle barriere di protezione, ma anche per fornire uno strumento di supporto alle decisioni in caso di emergenza.

Verrà effettuata un’analisi delle principali categorie di barriere di protezione e dei metodi principali per le valutazioni del rischio; da queste verrà approfondito lo studio delle reti Bayesiane e verrà implementato un metodo per l’utilizzo di tali reti per l’analisi delle conseguenze. Su questo, saranno integrate anche le performance degli operatori e le analisi di cost-effectiveness per diversi gradi di escalation fino ad un’applicazione al caso industriale in large scale, per valutare la fattibilità nell’utilizzo delle reti Bayesiane per il supporto alle decisioni di emergenza.

4

2. Effetto domino nell’industria di processo

Stato dell’arte

Nell’ambito dell’industria di processo, è cresciuta negli anni l’attenzione per l’analisi del rischio. L’accadimento di incidenti come Enschede (2000), Texas City (2005), Buncefield (2005) e molti altri, infatti, ha determinato la necessità di focalizzare l’attenzione sui metodi che potessero prevenire l’accadimento o l’evoluzione drammatica degli incidenti e permettendo l’applicazione, nella gestione interna degli impianti, di criteri decisionali più chiari ed efficaci per fronteggiare un’emergenza.

Un’applicazione efficace di decisioni basate sul rischio, che possano permettere il controllo di un incidente oltre che prima del suo verificarsi, anche una volta verificatosi per effettuarne la mitigazione, richiede a monte che gli strumenti di analisi del rischio siano credibili. In generale, i metodi standard per l’analisi del rischio propongono di valutare la frequenza di accadimento degli incidenti rilevanti e decidere da tali valutazioni se il rischio ad essi associato è accettabile o no (Janssens & Al, 2015).

La severità dei potenziali scenari incidentali che possono manifestarsi in un impianto o contesto industriale è legata sia alla magnitudo dei pericoli che alla vulnerabilità dei sistemi. Laddove in due sistemi si è esposti allo stesso livello di pericolo, il sistema con più alta vulnerabilità è suscettibile ad un grado di danno maggiore ed è quindi soggetto ad un livello di rischio superiore. Per quanto concerne gli Eventi incidentali a cascata, Khakzad, (Khakzad & al, 2016)definisce la vulnerabilità di un sistema industriale come la suscettibilità che questo abbia di permettere il propagarsi dell’incidente attraverso l’impianto attraverso effetti domino, generando incidenti secondari e così via.

In linea generale, un sistema tanto più è protetto con misure e strumenti affidabili ed efficaci e tanto meno può essere vulnerabile alla propagazione degli incidenti. Sebbene quindi le barriere di sicurezza e di emergenza possano avere un ruolo centrale nella mitigazione degli scenari incidentali che possono potenzialmente propagarsi, la valutazione specifica delle performance di barriera in termini quantitativi è risultata negli anni comunque piuttosto limitata. (Landucci et al, 2016) I primi approcci nella valutazione degli incidenti a cascata, infatti, (Bagster & Pitblado, 1991) erano basati su assunzioni generiche e più che semplificate, senza tenere conto delle dinamiche di rottura degli apparecchi di processo e del

5

possibile effetto mitigante delle barriere di sicurezza. Un approccio presentato in seguito da Antonioni et.al (Antonioni G, 2009) (Cozzani, 2005) prevedeva la valutazione quantitativa del rischio basata su quattro steps principali (identificazione, valutazione delle frequenze, valutazione delle conseguenze e ricomposizione del rischio), ma non sono state ottenute valutazioni quantitative specifiche sulle barriere.

Più recentemente sono stati implementati altri metodi come le simulazioni Monte Carlo (Abdolhamidzadeh, 2005)), gli indici di rischio semplificati (Cozzani V. T., 2009) (Zhang, 2011) e strumenti basati sulle reti Bayesiane (Khakzad N. K., 2013)ma anche qui con studi limitati o inesistenti sulle specifiche performance di barriera. In particolare (Khakzad N. F., 2012) ha studiato la mitigazione del rischio utilizzando una barriera di protezione passiva ma che non teneva conto dello stato di Eventuale danneggiamento della barriera, con dati semplificati e senza tenere conto della vulnerabilità della barriera stessa a contatto con l’incidente primario. Il progetto ARAMIS, che ha costituito un’implementazione armonizzata della Seveso II, ha tenuto conto delle performance delle barriere; con lo scopo di favorirne l’investimento negli impianti, e valutarne i singoli contributi nell’abbassamento della vulnerabilità globale. L’applicazione del metodo avviene tramite analisi bow-tie degli incidenti, riconoscendo una prima classificazione delle barriere in attive, passive, e di emergenza.

Landucci (Landucci & al, 2016) affronta in modo più sistematico questa valutazione, basandosi sulla classificazione delle barriere, (AIChe, 2001) ed associando ad ognuna di queste un metodo per la valutazione della frequenza di fallimento o di rottura basato sulle proprietà di disponibilità ed efficienza di ogni barriera. La valutazione è stata effettuata tramite analisi degli Alberi degli Eventi, rendendo possibile la valutazione del contributo di ogni barriera sugli scenari conseguenti un incidente.

Il limite di questi approcci è legato al fatto che nella valutazione non si tiene conto dello stato delle barriere, ovvero del fatto che queste possano essersi deteriorate nel tempo di utilizzo o possano essere state direttamente danneggiate dall’incidente primario. Oltre a questo, va tenuto conto del fatto che le frequenze associate al fallimento delle barriere sono state ottenute da valori di probabilità di fallimento perlopiù costanti, a causa dei limiti nell’uso di strumenti statici come l’Albero degli Eventi o il bow-tie, che non permettono di aggiornare le probabilità a posteriori rispetto ad un’evidenza o studiarne le distribuzioni. Un altro elemento limitante è legato alla valutazione delle performance degli operatori, che possono svolgere un’azione mitigativa e di emergenza ma che in

6

situazioni particolari possono essere soggetti a limitazioni o condizioni critiche per operare, oltre al fatto che possono operare in maniera più o meno efficace a seconda del loro livello di preparazione e possono essere essi stessi coinvolti negli incidenti, e quindi impossibilitati ad operare. (Meel & al, 2006) ritiene che in generale negli incidenti, la componente dello human factor influisce negli scenari finali molto più che qualsiasi altro aspetto.

Rispetto a questo tema, sebbene siano molti i metodi per la valutazione delle performance di un operatore in caso di emergenza, tali metodi non sono stati integrati in modo rigoroso all’interno degli strumenti di valutazione del rischio, se non attraverso semplificazioni o in contesti non appartenenti a quello dell’industria chimica.

Landucci (Landucci et al, 2016) ha associato alle barriere di emergenza (delle quali gli operatori possono far parte) una valutazione basata sul valore di ‘human error’ indicato dalla letteratura sul LOPA (Layer Of Protection Analysis (CCPS, 2000)Alla luce dei limiti esistenti allo stato attuale nello studio del rischio, nasce l’esigenza di sviluppare uno strumento per la valutazione del rischio che permetta di fare un’analisi più rigorosa delle performances di barriera e delle frequenze legate agli scenari; tale strumento dovrebbe poter adattarsi allo stato di operatività e di danneggiamento delle barriere, e dare un’idea continua dello stato di vulnerabilità di un impianto e di permettere il riconoscimento delle aree e dispositivi più critici, sia in condizioni normali che di emergenza, come strumento di supporto decisionale.

Nella valutazione delle performances, vanno inoltre integrati aspetti di danneggiamento delle barriere, variabile lungo il tempo di operatività, e nell’attacco diretto da parte dei Top Events che possono pregiudicare le funzionalità della barriera.

Le Reti Bayesiane (BN) possono essere una base per rispondere a queste necessità, poiché permettono di modellare sistemi incidentali anche molto complessi, per i quali si opera in situazioni di incertezza, permettendo di lavorare in prima battuta con dati a priori che possono essere riadattati a posteriori, una volta che si manifesta un’evidenza (Jensen & F, 1990). In tal modo, è possibile identificare e riadattare la credibilità degli Eventi, cosa che in uno strumento statico come l’albero degli Eventi non è possibile.

7

3. I dispositivi di protezione

Il concetto di barriera è applicabile per ogni forma di ostruzione che si interpone tra una minaccia o incidente ed un oggetto o contesto da proteggere. (Lindoee PH, 2011).

Una specifica definizione di Safety Barrier, o barriera di protezione, è stata data dalla Norwegian Petroleum Safety Authority secondo cui una barriera di sicurezza è un elemento tecnico, operativo e organizzativo di un contesto onshore o offshore che riduce, individualmente o collettivamente, la possibilità di guasti concreti, situazioni di pericolo incidenti, e che limiti o prevenga pericoli e inconvenienti.

Le barriere protettive hanno lo scopo principale di prevenire la propagazione di Eventi a catena una volta che si manifesta un incidente di qualsiasi genere, perciò esercitano la loro funzione solo in particolari situazioni, che si manifestano durante la vita d’impianto. Questo può far sì che, nel momento in cui queste barriere sono chiamate a rispondere per esercitare una protezione, abbiano luogo inconvenienti come la mancata disponibilità o la scarsa efficacia nel lavoro di mitigazione a causa di mancata attività di manutenzione o danneggiamento progressivo della barriera stessa.

L’evoluzione degli incidenti, che può aversi per mezzo di radiazione, sovrappressione proiezione di frammenti, dipende dalla presenza delle barriere di protezione. Queste hanno il ruolo di mitigare l’escalation contrastando tali effetti.

Nel caso della radiazione, i sistemi di protezione permettono di ritardare o evitare il surriscaldamento degli apparecchi delle unità vicine a quella interessata dall’incidente primario per evitarne il cedimento meccanico dovuto all’innalzamento di temperatura.

Si può dire che l’introduzione delle barriere di protezione in un impianto permette in generale di:

1. Limitare la propagazione dell’effetto domino da incidenti, in termini di raggio d’azione ma anche di magnitudo degli effetti di danno associati, 2. Laddove non è possibile impedire la propagazione, aumentare il più

possibile il tempo necessario per avere l’escalation, così da favorire l’intervento di emergenza.

8

Per studiare le proprietà delle barriere di protezione, è necessario specificare una classificazione preliminare delle barriere, poiché le performance di mitigazione possono essere effettuate per vie diverse.

Un primo adattamento ai criteri di classificazione promossi da AIChE e ARAMIS project (Delvosalle & al, 2006) prevede la schematizzazione in:

 Approccio basato sulla sicurezza intrinseca  Barriere Attive

 Barriere Passive

 Barriere Procedurali/di emergenza.

3.1 Approccio basato sulla sicurezza intrinseca

L’approccio basato sulla sicurezza intrinseca è finalizzato ad eliminare la propagazione di un incidente assicurando le distanze di sicurezza tra le unità più a rischio. Questo approccio è certamente molto efficace (Cozzani & al, 2007) ma è possibile soltanto in impianti non ancora in funzione, nel momento in cui deve essere predisposto il layout d’impianto. Nel momento in cui l’impianto invece è già in funzione risulta molto complicato modificarne la configurazione (Hendershot, 2010), e quindi sarà attraverso le barriere di protezione che si cercherà di abbattere la vulnerabilità delle singole apparecchiature e delle unità di impianto.

Di seguito una panoramica sulle barriere di protezione, per analizzarne i vari aspetti legati alla loro capacità di mitigazione.

3.2 Barriere Attive

Le barriere Attive sono dispositivi che necessitano di una sollecitazione per esercitare la loro azione mitigante. Tali sollecitazioni possono essere di diverso tipo e provenire da diversi contesti (un sistema d’allarme o l’intervento di un operatore). In generale, comunque, le barriere attive possono essere costituite da 3 sottosistemi principali, (NFPA, 2009), nello specifico:

 Un sistema di rilevamento (di fuoco, fumo, gas tossici e/o infiammabili)  Un sistema di trattamento del rilevamento (logica, pannello di controllo o

9

 Un sistema di attuazione (meccanico, umano ecc.) che può dipendere dal tipo di sistema protettivo.

Ci sono barriere protettive come l’Emergency Shut Down che svolgono un’azione mitigativa a seguito di un Evento incidentale, ma sono allo stesso tempo strumenti di protezione e prevenzione degli incidenti nel caso in cui possono aversi dei rilasci di sostanze tossiche o infiammabili. L’introduzione dell’Emergency Shut Down quindi avviene generalmente a prescindere dallo studio del rischio associato a Eventi incidentali, dopo il loro accadimento. Aspetto importante da tenere in considerazione sulle barriere attive è che dall’accadimento di un incidente, la loro attivazione avviene con un tempo di ritardo, dovuto al passaggio delle informazioni tra la componente di rilevamento e quella di attuazione effettiva. I criteri che attribuiscono la reale efficacia di una barriera sono generalmente effettuati facendo un confronto tra questi tempi necessari per l’attivazione della barriera e i tempi di escalation dell’incidente. Ne consegue che le barriere attive sono considerabili efficaci solo se la propagazione degli incidenti avviene per mezzo di sorgenti fisse di radiazione (come nei pool fires o jet fires). In questi casi, infatti, c’è bisogno di un lasso di tempo considerevole per arrivare al punto di rottura di un’apparecchiatura in buono stato.

In caso di Eventi istantanei come il fireball, invece, il tempo di propagazione è molto ristretto, perché è determinato da fenomeni di sovrappressione e proiezione di frammenti derivanti da esplosioni, che impiegano un tempo molto ristretto per raggiungere le apparecchiature vicine ed eventualmente danneggiarle (Tugnoli & al, 2014 a ) (Tugnoli & al, 2014 b) In questo caso la barriera attiva non ha un effetto mitigante, sia per i tempi che per le modalità di propagazione.

L’attivazione delle barriere non garantisce l’effettiva protezione da un incidente, per cui è necessario aggiungere un effettivo parametro di efficienza che ne tenga conto.

Di seguito viene riportato un elenco delle barriere attive più comuni e prese in considerazione in questa tesi, a cui è associata una breve descrizione del funzionamento e del significato di efficienza di barriera.

10

Tabella 1. Barriere Attive e Definizioni di guasto

TIPO BARRIERA DESCRIZIONE DEFINIZIONE ESD (Emergency Shut

Down)

Isolano gli apparecchi target evitando che l’incendio sia alimentato con le sostanze contenute nell’apparecchio stesso Probabilità di Guasto on demand ed efficienza (capacità di isolare l’apparecchio in un certo tempo)

EBD (Emergency Blow Down)

Depressurizzano e convogliano le sostanze

contenute negli

apparecchi alla flare o in zone di stoccaggio di emergenza , evitando pressurizzazione degli apparecchi e alimentazione dell’incendio Probabilità di Guasto on demand ed efficienza (capacità di isolare l’apparecchio in un certo tempo) WDS (Water Deluge System) Mitigano l’esposizione a incendio degli apparecchi assorbendo parte della radiazione e raffreddando le superfici esterne attraverso un film di acqua sulle pareti

Probabilità di Guasto on demand ed efficienza (capacità di ridurre il flusso radiativo sulle

pareti), potere

assorbente della radiazione

Q WDS= η*QINCENDIO

SPRINKLER SYSTEM Controllo dell’incendio primario evitando che si propaghi nelle zone vicine attraverso muri d'acqua e/o schiuma

Probabilità di Guasto on demand ed efficienza (capacità di isolare l’incendio primario)

11

3.3 Barriere Passive

Una barriera passiva è un sistema che non richiede alcun tipo di sollecitazione per essere attivata ed esercitare la propria azione mitigante (De Dianous V, 2006) (Lees, 1996)

L’applicazione di barriere passive svolge un importante contributo nel controllo delle escalation a partire da un incidente, grazie alla capacità schermante che questi strumenti hanno rispetto agli effetti di radiazione, che determinano il surriscaldamento delle apparecchiature.

Questo permette di ritardare i tempi di surriscaldamento critici che portano al collasso delle apparecchiature e che determinano l’escalation dell’incidente. (Khakzad & Al, 2016)

Esistono molti tipi di materiali utilizzati nelle protezioni passive: vermiculite spray, rivestimenti epossidici, sistemi di rivestimento in fibra artificiale. Come si vedrà in seguito, lo studio delle performance delle barriere passive è spesso legato alla sola efficienza più che alla probabilità di guasto on demand.

3.4 Barriere Procedurali e di Emergenza

In caso di incidente, possono essere predisposte delle risposte procedurali e di emergenza da parte di gruppi interni o esterni. Questi gruppi possono essere costituiti da volontari o personale specializzato (Vigili del Fuoco) ma anche da operatori o tecnici interni all’impianto e che ricevono specifici training.

Da questo consegue che le performance di intervento dei gruppi di emergenza dipende dal grado di preparazione di chi effettua tali azioni di emergenza. (Reniers, 2013)

Nel lavoro di questa tesi, la valutazione delle performance relative agli interventi di emergenza sono state stimate sulla base dell’errore umano, in particolare delle performance che può avere un operatore sottoposto a situazioni particolari legate all’emergenza.

12

4.

Metodi probabilistici per l’analisi del rischio

4.1 Stima delle frequenze e probabilità degli incidenti a effetto

domino

La stima della probabilità associata all’escalation, o propagazione di un incidente, è legata all’azione delle barriere. Nei primi approcci adottati per l’analisi degli incidenti a effetto domino (Antonioni & Al, 2009) (Cozzani & Al, 2014), (Landucci & Al, 2009), questa probabilità era calcolata sulla base del solo Top Event Primario e della vulnerabilità degli apparecchi potenzialmente sottoposti all’attacco dell’incidente primario (o target), secondo la seguente relazione:

𝑃𝑑 = 𝐹(𝑃𝐸)

Dove Pd è la probabilità dell’escalation, PE è l’intensità degli effetti fisici da cui dipende F, ovvero la misura di vulnerabilità dell’apparecchiatura.

Landucci (Landucci & Al, 2015) ha impostato un approccio di valutazione della probabilità di escalation di un incidente tramite l’Event Tree Analysis, schematizzando le barriere di emergenza come dei gates (fig.1), inseriti all’interno di tali alberi.

13

I gates rappresentano, nell’ordine:

 Probabilità composita semplice (gate ‘‘a’’) la disponibilità della barriera si esprime come PFD, ed è moltiplicata per la probabilità di successo della barriera nel prevenire l’escalation

 Distribuzione di probabilità composita (gate ‘’b’’): la disponibilità in questo caso è moltiplicata per la probabilità di successo della barriera nella prevenzione dell’escalation, e si ottiene in questo caso una probabilità composita di guasto on demand

 Distribuzione di probabilità discreta (gate ‘’c’’), a seconda dell’efficienza della barriera (che indica l’efficace lavoro di protezione), è collegata a tre stati in uscita dalla barriera: successo della barriera, fallimento della barriera, escalation mitigata o ritardata.

Nello studio dell’escalation si può associare a ciascuno dei gates un operatore, da cui si può ottenere la specifica probabilità dell’escalation. Le conseguenze delle escalation possono essere diverse, a seconda che la mitigazione sia stata completamente evitata o solo ritardata.

Le performance di ogni barriera sono quantificabili in ciascuno dei rami in uscita dal gate, e rappresentano, quantificandole, le frequenze associate al fallimento o funzionamento delle barriere. Nel caso delle barriere procedurali e di emergenza, schematizzabili come il gate di tipo ‘’c’’, le branches in uscita sono tre, di cui una associata al fallimento dell’intervento, le altre due invece si riferiscono rispettivamente all’attivazione dell’intervento ma con bassa efficienza, e l’altra all’attivazione con alta efficienza

In questa tesi si vuole considerare per ciascun tipo di barriera lo studio delle performance di guasto basato sulle distribuzioni di probabilità. Grazie a tali distribuzioni, ottenibili dai dati sperimentali delle performance di barriera (CCPS, 2000) (IDAHO, 1995), è possibile tenere conto di tutte le cause che possono determinare l’inefficienza o la mancata attivazione di tali sistemi ed è possibile attribuire ad ogni causa il proprio peso nelle performance finali. Questo può portare quindi ad una stima delle performance più rigorosa e credibile rispetto a ciò che accade nelle realtà di impianto, permettendo di usare tali strumenti di valutazione anche come predittivi degli incidenti e della stima dei rischi associati.

14

4.2 Analisi mediante la tecnica dell’albero degli eventi

Gli obiettivi dell’analisi basata sull’ Albero degli Eventi (ETA) è quella di fornire una panoramica delle possibili conseguenze che derivano da un Evento iniziale che può dare diverse conseguenze. Essi possono essere utilizzati sia per sistemi che hanno elementi operanti in continuo e/o elementi in standby che si attivano nei momenti più opportuni. Questi ultimi tipi di albero sono focalizzati sugli aspetti di sicurezza, finalizzati alla modellazione delle conseguenze degli incidenti che risultano da un Evento iniziale. Per questo tipo di applicazione l’analisi con Albero degli Eventi è un processo induttivo nel quale chi analizza inizia partendo dall’Evento iniziale (Incidente primario) e sviluppa le possibili sequenze di Eventi che portano ai potenziali incidenti (TNO, 2005).

Se si opera per elementi operanti in continuo, l’accadimento degli Eventi e il guasto dei componenti possono essere inseriti all’interno dell’albero degli Eventi in qualsiasi ordine; caso diverso è se invece si ha a che fare con elementi in standby o in generale con elementi la cui azione può pregiudicare o essere pregiudicata dal guasto di altri, in questo caso l’odine dell’analisi degli Eventi va necessariamente inserita nell’ordine cronologico di avvenimento. Un’altra differenza tra i due tipi di albero riguarda l’Evento iniziale. Nel caso di elementi operanti in continuo, l’elemento iniziale è dato dal sistema che opera normalmente e la sequenza delle conseguenze coinvolge tutti gli elementi che possono contribuire alla continuazione del funzionamento o al guasto; nel caso di elementi in standby, l’albero degli Eventi l’albero servirà per valutare gli scenari finali derivanti da un caso iniziale.

Nell’ETA si possono riconoscere due tipi di elementi: gli Eventi iniziali e quelli intermedi; di questi, i primi sono contrassegnati dal fatto che sono i primi a determinare l’analisi, portando all’attenzione il contributo degli Eventi intermedi; questi ultimi, invece, determineranno tramite il loro contributo gli scenari finali.

L’utilità di un’analisi effettuata tramite albero degli Eventi si può avere se un possibile Evento specifico può determinare una serie di diverse conseguenze e se si è interessati a quantificare la probabilità di occorrenza di tali scenari, in ottica di determinarne la credibilità e quindi quantificarne il rischio.

La costruzione di un albero degli Eventi, è piuttosto sequenziale, e di tipo left-right. Come detto sopra, per effettuare la costruzione si parte dall’Evento iniziale

15

e si sviluppa la sequenza di accadimento di tutte le funzioni di sicurezza rilevanti, secondo una modalità temporale o random a seconda del tipo di elementi. L’utilizzo di questo tipo di analisi permette di rappresentare graficamente la progressione cronologica degli incidenti. Nella costruzione dell’albero, si parte dall’Evento iniziale e ad ogni alternativa, Evento o elemento intermedio che interviene dopo l’incidente, se ne analizzano le alternative in uscita finché non si arriva a definire una conseguenza finale. In riferimento agli scenari incidentali, la sequenza degli Eventi dipende dall’intervento positivo o negativo delle barriere di protezione (TNO, 2005). Tale conseguenza, nel caso dell’analisi degli incidenti può determinare uno o più scenari incidentali, che possono essere l’aggravamento dell’incidente iniziale o la sua mitigazione. Anche gli scenari di interruzione dell’escalation e di condizioni safe sono altrettanto importanti. Gli Eventi intermedi dovrebbero essere indicati sopra al diagramma vero e proprio, in corrispondenza dei quali, all’altezza del diagramma si avranno i rami che definiscono uno stato positivo o negativo legato all’Evento intermedio o alla performance dell’elemento intermedio in questione.

All’interno dell’albero ci saranno rami più sviluppati, a seconda dell’interesse che si ha per alcuni scenari specifici. Se, ad esempio, si è interessati a capire quale concatenazione di Eventi può determinare vittime a seguito di un incidente, solo gli scenari che possono determinare tale possibilità verranno sviluppati. I rami che portano alla determinazione di scenari con minore impatto, possono essere lasciati non sviluppati. Molti rami invece potrebbero avere lo stesso tipo di struttura all’interno dell’albero, questo caso si manifesta spesso quando si ha a che fare con pochi tipi di barriere di protezione, la cui azione si manifesta in molti contesti all’interno di un’unità di impianto.

Ogni Evento intermedio nell’analisi avrà una frequenza associata che dipende solo dall’elemento; da questa, però, sarà possibile ottenere una frequenza condizionata dagli Eventi precedenti (vedere sezione Cap 5 dedicata alle Probabilità condizionate). Tali frequenze condizionate saranno date dal prodotto tra la frequenza singola e quella degli Eventi precedenti.

La frequenza degli scenari finali è ottenibile dal contributo di tutti gli Eventi che si presentano precedentemente; in particolare, la frequenza dello scenario finale sarà data dal prodotto di tutte le frequenze degli Eventi intermedi e dell’Event iniziale ovviamente.

16

4.3 Analisi mediante la tecnica dell’albero dei guasti

Per la valutazione del rischio e le analisi di affidabilità, si desidera valutare la probabilità di accadimento di un certo evento date determinate cause e in che misura tali cause contribuiscono all’accadimento dell’evento stesso. Questo Evento può essere la probabilità di guasto on demand di un dispositivo di sicurezza. Per avere queste informazioni si può utilizzare la Fault Tree Analysis (FTA), che è una tecnica analitica che consiste nella definizione di uno stato indesiderato, a partire dal quale vengono definite tutte le modalità e le combinazioni di cause credibili tramite le quali questo stato indesiderato può avvenire.

La FTA è un’analisi che si focalizza su un particolare Evento indesiderato e sul quale effettua un’analisi delle probabili cause che lo determinano. L’Evento indesiderato costituisce il Top Event del diagramma di guasto, e generalmente rappresenta una rottura, lieve o catastrofica del sistema in considerazione. L’albero dei guasti costituisce un modello grafico delle varie e sequenziali combinazioni di guasti. I guasti possono essere Eventi associati a rotture meccaniche di componenti hardware, errori umani, o altri Eventi pertinenti che possono contribuire all’accadimento del Top Event.

E’ importante specificare che la FTA non è un modello dei possibili guasti del sistema o le possibili cause del guasto del sistema; l’albero dei guasti si adatta dal suo Top Event, a cui possono corrispondere diverse modalità di guasto, ma nell’Albero figureranno solo quelle che, nel contesto specificato, possono contribuire al Top Event.

L’albero dei guasti in sé non è un modello quantitativo di guasto, ma bensì un diagramma logico da cui poi possono essere svolte delle analisi quantitative. I risultati qualitativi della FTA, infatti, sono i minimal cutsets del sistema, e possono essere utilizzati per le valutazioni quantitative della frequenza di guasto, associando ad ognuno di essi una frequenza di accadimento. I minimal cut- sets sono la minima combinazione degli Eventi elementari tali che, se avvengono tutti, determineranno l’accadimento del Top Event. Si parla di minimal cut-sets di primo ordine per indicare i singoli Eventi base che contribuiscono all’accadimento del Top Event, e di secondo ordine le combinazioni di coppie di Eventi elementari che devono avvenire contestualmente per determinare il Top Event.

17

L’albero dei guasti è un sistema complesso di entità, dette ‘gates’ che servono per permettere o inibire il passaggio di una logica di guasto, e mostra le relazioni di Eventi necessarie per far sì che da un Evento di livello ‘minore’ avvenga un Evento di livello ‘superiore’. Se tale livello superiore è l’output del gate, i livelli inferiori sono gli input a questo. Il simbolo del gate determina la modalità di relazione degli Eventi in input per far sì che determinino l’output.

Lo studio quantitativo a partire dall’albero dei guasti fornisce informazioni non soltanto sul valore dei parametri di affidabilità di un elemento, ma anche dei contributi maggiori e minori dati ai guasti del sistema. Nel momento in cui si costruisce l’albero dei guasti va tenuta in considerazione qualsiasi informazione disponibile per la familiarizzazione col processo in esame. Sono importanti le descrizioni di tutte le tipologie di guasto che sono avvenute nell’impianto o in impianti simili, per acquisire una maggiore consapevolezza delle dinamiche che si instaurano nei sistemi come quello in esame.

La valutazione del rischio associato ad un determinato guasto, come detto sopra, avviene associando ai cutsets delle frequenze di accadimento. Di seguito vengono riportate le relazioni più importanti per la valutazione dell’Evento finale.

La FTA verrà utilizzata in questa tesi per valutare gli effetti di un Evento incidentale (incendio o esplosione) sulla rottura o il guasto di una safety barrier.

4.4 Eventi a cascata: soglie di danno e propagazione

Un incidente può propagarsi dando luogo ad eventi a cascata attraverso dei mezzi di escalation, anche detti vettori di escalation, che sono diretti dall’unità coinvolta nell’incidente alle unità vicine. I vettori di escalation sono effetti fisici che si manifestano con l’incidente, e i cui più importanti esempi sono:

 Radiazione, investimento diretto o ingolfamento nelle fiamme, nel caso di incendio

 Sovrappressione e proiezione di frammenti nel caso di esplosioni  Proiezione di frammenti

La probabilità che avvenga l’escalation, però, non dipende soltanto dal tipo e dall’intensità del vettore escalation, ma anche dalla quantità di sostanza coinvolta nell’incidente e dalla vulnerabilità fisica dell’apparecchio target. Per capire se un

18

apparecchio può essere effettivamente danneggiato dagli effetti di radiazione o sovrappressione di un incidente nelle vicinanze, bisogna analizzare dei valori di soglia per i vettori di escalation.

La resistenza fisica dell’apparecchio sarà quantificabile rispetto ad un certo valore di potenza radiante, di gradiente di pressione e di proiezione di frammenti. Se, una volta avvenuto l’incidente, gli effetti fisici che investono l’unità target sono inferiori ai valori di soglia, si può dire che l’escalation non avviene, neanche se le barriere di protezione dell’apparecchio falliscono. (Landucci & al, 2016).

Nel caso di effetti domino da incendio, la realtà può trovarsi in una situazione intermedia, ovvero nel fatto che rispetto ad una certa soglia di radiazione un apparecchio può resistere fisicamente ma per un tempo contenuto; in questi casi, comunque, l’azione mitigante delle barriere sta nel fatto che il tempo di rottura viene ritardato, e quindi grazie alla capacità dell’apparecchio e delle barriere si riesce ad evitare la propagazione di un incidente (Cozzani & Al, 2005).

Nella tabella di seguito vengono riportati i criteri di escalation disponibili in letteratura. Tali criteri comprendono una serie di valori di soglia di radiazione.

Tabella 2.Soglie escalation radiazione

Soglia radiazione Fonte 9,5 KW/m2 _{(Tan, 1967)} 12,5 KW/m2 _{(DM151, 2001)} 15,6 KW/m2 _{(API, 1990)} 24 KW/m2 _{(Bagster &} Pitblado, 1991) 25 KW/m2 _{Green Book}

37 KW/m2 _{(Khan & Al)}

37,5 KW/m2 _{(Cozzani & Al)}

38 KW/m2 _(Kletz)

La scelta della soglia di escalation del presente lavoro di tesi e delle soglie di studio sono riportate nel par.5.16.

19

4.5 Analisi mediante la teoria dei grafi

Un grafo matematico (G) è un accoppiamento ordinato di n vertici (V= {v1,

v2,…vn}) e di m edges (E={e1, e2…em}), che possono essere diretti o non diretti

(Khakzad & al, 2016). Volendo esportare l’uso dei grafi all’analisi del rischio, si può dire che i nodi forniscono una rappresentazione delle unità di impianto che fanno parte del sistema, le cui caratteristiche e performance hanno un ruolo nella propagazione di un incidente, mentre gli edges sono tutte quelle correlazioni (modo o bidirezionali) che collegano tali elementi. All’interno di un grafo di tipo pesato, i set di valori che sono associati ai nodi e agli edges avranno un grado di importanza diverso nella determinazione degli scenari finali. A differenza degli alberi degli Eventi, dove ciascun ramo tra Eventi intermedi ha una misura frequentistica o probabilistica, nel caso del grafo si possono usare diverse metriche per indicare la variabile di interesse per lo studio, e l’analisi può adattarsi a ciascuna di queste metriche. Possiamo dire che un “cammino” tra due nodi vi e vj può comprendere il passaggio in una serie di nodi intermedi che

possono essere attraversati anche più volte. Un “percorso”, invece, indica un percorso tra due nodi, nel quale ogni nodo intermedio può essere attraversato una sola volta. Legata a questo, va definita una distanza geodesica tra due nodi, ovvero la lunghezza del percorso più breve tra i due nodi vi e vj.

Tra le metriche di nodo più comuni ed utilizzate nello studio delle barriere di protezione, che possono contribuire a diminuire la vulnerabilità di una unità di processo, o nodo, emergono la Betweenness e la Closeness:

 Betweenness: è una misura di centralità di un nodo, inteso come frazione della distanza geodesica tra tutte le coppie di nodi (vj e vk) che attraversano il nodo intermedio vi

𝐶𝑏(𝑣𝑖) = ∑

𝑑𝑗𝑘(𝑣𝑖) 𝑑𝑗𝑘

Dove djk rappresenta la distanza tra vi (intermedio) e vk, e dij la distanza tra vi e vj. Un nodo che ha un’alta betweenness si trova ad essere attraversato nei percorsi di un’alta frazione di coppie di nodi; da questo consegue che la rimozione di un nodo con alta betweenness può determinare una grande disconnessione della rete.

20

 Closeness: può essere definita come la distanza da percorrere per passare da un certo nodo vi a tutti i nodi che compongono il grafo (detta ‘’out-closeness’’ o Cc-out(vi)), analogamente, la closeness po' anche rappresentare la distanza che va percorsa partendo da ogni nodo del grafo per arrivare al nodo vi (detta ‘‘in-closeness’’ Cc-in(vi) ).

𝐶_{𝑐−𝑜𝑢𝑡}(𝑣𝑖) = 1

∑ 𝑑𝑖𝑗_𝑗 𝐶𝑐−𝑖𝑛(𝑣𝑖) =

1 ∑ 𝑑𝑗𝑖𝑗

Le misure di in-closeness ed out-closeness si ricavano seguendo le direzioni indicate dai grafi, mentre in conclusione la all-closeness permette di combinare entrambe le closeness ignorando le direzioni degli edges. L’utilizzo di queste metriche di nodo permette di conoscere in maniera deterministica il ruolo di ogni nodo all’interno della rete. Nel caso dell’analisi del rischio, si possono attribuire ai nodi, che si ricorda rappresentano le varie unità coinvolte nell’incidente, delle metriche di betweenness e closeness, ma anche gli edges possono essere pesati in modo da capire il grado di influenza che c’è nel passare da un nodo ad un altro.

Gli edges possono riferirsi invece alla radiazione, sovrappressione o lancio di frammenti che partendo da un apparecchio o unità possono in qualche modo influenzare (o danneggiare) altre unità. Se si studia la propagazione di un incendio, ad esempio, agli edges verrà associata una certa quantità di radiazione prodotta nell’incendio. Fissando come riferimento una soglia, ovvero un valore massimo di radiazione al di sotto del quale, per resistenza meccanica di un apparecchio o per le protezioni ad esso associate, non si ha l’escalation, è possibile capire quanto sia credibile che l’incendio che parte da un nodo possa propagarsi ai nodi vicini.

La mappatura di un impianto chimico industriale in un grafo, inoltre, permette di riconoscere i nodi con la più alta closeness, ovvero quelli che per la loro posizione e piccola distanza da un grande numero di nodi, saranno più vulnerabili alla propagazione di un Eventuale incidente. Se l’impianto in questione è già esistente, e quindi le distanze e le disposizione tra gli elementi dell’impianto non possono essere alterate, investire in barriere di protezione nei nodi con più alta vulnerabilità permette di ridurre potenzialmente il rischio.

21

Altrimenti, nel caso di impianti che si trovano ancora in fase di progettazione, la vulnerabilità di ogni singola unità può essere considerata per valutare la vulnerabilità totale di impianto, permettendo di intervenire in tempo nelle modifiche di layout.

In generale, comunque, (Khakzad & al, 2016)mostra come una protezione attiva installata su un nodo con alta closeness permette di proteggere attivamente un grande numero di nodi, mentre per i nodi con grande betweenness una protezione passiva previene dalla propagazione massiccia di un incidente nelle zone adiacenti di impianto.

Oltre a ciò, i criteri di ottimizzazione delle configurazioni di barriera migliori saranno visti più nel dettaglio nel par. 5.16.

4.6 Analisi mediante Reti Bayesiane

Le Reti Bayesiane (BN), sono dei diagrammi aciclici, ovvero diagrammi i cui elementi hanno una struttura non chiusa ad anello; e permettono di rappresentare probabilisticamente le relazioni tra elementi operanti in condizioni di incertezza. Queste reti sono composte da elementi grafici, i nodi, che rappresentano le varie componenti del sistema e gli archi, a cui sono associate le relazioni tra i nodi, basate su modelli probabilistici.

La struttura della rete Bayesiana è una illustrazione qualitativa delle interazioni tra i set di variabili che rappresenta, e può rappresentare la struttura causale del dominio di interesse, sebbene non sia sempre necessario. Laddove la struttura sia di tipo causale, la rete dà una utile rappresentazione sulle interazioni tra variabili e permette di valutarne le modellazioni dovute ad interazioni esterne.

Tramite questa configurazione, le BN hanno il vantaggio di permettere una rappresentazione qualitativa ed esplicita dei rapporti tra gli elementi del sistema, che possono essere vari e flessibili, cosa che con un diagramma classico usato nelle analisi del rischio, come gli alberi degli Eventi o gli alberi dei guasti, non è possibile.

Le Reti Bayesiane sono state ampiamente celebrate per la loro capacità unica di fornire rappresentazioni intuitive ma allo stesso tempo scientificamente rigorose di sistemi complessi. Una volta validate, possono essere utilizzate per effettuare delle analisi degli scenari, attraverso algoritmi di propagazione, e ragionamenti

22

diagnostici, attraverso gli algoritmi di aggiornamento a posteriori basati su regole di inversione consolidate (Pearl, 1988)

Da una parte, infatti, tramite le Reti Bayesiane è possibile mostrare qualitativamente le relazioni tra i nodi del sistema che sono rappresentate dagli archi causali; dall’altro lato permettono di ricavare l’intensità di tali relazioni causali, tramite l’uso delle probabilità condizionate.

Nelle BN, i nodi dai quali partono gli archi vengono detti parent nodes e quelli verso cui sono diretti i nodi sono detti nodi figli. Ogni nodo può essere genitore o figlio di un altro, mentre laddove i nodi non hanno dipendenze, sono detti ‘root nodes’o ‘leaf nodes’ a seconda che non abbiano rispettivamente nodi genitori o nodi figli.

Le probabilità associate ad ognuno dei nodi possono essere associate a condizioni di incertezza variabile e vengono considerate probabilità a Priori (Prior distributions); queste probabilità in linea di principio potrebbero anche essere non informative, ovvero completamente random laddove non si conosce nulla di un nodo.

La rete Bayesiana è poi in grado di ricavare le probabilità condizionate di ogni nodo associate a quelle dei suoi rispettivi parenti ed utilizza le informazioni aggiuntive sul sistema, ogniqualvolta si presentano, per ricavare le joint probability distributions (JPD) ovvero le probabilità a posteriori. Le informazioni aggiuntive sono quelle che aggiungono elementi per diminuire l’incertezza, come osservazioni ed evidenze.

Questo meccanismo è l’applicazione del Teorema di Bayes (Bayes, 1763.), che trova rappresentazione nella regola di Bayes così definita:

𝑃(𝐴⎹ 𝐵) =𝑃 (𝐵⎹ 𝐴)∗𝑃(𝐵)

𝑃(𝐴) (Eq. 1)

Dove 𝑃(𝐴⎹ 𝐵) è la probabilità condizionata di un Evento A dato B, che si ottiene a partire dalla conoscenza della probabilità a priori di A (P(A)), dall’osservazione di B P(B) e dalla credibilità dell’osservazione data A (𝑃 (𝐵⎹ 𝐴).

Oltre a questa capacità di aggiornamento delle probabilità, la struttura flessibile della BN permette di mettere insieme le probabilità condizionate a variabili

23

multistato e cause comuni di guasto, che ne fanno potenzialmente uno degli strumenti più efficaci per lo studio del rischio.

L’aggiornamento a posteriori delle probabilità trova un’ulteriore applicazione utile se la si contestualizza alle barriere di protezione, per valutare l’andamento (e quindi l’Eventuale peggioramento) delle performance nel tempo, una volta che alcune evidenze si manifestano ripetutamente, seppure con modalità ed effetti differenti. Questa proprietà prende il nome di Adaptation o adattamento delle probabilità, e verrà trattato di seguito, nel Capitolo 5.

4.7 Bayesian Updating

Si è visto come gli obiettivi del metodo di update di una rete Bayesiana siano di combinare dati generici a dati specifici di impianto in un modo da ottenere maggior confidenza sui dati di impianto, laddove quelli di partenza non siano verosimili o incerti. La conoscenza a priori è una distribuzione di incertezza sul possibile valore del parametro di guasto del componente. L’aggiornamento della rete Bayesiana cambia questa distribuzione a priori in una a posteriori, incorporando i dati osservati specifici di impianto. (TNO, 2005)

Le reti Bayesiane permettono di rappresentare l’inferenza tra Eventi, ad esempio rappresentando l’impatto delle variabili osservate in ciò che è rappresentato all’interno della rete sotto forma di distribuzioni.

L’Updating della rete Bayesiana può essere visto come qualcosa di meno preciso di una inferenza, e si basa su parametri numerici rappresentati nel modello. La struttura del modello, che può essere visto come una definizione esplicita delle indipendenze nel dominio, aiuta a rendere gli algoritmi dell’updating più efficiente.

Tutti gli algoritmi dell’Updating Bayesiano, comunque, sono basati sul teorema di Bayes (vedi Eq. 1).

L’updating delle frequenze nelle reti Bayesiane è un aspetto computazionale complesso, comunque esistono diversi algoritmi piuttosto efficienti per effettuare l’update. (Pearl, 1988) ha sviluppato uno schema che permette di aggiornare, data un’evidenza, ogni nodo appartenente ad una rete. (Lauritzen and D. J., 1988)), (Jensen & F, 1990) (Dawid & Wang, 1992)hanno proposto un algoritmo efficiente che dapprima trasforma la Rete Bayesiana in un albero all’interno del quale ogni nodo esprime un subset di variabili.

24

L’algoritmo permette poi di estrapolare le proprietà di ciascun nodo per effettuare l’inferenza probabilistica. Inoltre, sono stati sviluppati molti algoritmi basati su calcoli stocastici. Di questi, i più importanti sono: probabilistic logic sampling (Henrion, 1998), likelihood sampling (Shachter & Peot 1990, (Fung, 1990.)), backward sampling ( (Fung D. F., 1994)), Adaptive Importance Sampling (AIS) ( (Cheng, 2000)), e Evidence Pre-propagation Importance Sampling (EPIS) (Yuan & Druzdzel 2003), che è uno dei più credibili.

Va tenuto conto che in questo caso gli aggiornamenti sulle performance di barriera vanno oltre la definizione dell’efficienza. Se negli studi sul rischio già effettuati, infatti, le probabilità di guasto dipendevano dalla PFD e dalla efficienza di ogni barriera, in questo caso tramite l’adattamento delle probabilità (ma anche l’update), siamo in grado di calcolare le Probabilità a posteriori.

4.8 Bayesian Adapting

Il secondo tipo di update delle probabilità, ovvero l’adattamento delle probabilità, permette in generale di calcolare le probabilità a posteriori di un Evento A dato l’accadimento di un’evidenza B che si manifesta n volte nel tempo, ovvero 𝑃(𝐴⎹ 𝐵 = 𝑛). Le probabilità a priori vengono utilizzate per effettuare l’aggiornamento attraverso le informazioni cumulative raccolte durante un certo intervallo di tempo.

L’algoritmo relativo all’adaptation, aggiornerà le distribuzioni di probabilità condizionata di una rete Bayesiana alla luce delle evidenze inserite (le cosiddette esperienze). Gli adattamenti sono possibili soltanto trattando variabili discrete, per impostazione dei software che si occupano di questo tipo di studio, comunque si rivelano molto utili laddove la struttura grafica e le specificazioni iniziali delle distribuzioni di probabilità condizionata sono presenti ma il dominio del modello cambia nel tempo, il modello è incompleto, o semplicemente non rappresenta adeguatamente il dominio che si vuole modellare.

Tra gli algoritmi utilizzati per l’adaptation, figura quello di Spiegelhalter & Lauritzen ( (Lauritzen and D. J., 1988)). Essi hanno introdotto il concetto di esperienza all’interno dei modelli che si riferiscono alle rappresentazioni delle distribuzioni a priori. L’esperienza è una componente di memoria che si può basare sia sull’ expert judgement che sui casi storici legati ad un fenomeno.

25

La diffusione delle esperienze si riferisce ad un processo di inserire distribuzioni aggiornate per le variabili della rete. Il recupero delle esperienze si riferisce invece al processo di calcolare le distribuzioni aggiornate di quei parametri che determinano le distribuzioni aggiornate delle variabili della rete.

In breve, l’adattamento aggiornerà le distribuzioni di probabilità condizionate di una rete Bayesiana, alla luce delle evidenze inserite e propagate

L’esperienza, per una variabile discreta è rappresentabile come una serie di valori Alpha0,...,Alphan-1, dove n è il numero delle configurazioni degli Eventi genitori di ogni Evento. Notare che i valori per Alpha non devono essere necessariamente legati a valori interi, possono essere valori positivi reali .

L’adattamento permette delle funzioni di dissolvenza (fading), ovvero la possibilità di diminuire l’influenza di un Evento da quelli del passato, per lasciare al modello la possibilità di adattarsi volta per volta agli aggiornamenti sulle esperienze.

Sebbene l’adapting sia ampiamente utilizzato nell’applicazione di metodi basati sulle reti Bayesiane, non sono state altrettanto utilizzate nell’analisi del rischio. Khakzad (Khakzad N. F., 2012)fa una prima applicazione di questo metodo per aggiornare le frequenze degli scenari a effetto domino. In questo lavoro l’adapting viene utilizzato per l’aggiornamento delle performance di barriera, in ottica di diagnosi ed aggiornamento della configurazione della vulnerabilità di un impianto tale da permettere di riconoscere le unità più vulnerabili all’interno di un sistema in ottica di predisporre i piani di emergenza, e soprattutto di aggiornarli con il tempo.

4.9 Metodi per la valutazione dell’errore dell’operatore

I fattori umani ed organizzativi contribuiscono ad un grande numero di incidenti nell’industria di processo, perciò è di primaria importanza includere i fattori umani e organizzativi nella valutazione del rischio (Ahmad & Al, 2014)Vista la complessità sempre più crescente degli impianti, infatti, la mole di informazioni necessaria per la gestione dell’emergenza è così alta che non è più trascurabile il contributo legato all’errore umano (G. Di Costanzo, 2006)

26

Esistono varie tecniche per l’analisi dell’affidabilità umana (HRA), volte alla valutazione del rischio lavorativo derivante dall’errore umano.

Per una valutazione probabilistica del rischio si identificano tutti i rischi, compresi gli errori umani, a cui il sistema è esposto, dandone una stima quantitativa e si inseriscono queste informazioni in una rete Bayesiana per valutarne il contributo.

Lo sviluppo delle tecniche HRA è chiaramente legato a quello dell’industria a rischio di incidente rilevante laddove gli incidenti di grande impatto in termini di perdita di vite umane ed effetti disastrosi sull’ambiente hanno messo in luce l’importanza delle performance degli esseri umani per prevenirne le evoluzioni.

4.9.1 Metodo THERP e SLIM

Due importanti lavori finalizzati allo studio della predizione dell’errore umano viene dal campo nucleare attraverso lo sviluppo delle cosiddette tecniche di expert judgement, e sono i metodi SLIM (Success Likelihood Index Methodology) e THERP (Technique for Human Error Rate Prediction) ( (Swain, 1983)).

Un metodo che aiuti a capire meglio l’errore umano e le sue conseguenze può derivare dall’identificazione degli errori possibili. I due metodi che propongono questo tipo di approccio slegano i punti di vista associati alla colpa e al giudizio e si focalizzano su una prospettiva di sistema. Attraverso questo punto di vista, l’errore umano viene visto come la naturale conseguenza che viene fuori dalla discontinuità tra le capacità umane e le richieste di un sistema. Questi punti di vista sono centrali nella gestione della sicurezza di un processo. (Wilson, (2003)). Nello sviluppo di questi metodi (DiMattia & Al, 2004) si cerca di fare in modo di rendere quelle che sono decisioni soggettive (da prendere in condizioni particolari), in modalità le più oggettive possibile. A tal proposito sono stati considerati gli incidenti più tipici per l’industria di processo. Da questi si sono analizzate le varie azioni sulle quali un operatore o un essere umano è chiamato tipicamente ad intervenire e quindi, sulle quali può manifestarsi il suo errore. In ognuna di queste attività sono state riconosciute delle Performance shaping factor, o elementi che possono influire sull’occorrenza dell’errore, e poi da queste sono state estrapolate delle probabilità di errore.

27

Gli scenari presi in considerazione, per cui sono stati effettuati degli studi sull’ expert judgement, sono quelli legati ad incendio, esplosione e rilascio di sostanza tossica, e sulla base di questi sono state analizzate le attività degli operatori e le Performance shaping factor che possono influenzarne le attività.

Come già detto, su ognuno di questi incidenti sono state effettuate le analisi delle azioni gerarchiche da compiere (da parte del personale) dall’accadimento dell’incidente fino a chiusura dell’emergenza. Tali attività sono comunque indipendenti dal tipo di incidente, visto che si focalizzano su quanto accade dopo l’incidente, quindi non sono strettamente legate al tipo di incidente stesso (Fig 2). Di seguito delle rappresentazioni schematiche di tali attività, estrapolate dai metodi THERP e SLIM.

28

3.Rischio associato al tempo di attività e delle attività operatore (Fonte: DiMattia et Al)

Come si vede dalla figura 3, sono riconoscibili delle specifiche fasi tra un Evento iniziale e le fasi di chiusura, per ognuna di esse, sono riconoscibili delle attività, tutte soggette a potenziali errori. Rispetto a queste attività, si deve tenere conto delle Performance Shaping factor, che sono quelli che possono influenzare l’accadimento degli errori. I Performance Shaping factors, infatti, sono quei parametri che vanno ad influenzare l’operatore o l’essere umano che interviene in caso di incidente. Molti metodi si basano sulla determinazione delle performance di un essere umano proprio sulla base di tali fattori, permettendo l’attribuzione di un perso, ovvero un fattore moltiplicativo associato alla probabilità di fallimento dato quel fattore. La descrizione qualitativa delle Performance shaping factors è descritta in Figura 4.