CAPITOLO 7 Analisi probabilistica delle deviazioni nel gruppo surpressore mediante il codice Idda

(1)

CAPITOLO 7

Analisi probabilistica delle deviazioni nel gruppo

surpressore mediante il codice Idda

7.1 Contesto e scopo dell’analisi

Nel capitolo precedente si sono analizzati gli aspetti generali e la sintassi che viene utilizzata per affrontare un problema utilizzando l’analisi delle decisioni dinamiche integrate. Ora questa metodologia verrà impiegata per calcolare la probabilità di accadimento nel corso di un anno (tempo di missione considerato per le osservazioni sull’impianto) di tutte le possibili variazioni che possono accadere nel gruppo

surpressore ( il compressore più il sistema di controllo ad esso associato).

Tali variazioni vengono definite deviazioni e rappresentano tutte le possibilità di utilizzo del compressore: ossia ogni singolo componente del gruppo surpressore viene analizzato in dettaglio e si analizza la probabilità che esso funzioni correttamente o meno; inoltre si osservano le ripercussioni su tutte le altre parti dell’impianto fino ad arrivare ad una conclusione (che può rappresentare il blocco del compressore, il ripristino delle condizioni iniziali o altre uscite) schematizzata dal codice mediante differenti affermazioni o uscite.

Lo scopo è quello di osservare il comportamento del compressore in una visuale completa d’insieme per tenere conto di tutti i suoi aspetti di funzionamento. L’analisi dimostrerà che le probabilità di avere danni che si ripercuotono su tutto l’impianto hanno probabilità di accadimento trascurabili, tuttavia da questa trattazione si evince che le probabilità di avere dei guasti ai componenti, soprattutto nel sistema di controllo non sono da sottovalutare; soprattutto dal punto di vista della produttività. Nei prossimi paragrafi si vedrà in dettaglio la tipologia di guasti che mi portano al blocco del compressore, più diverse osservazioni su altre deviazioni critiche. Inoltre i risultati ottenuti verranno confrontati con quelli ricavati dalla metodologia Hazid relativi al compressore per visualizzare la differenza d’informazione dei due modelli.

(2)

7.2 Struttura e funzionamento del Gruppo Surpressore

Il gruppo surpressore come abbiamo visto nel capitolo 4 è costituito da un compressore di tipo alternativo a tre pistoni e tre stadi, azionato da motore elettrico e da un sistema di controllo che verifica le principali funzoni su tutta la linea dell’impianto.

L’idrogeno in entrata è filtrato, regolato in pressione a 0,7 ÷ 4 bar mediante il regolatore dell’alimentazione PRV 500 ed inviato nel serbatoio d’aspirazione ST500, da cui è aspirato dal primo stadio di compressione. In uscita dal primo stadio l’idrogeno è raffreddato mediante uno scambiatore ad aria, quindi passa nel secondo e terzo stadio di compressione, entrambi seguiti da scambiatori di raffreddamento ad aria. L’idrogeno in uscita è nuovamente filtrato ed inviato al deposito di idrogeno compresso D-02A/B/C e al sistema di carica autobus.

I tre stadi di compressione sono protetti a valle da valvole di sicurezza PSV501, PSV502, PSV503 con scarico convogliato per lo sfiato a distanza in atmosfera. Inoltre sono presenti degli allarmi di alta pressione in ogni stadio più un ulteriore allarme di altissima pressione finale e temperatura finale al terzo stadio che convogliano il segnale ad un sistema PLC.

Un’apposita alimentazione di azoto gassoso consente il lavaggio e l’inertizzazione dei circuiti interni dell’idrogeno in caso di manutenzione o di messa in servizio ad impianto nuovo. Inoltre viene utilizzato per il sistema di controllo per gli attuatori per scongiurare il contatto tra idrogeno e ossigeno che potrebbe provocare esplosioni. Il compressore è assemblato su uno skid dotato di un cofano esterno di protezione e di insonorizzazione: il livello di rumore a 1 m è di 75 dB (A) ±3.

Per l’avviamento e la sosta il compressore dispone di un sistema automatico di scarico e di by-pass, con recupero di gas mediante il serbatoio di recupero ST501. L’arresto del compressore è automatico per valori di pressione inferiori a 0,4 bar e superiori a 280 bar (notare che la PSV503 interviene a pressioni superiori a 300 bar come ultima salvaguardia del compressore).

L’impianto di compressione (gruppo surpressore) ha un quadro elettrico di controllo e comando con PLC; inoltre per le sequenze di shutdown ho l’intervento del PLC e relay logici.

(3)

Come si può osservare dallo schema presente nell’allegato riservato A i componenti principali del sistema compressore sono rispettivamente:

Componenti dell’alimentazione compressore

1. La valvola di controllo PCV511 di alimentazione della linea azoto strumenti 2. Il presso stato di pilotaggo PSL502 (tarato 5 bar)

3. L’allarme PAL502 di bassa pressione che interviene a bloccare il compressore che si troverebbe altrimenti senza controllo che invia il segnale al sistema PLC e al Relay

4. La valvola pneumatica di alimentazione idrogeno PCV501

5. L’elettrovalvola di alimentazione idrogeno ECV501 che comanda la PCV 501 6. Il serbatoio di aspirazione ST500

7. Il serbatoio di recupero ST501

8. Il trasmettittore di pressione PT500 (tarato sui 4 bar)

9. Il sistema di controllo PLC500 che trasmette il segnale al convertitore

10. Il convertiotre NCS500 che trasforma il segnale elettrico in pneumatico e viene azionato dall’alimentazione dell’azoto strumenti

11. Il regolatore di pressione dell’alimentazione PRV500

12. L’elettrovalvola di comando idrogeno ECV503 che comanda la PCV 500 13. La valvola pneumatica di uscita idrogeno PCV500

14. Il pressostato all'aspirazione PSL501 (è tarato ad intervenire bloccando il motore se la pressione < 0.4 bar)

15. L’allarme PAL501 di bassa pressione che interviene a bloccare il compressore che si troverebbe altrimenti a funzionare non a regime, che invia il segnale al sistema PLC e al Relay

16. La valvola di sicurezza PSV500 (apre quando la pressione supera 6 bar)

Componenti dei tre stadi compressore (quelli significativi per l’analisi Idda sono relativi al sistema di controllo e alle valvole di sicurezza):

(4)

18. L’allarme PAH501 di alta pressione primo stadio che interviene a bloccare il compressore che si troverebbe altrimenti in una condizione pericolosa, che invia il segnale al sistema PLC e al Relay

19. La valvola di sicurezza primo stadio PSV501 che si apre a pressione superiore a 30 bar

20. Il pressostato al secondo stadio PSH502 tarato alla pressione di 125 bar

21. L’allarme PAH502 di alta pressione secondo stadio che interviene a bloccare il compressore che si troverebbe altrimenti in una condizione pericolosa, che invia il segnale al sistema PLC e al Relay

22. La valvola di sicurezza secondo stadio PSV502 che si apre a pressione superiore a 130 bar

23. Il pressostato al terzo stadio PSH500 tarato alla pressione di 280 bar

24. L’allarme PAH500 di alta pressione terzo stadio che interviene a bloccare il compressore che si troverebbe altrimenti in una condizione pericolosa, che invia il segnale al sistema PLC e al Relay

25. Il pressostato al terzo stadio di sicurezza finale PSHH500 tarato alla pressione di 295 bar

26. Il termostato di temperatura finale TSH500

27. L’allarme PAHH500 di altissima pressione terzo stadio che interviene a bloccare il compressore che si troverebbe altrimenti in una condizione pericolosa, che invia il segnale al sistema PLC e al Relay

28. La valvola di sicurezza terzo stadio PSV503 che si apre a pressione superiore a 300 bar

Componenti facoltativi utilizzati nella trattazione per limitare la probabilità di utilizzare il compressore in condizioni di sicurezza non rilevate

29. Il rivelatore di idrogeno allo sfiato RH503 30. L’allarme PLC sullo sfiato PRH503

Tutti questi componenti sono stati considerati per l’utilizzo del programma Idda. Quindi appare chiaro il livello di dettaglio dell’analisi di sicurezza rispetto ad altre

(5)

metodologie. Dalla tabella 7.1 si può osservare quali sono i componenti il cui funzionamento corretto comporta l’utilizzo a regime del compressore:

Tabella 7.1: Funzionamento a regime del compressore

Se avviene un qualsiasi guasto a uno di questi componenti interviene il sistema di controllo che tenterà di ripristinare lo stato di funzionamento a regime oppure farà intervenire i sistemi di allarme per bloccare il compressore.

Da osservare che la probabilità della sequenza n°1 non rappresenta la probabilità totale di avere il compressore a regime. Ad essa vengono associate le probabilità cumulative delle altre uscite che considerano l’utilizzo del compressore in funzionamento non sicuro.

Più avanti si vedrà in dettaglio la rappresentazione di tutte le uscite del programma.

7.3 Ratei e probabilità di Guasto (λ e p)

I ratei di guasto sono stati ottenuti dall’utilizzo della banca dati EIReDA 1998;

European industry Reliability Data Bank e confrontare anche con i dati presenti in Frank P. Lees: loss prevention in the process industries. I dati raccolti sono

(6)

Tabella 7.2: Ratei di Guasto

Componenti

λ:

Guasto Rateo di E-6_/h γ:Probabilità di fallimento/domanda 10-3_/d p:Probabilità di guasto PCV551 ₁ _{0.8 – 1.4} _0.00876 PCV500,PCV501 (MTTR=5) 0.11 0.1 0.0009636 PSL501,PSL502,PSH500, PSH501,PSH502,PSHH500 12 - 0.10512 PAL501,PAL502,PAH500, PAH501,PAH502,PAHH500 TAH500,PRH503 0.77 0.23 – 3.8 0.006745 RELAY _0.28 _{0.14 - 3} _0.0002 ECV501,ECV503,NCS500 1 0.45 - 18 0.00876 ST500,ST501 _0.2 _{0.6 – 1.2} _0.001752 PT500 _2.8 _{0.6 - 2} _0.024528 PLC500 _0.77 _{0.23 – 3.8} _0.006745 PRV500 _2.8 _{9 - 17} _0.024528 PSV500,PSV501,PSV502, PSV503 2.5 0.3 - 10 0.0219 TSH500 _1.6 _{0.25 – 3.4} _0.014016 RH503 _2.7 _{1.0 – 3.1} _0.023652 YY500 ₁ _- _0.00876

(7)

Le probabilità di guasto sono state calcolate in base al tempo di missione dell’analisi effettuata di un anno (8760 ore) in base alla relazione:

(7.1) p=λ⋅τ dove τ = tempo di missione.

Questi dati sono presi da EDF; i parametri e gli intervalli di probabilità sono stati estesi ai valori inclusi in altri sorgenti se l’omogeneità è rispettata.

Le modalità di valutazione di questi parametri sono nel capitolo introduttivo di EIReDA [1] e si basano su test basati su specifiche caratteristiche operazionali e ingegneristiche.

7.4 Eventi determinati o Uscite del programma

IDDA combina le risposte alle domande dell’analista in tutti i possibili modi, al fine di ottenere la partizione formata da ogni singola sequenza di eventi alternativa, a cui associa la relativa probabilità di accadimento. Tale sequenza termina necessariamente con un’affermazione positiva o negativa di un enunciato fondamentale per la nostra analisi (es: il compressore funziona o non funziona).

Queste affermazioni vengono definite uscite del programma e come si può vedere dalla figura queste sono state stabilite nel seguente modo:

;--- USCITE ---

! --- )IL COMPRESSORE FUNZIONA CORRETTAMENTE? --- 500 1, 1. 1., 0 0, 'COMPRESSORE' 'A REGIME' 'NON A REGIME'

! --- MANCATO CONTROLLO COMPRESSORE, POSSIBILI DANNI --- 900 1, 1. 1., 0 0, ‘MANCATO CONTROLLO’ ‘NO’ ‘SI’

! --- BASSA PRESSIONE INGRESSO COMPRESSORE --- 1000 1, 1. 1., 0 0, ‘BASSA PRESSIONE INGRESSO’ ‘NO’ ‘SI’ ! --- STOP MOTORE COMPRESSORE ---

2000 1, 1. 1., 0 0, ‘STOP MOTORE’ ‘SI’ ‘NO’

! --- STOP MOTORE COMPRESSORE, MA PCV500 APERTA --- 2500 1, 1. 1., 0 0, ‘ALTA PRESSIONE A VALLE’ ‘SI’ ‘NO’

! --- SFIATO: UTILIZZO COMPRESSORE IN CONDIZIONI DI NON SICUREZZA, POSSIBILI DANNI ---

(8)

! --- USCITA GENERALE: DANNI ALL’IMPIANTO --- 4000 1, 1. 1., 0 0, ‘danni impianto’ ‘SI’ ‘NO’

Figura 7.2 – Uscite del programma

Dalla figura si può osservare che le uscite considerate sono sette; queste possono essere suddivise in tre classi ben definite:

1. Funzionamento del compressore: sono quelle che coinvolgono: a. Compressore a regime

b. Bassa pressione in ingresso al compressore (dovuto ad un mancato rilevamento del sistema di controllo: il compressore funziona in maniera scorretta, ma non si rivelano danni all’impianto)

c. Mancato controllo (dovuto al malfunzionamento della linea azoto strumenti a causa della bassa pressione dell’azoto: queste sequenze anche se rare verranno considerate in seguito per la loro importanza. d. Sfiato: utilizzo del compressore in condizioni di non sicurezza (a

causa di alcuni rilasci di idrogeno al vent non rilevabili per la mancanza di strumentazione).

L’insieme di queste uscite rappresentano la probabilità cumulativa di avere l’impianto considerato in funzione. Come possiamo osservare dai risultati ottenuti (vedi tabella 7.3) questo accade il 85.23% delle volte e coinvolge 287 deviazioni su 1449 in mancanza del Rilrvatore H2 RH503; in presenza del rilevatore si ha una

maggiore probabilità che il compressore si blocchi scongiurando alcune deviazioni critiche dovute ad un rilascio maggiore sullo sfiato. In questo caso il compressore funziona il 79.95% del tempo con 555 deviazioni (in questo caso si osserva che per ogni deviazione che porta allo sfiato, ho due deviazioni in presenza del rilevatore, dovute al guasto del PLC o di RH503 stesso, ma entrambe hanno probabilità minore).

Anche se la deviazione che comporta il compressore a regime (vedi tabella 7.1) è unica, questa è senza dubbio quella con la maggiore probabilità di accadimento (78.15%).

(9)

2. Sistema di blocco del compressore: in realtà potrebbe essere schematizzata come un’unica uscita, ciononostante si è voluto sottolineare l’importanza della probabilità di avere il blocco del compressore e contemporaneamente l’eventualità di non avere la chiusura della valvola pneumatica di uscita PCV500, il cui mancato intervento nel caso di alta pressione porterebbe a spiacevoli vibrazioni e variazioni di tensione a valle del compressore. Questa tipologia di deviazione viene considerata nel dettaglio più avanti:

a. Blocco motore del compressore (stop sicuro dell’impianto) b. Blocco compressore ma PCV500 aperta (da analizzare)

L’insieme di queste uscite rappresenta il buon intervento del sistema di controllo che in seguito ad un transitorio nel funzionamento, non riuscendo a ripristinare le condizioni di regime, blocca il sistema.

Questo accade nella maggior parte delle deviazioni considerate (970 deviazioni su 1449 e 1238 su 1985 con RH503) e rappresentano una buona schematizzazione dell’impianto che deve essere bloccato in seguito al guasto di un suo componente. Si nota che pur non comportando conseguenze rischiose per il personale, queste sequenze incidono pesantemente sul fattore produttività rappresentando la probabilità di avere il blocco del compressore in seguito a guasti. Dai calcoli ottenuti possiamo vedere che la probabilità cumulativa assume il valore 14.77% e 20.05% in presenza

del rivelatore RH503.

L’ultima classe è costituita dall’uscita:

3. Danni all’impianto (è rappresentata dalle variazioni più rischiose che possono accadere nell’impianto. In un’analisi successiva dovrebbe essere calcolato il rischio derivante da queste deviazioni associato alle conseguenze possibili).

Le deviazioni che prevedono l’uscita Danni all’Impianto sono 192/1449 e 192/1985; questo non deve spaventare in quanto la probabilità cumulativa di tali eventi assume il valore: 1.60e-13 e quindi rappresenta l’accadimento di un insieme di eventi altamente improbabili. Questo accade perché per un’esigenza di completezza nella raccolta dati non è stato utilizzato un valore di taglio nelle probabilità.

(10)

La maggior parte delle deviazioni infatti ha probabilità inferiori a 10-16 e pur non avendo un valore rilevante nel calcolo della probabilità cumulativa, lo possiedono per quanto riguarda la schematizzazione del numero di casi che possono portare a danni che si ripercuotono su tutto l’impianto.

Ritornando al valore 1.60e-13, ciò non deve sorprendere in quanto l’unità presa in considerazione per questa metodologia è il sistema del compressore che di per sé ha un grado di sicurezza molto elevato; in particolare per quanto riguarda i sistemi di intervento dell’alta pressione.

Le deviazioni sullo sfiato seguendo la sintassi del codice non vanno all’affermazione danni all’impianto e quindi il numero di accadimenti e le probabilità sono i medesimi Per quanto riguarda il programma sono stati analizzati due file input. Il secondo rappresenta il comportamento del sistema compressore con l’aggiunta di un rivelatore a idrogeno sullo sfiato, che in caso di rilasci significativi tramite PLC blocca il sistema. Come vedremo in questo modo la probabilità di accadimento

dell’uscita 3000 (sfiato non controllato) è diminuita di un fattore 30 passando da 544.92E-4 a 16.48E-4; ciò comporta un ulteriore vantaggio nella considerazione di

eventi che porterebbero conseguenze difficilmente valutabili e rischiose in quanto un rilascio di idrogeno non controllato può provocare incendi e/o esplosioni.

Ora si prosegue nel dettaglio dell’applicazione visualizzando i dettagli più importanti dell’analisi delle decisioni dinamiche integrate (I.D.D.A).

7.5 Analisi generale

Tenendo conto di tutte le possibili deviazioni, possiamo osservare che il codice Idda spicca tra tutte le altre applicazioni dell’analisi di rischio, per la sua completezza logica. In particolare possiamo osservare un’analisi dettagliata del comportamento di ogni singolo componente dell’impianto che ci porta a tenere sotto controllo ogni singola variazione dell’installazione.

(11)

In particolar modo osservando le analisi eseguite sul compressore d’idrogeno e il sistema di controllo ad esso associato ho rilevato l’efficacia dei sistemi di shutdown del compressore riguardo al controllo dei tre stadi di compressione. Il fatto di avere per ogni stadio un sistema di allarme plc indipendente e un blocco diretto sul relay riduce di molto le probabilità di guasto associato ad un alta pressione sulla linea. Inoltre in caso di mancata rilevazione dell’alta pressione dovuta ad un guasto del pressostato (componente critico) la presenza delle valvole di sicurezza PSV per ogni stadio scongiurano ulteriormente i guasti dovuti all’alta pressione. L’uso di Idda ha permesso di calcolare in dettaglio le probabilità cumulative di guasto in seguito a più rotture dando modo all’osservatore di analizzare la remota opportunità di tali deviazioni. Nella stessa maniera alcune di queste deviazioni hanno posto l’attenzione sull’utilizzo del compressore in condizioni di non sicurezza dovuto ai possibili rilasci di idrogeno sullo sfiato non rilevabili a causa della mancata presenza di un rivelatore idrogeno a valle dello sfiato. Questo accadimento risulta spiacevole nel caso di alta pressione nel terzo stadio e mancato intervento del blocco motore., in quanto possiamo avere dei danni nell’ultimo stadio del compressore (pressioni superiori a 280 bar) e ripercussioni a valle di questo.

Ecco perché in questo caso come suggerimento opterei per un inserimento di un rilevatore idrogeno in prossimità dell’uscita dello sfiato in modo da accorgersi della quantità di idrogeno rilasciato e quindi tramite PLC bloccare il compressore in caso di fuoriuscite rilevanti. In questo caso con un rapido controllo dell’operatore ed un’eventuale manutenzione si scongiurerebbe questa deviazione di particolare gravità.

Con IDDA ho potuto osservare in dettaglio il comportamento del gruppo surpressore in assenza o presenza di tale rilevatore idrogeno sulla linea dello sfiato; in particolar modo la differenza nelle probabilità di accadimento dell’utilizzo del compressore in condizione di non sicurezza a causa di guasti non rilevati sul sitema di controllo (uscita 3000). In tabella vengono elencati i risultati più significativi ottenuti con l’analisi Idda e le differenze ricavate dalla presenza del rilevatore idrogeno sullo sfiato (RH593):

(12)

Tabella 7.3: Valutazioni sulle probabilità di accadimento Idda RH503 (1449 eventi) NO RH503 (1985 eventi) USCITE E DEVIAZIONI SIGNIFICATIVE N°eventi/ Event tree number Frequenza 10-4_/y* N°eventi/ Event tree number Frequenza 10-4_/y Breve descrizione dei guasti DANNI

IMPIANTO 192 1.60E-13 192 1.60E-13 Alta pressione

Evento più probabile che

causa danni impianto

469 1.24E-13 645 8.54E-13 ECV503 PSV503

chiusa Evento più probabile che causa danni impianto 235 1.35E-14 323 1.35E-14 PCV500 PSV503 chiusa ALTA PRESSIONE A VALLE (eventi iniziatori che causano danni all’impianto)

580 8.03 580 8.03 chiusura della Mancata

PCV500 Evento più probabile Alta pressione a valle 1443 1444 1.17 6.87 1979 1980 1.17 6.87 PCV551 guasta YY500 NO; PCV500 fail to close Alta pressione a valle dovuta a altri

guasti che non coinvolgono N2

strumenti

446 3.02E-11 614 3.02E-11 ECV503 _guasta

BLOCCO COMPRESSORE 390 1469.07 658 1989.15 Sequenze of Shutdown PLC and/or Relay logic Eventi più probabili Blocco compressore 705 1422 1442 182.10 197.60 775.70 971 1958 1978 182.10 197.60 775.70 PRV500 chiusura; PT500 chiusura; PCV551 guasta Eventi più probabili Blocco compressore in presenza di RH503 - - ₁₆₃₃646 193.10 _209.50 PRV500, PSVapre, RH503 rileva; PT500 apertura FAILURE AZOTO strumenti Mancato controllo1 2 (1448-1449) 92.09 1984 1985 92.09 Guasto a PCV511 e mancato intervento su PSL502 VENT IDROGENO1 268 544.92 536 16.48 Intervento delle PSV

(13)

RH503 (1449 eventi) NO RH503 (1985 eventi) USCITE E DEVIAZIONI SIGNIFICATIVE N°eventi/ Event tree number Frequenza 10-4/y * N°eventi/ Event tree number Frequenza 10-4/y Breve descrizione dei guasti 647 648 1.31 4.71 PRV500 apertura (PLC – RH503 guasti) Evento più probabile Vent Idrogeno 470 1187 199.09 216.01 1634 1635 1.42 5.11 PT500 apertura (PLC – RH503 guasti) Evento più probabile Vent Idrogeno in presenza di RH503 - - ₁₃₀₆977 1.71 _1.34 NCS500 apertura; PLC500 apertura BASSA PRESSIONE H2 in ingresso1 16 71.10 16 71.10 Mancato intervento dell’allarme PAL501 e del Relay associato Evento più probabile Bassa pressione H2 947 1425 21.40 23.22 974 1961 21.40 23.22 PRV500; PT500 chiusura PSL501 non funziona COMPRESSORE A REGIME1 1 7814.79 1 7814.79 Tutti i componenti principali funzionano

**_{salvo dove diversamente definito}

1_{queste uscite rappresentano la probabilità cumulativa di avere l’impianto considerato}

in funzione. Per quanto riguarda la Bassa pressione in ingresso le probabilità più alte sono dovute ai guasti del sistema di regolazione di pressione che accadono a causa di malfunzionamenti degli strumenti, in particolar modo riguardanti PRV500 e PT500. Per il Vent la situazione è più complessa nel senso che i rilasci di H2 da PSV502 e

PSV503 (rispettivamente 130 e 300 bar), pur essendo altamente improbabili, possono costituire un pericolo di incendio/esplosione a causa dell’alta pressione e temperatura.

Un’altra osservazione scaturita dal calcolo delle probabilità di guasto con Idda è l’importanza della fornitura di azoto per il corretto funzionamento degli strumenti, ma anche per la fase di inertizzazione; in quanto in caso di bassa pressione dell’azoto (inferiore a 5 bar) tutte le elettrovalvole (ECV500 di drenaggio, ECV501 di alimentazione idrogeno, ECV502 di alimentazione azoto per inertizzare, ECV503 di comando della control valve PCV500) e il convertitore NCS500 necessario per il regolatore di pressione PRV500 cesserebbero di funzionare correttamente non permettendo di regolare in alcun modo il compressore. Quindi assume una notevole importanza l’allarme shutdown di bassa pressione azoto;

(14)

pertanto è consigliabile dotare ogni sistema che utilizza l’azoto di un rilevatore di bassa pressione (PSL 502 pressostato di pilotaggio nel caso del compressore). Con IDDA abbiamo potuto osservare che le probabilità di guasto cumulative sono fortemente dipendenti dal pressostato PSL 502 la cui rottura porterebbe a una causa comune di guasto e al mancato intervento del PLC e Relay causando il mancato bloccaggio del motore del compressore che continuerebbe a funzionare senza possibilità di controllo. Ecco che quindi occorre dotare l’impianto di pressostati di alta qualità che abbiano ratei di guasto molto bassi. Si può notare come nell’analisi per enfatizzare questo problema si siano utilizzati pressostati di media qualità con rateo λ = 1.2 x 10-4_{. (e quindi con valore abbastanza alto)}

Comunque dal programma si può osservare che le deviazioni che portano all’uscita Failure Azoto strumenti e quindi al mancato controllo sono solo due, tuttavia queste ultime (1448/1449 e 1984/1985) hanno probabilità di accadimento non trascurabile: 9.209E-3

(15)

Figura 7.4 – Deviazione n°1449; visualizzazione Idda

Occorre quindi istruire l’operatore sull’eventualità di questo guasto in modo da intervenire tempestivamente in caso di malfunzionamenti.

Inoltre come accennato prima l’azoto è importante anche in fase di inertizzazione (a compressore fermo) prima della manutenzione. Non accorgersi che l’azoto non è disponibile proprio in questa fase può essere molto pericoloso. Per quanto riguarda il compressore questo tipo di danno è scongiurato dalla presenza della valvola manuale HV501 per l’alimentazione azoto; in caso di errore umano (e tra l’altro nell’analisi storica si è visto che con il 31.72%, l’Errore umano è la causa più probabile da cui si origina l’incidente con una probabilità superiore al 50% di avere danni alle persone); una valvola di non ritorno CV504 e una control valve PCV502 impediscono il contatto tra idrogeno e ossigeno all’interno del compressore.

Utilizzando il codice IDDA sono state osservate in particolare anche le deviazioni prima dell’ingresso al primo stadio di compressione: normalmente l’idrogeno in ingresso ha una pressione nominale di 4 bar; può subire variazioni regolate a regime da PRV 500 tra 0.7 e 4 bar.

Il sistema di controllo è costituito da un allarme di bassa pressione (pressostato all’aspirazione PSL 501 che scatta a pressioni inferiori di 0.4 bar) e, per quanto riguarda l’alta pressione, è presente una valvola di sicurezza PSV500 che interviene a pressione maggiore di 6 bar.

Per ipotesi è stata considerata che la valvola pneumatica PCV501 di alimentazione idrogeno fallisca in caso di guasto in apertura chiudendosi e provocando quindi una diminuzione di pressione a valle di questa. Per quanto riguarda il sistema di

(16)

regolazione PRV500 (remotizzato PLC500) è stato ipotizzato che a causa di una rottura o malfunzionamento si abbia la stessa probabilità di avere un problema di alta o bassa pressione a valle di ogni singolo componente guasto comportandomi quindi conservativamente rispetto al calcolo del rateo di guasto (λ).

Nel caso di bassa pressione è il pressostato che rileva l’anomalia e manda un segnale sia direttamente al relay di blocco compressore sia al PLC che interviene bloccando a sua volta il motore. La logica Idda risolve questa sequenza ponendo le seguenti domande:

PROBLEMA DI BASSA PRESSIONE

! --- 1 )Il pressostato all'aspirazione PSL501 (è tarato ad intervenire bloccando il motore se la pressione < 0.4 bar) funziona?

420 1, 0.10512 1., 424 1000, 'PSL501' 'funziona' 'non funziona' L 420 1, 1000 1

! --- 2 )L'interruttore relay del blocco compressore funziona? 424 1, 0.0002 1., 2000 426, 'RELAY' 'funziona' 'non funziona'

L 424 0, 2000 0 ;SE IL RELAY INTERVIENE HO IL BLOCCO DEL COMPRESSORE ! --- 3 )Il segnale di allarme PLC di bassa pressione PAL501 funziona?

426 1, 0.006745 1., 2000 1000, 'PAL501' 'funziona' 'non funziona'

;nota che questi allarmi sono tutti remotizzati a un sistema di controllo plc ed intervengono automaticamente

L 426 0, 2000 0 L 426 1, 1000 1

In caso di guasto del pressostato o di entrambi i sistemi di blocco, il compressore continua a funzionare con bassa pressione (uscita 1000) con possibilità di danni causati dalla cavitazione del compressore (in caso di rottura dei serbatoi di aspirazione ST 500 e di recupero ST 501 ho un notevole rilascio di idrogeno e svuotamento della tubazione).

In questo caso dovrebbe essere previsto un sensore con esplosimetro per rilevare tali rilasci all’interno del carter del compressore.

Comunque questo tipo di incidenti sono meno gravi di quelli presenti nel caso di mancanza di azoto nella linea strumenti in cui sicuramente ho il mancato controllo di

(17)

ogni operazione riguardante il compressore e accadono comunque con probabilità dell’ordine di 7.11 E-3 in cui sono coinvolte 16 deviazioni.

Come si può vedere dalla tabella 7.3 gli eventi più probabili coinvolgono la chiusura accidentale del regolatore di pressione PRV500 e del sensore PT500 e il contemporaneo guasto di PSL501. Di seguito sono visualizzate le deviazioni calcolate con Idda:

(7.1)

Current event sequence number 2 , Event tree sequence number 974 Sequence probability : 0.00213969

No consequences file defined

Level Out Probability Cumulative T. Factor Mission T. Description 300 0 1-8.76e-02 9.1240e-01 PCV551 FUNZIONA 402 0 1-8.76e-03 9.0441e-01 ECV501 funziona 404 0 1-9.64e-04 9.0354e-01 PCV 501 APERTA 406 0 1-1.75e-03 9.0195e-01 ST500 INTEGRO 408 0 1-1.75e-03 9.0037e-01 ST501 INTEGRO 410 0 1-4.91e-02 8.5620e-01 PT500 funziona 412 0 1-1.35e-02 8.4465e-01 PLC500 funziona 414 0 1-1.75e-02 8.2986e-01 NCS500 funziona 416 1 2.45e-02 2.0355e-02 PRV500 chiusura 420 1 1.05e-01 2.1397e-03 PSL501 non funziona

1000 #1 0.00214 BASSA PRESSIONE INGRESSO SI

(7.2)

Current event sequence number 8 , Event tree sequence number 1961 Sequence probability : 0.00232151

No consequences file defined

Level Out Probability Cumulative T. Factor Mission T. Description 300 0 1-8.76e-02 9.1240e-01 PCV551 FUNZIONA 402 0 1-8.76e-03 9.0441e-01 ECV501 funziona 404 0 1-9.64e-04 9.0354e-01 PCV 501 APERTA 406 0 1-1.75e-03 9.0195e-01 ST500 INTEGRO 408 0 1-1.75e-03 9.0037e-01 ST501 INTEGRO 410 1 2.45e-02 2.2084e-02 PT500 chiusura 420 1 1.05e-01 2.3215e-03 PSL501 non funziona

(18)

Per quanto riguarda l’alta pressione ho la presenza di molte salvaguardie in serie che diminuiscono molto la probabilità di danni al compressore per alta pressione (uscita 4000). Osservando le deviazioni che causano un problema di alta pressione utilizzando Idda ho eseguito i seguenti passi sequenziali tenendo conto che il malfunzionamento dei componenti che costituiscono il compressore a monte del primo stadio causano un innalzamento di pressione che viene rilevato dalla PSV 500 prima di ogni altra salvaguardia, in seguito le variazioni di pressione seguono la logica dei componenti che costituiscono il compressore dal primo stadio in avanti: ossia l’alta pressione viene rilevata prima dai pressostati dal terzo al primo stadio (PSH500, PSH502, PSH501), dalle valvole di sicurezza PSV,dai controlli finali di altissima pressione e di temperatura finale (PSHH500, TAH500) per passare infine all’ultima salvaguardia costituita dalla PSV 503 tarata alla massima pressione di 300 bar.

Seguendo la logica Idda ho la seguente sintassi:

PROBLEMA DI ALTA PRESSIONE

! --- )La valvola di sicurezza PSV500 funziona (apre quando la pressione supera 6 bar)? 430 1, 0.0219 1., 480 440, 'PSV500' 'funziona' 'non funziona'

;CONCENTRO L'ATTENZIONE SUGLI ALLARMI DI ALTA PRESSIONE NEI TRE STADI DEL COMPRESSORE !!!

; PRIMO STADIO

! --- )Il pressostato al primo stadio funziona correttamente?? 440 1, 0.10512 1., 442 444, 'PSH501' 'Funziona' 'Non funziona' ! --- )L'interruttore relay del blocco compressore funziona? 442 1, 0.0002 1., 2000 444, 'RELAY' 'funziona' 'non funziona'

L 442 0, 2000 0 ;SE IL RELAY INTERVIENE HO IL BLOCCO DEL COMPRESSORE ! --- )Il segnale di allarme PLC di alta pressione primo stadio PAH501 funziona? 444 1, 0.006745 1., 2000 446, 'PAH501' 'funziona' 'non funziona' ;

L 444 0, 2000 0

! --- ) La valvola di sicurezza primo stadio si apre? 446 1, 0.0219 1., 480 448, 'PSV501' 'APERTA' 'CHIUSA'

(19)

; SECONDO STADIO

! --- )Il pressostato al secondo stadio funziona correttamente?? 448 1, 0.10512 1., 480 452, 'PSH502' 'Funziona' 'Non funziona' ! --- )L'interruttore relay del blocco compressore funziona? 450 1, 0.0002 1., 2000 452, 'RELAY' 'funziona' 'non funziona'

L 442 0, 2000 0 ;SE IL RELAY INTERVIENE HO IL BLOCCO DEL COMPRESSORE ! --- )Il segnale di allarme PLC di alta pressione secondo stadio PAH502 funziona? 452 1, 0.006745 1., 2000 454, 'PAH502' 'funziona' 'non funziona'

L 452 0, 2000 0

! --- ) La valvola di sicurezza secondo stadio si apre? 454 1, 0.0219 1., 480 456, 'PSV502' 'APERTA' 'CHIUSA' ; TERZO STADIO

! --- )Il pressostato al terzo stadio funziona correttamente?? 456 1, 0.10512 1., 458 460, 'PSH500' 'Funziona' 'Non funziona' ! --- )L'interruttore relay del blocco compressore funziona? 458 1, 0.0002 1., 2000 460, 'RELAY' 'funziona' 'non funziona'

L 458 0, 2000 0 ;SE IL RELAY INTERVIENE HO IL BLOCCO DEL COMPRESSORE ! --- )Il segnale di allarme PLC di alta pressione terzo stadio PAH500 funziona? 460 1, 0.006745 1., 2000 462, 'PAH500' 'funziona' 'non funziona'

L 460 0, 2000 0

! --- )Il pressostato di sicurezza finale funziona correttamente?? 462 1, 0.10512 1., 464 466, 'PSHH500' 'Funziona' 'Non funziona' ! --- )L'interruttore relay del blocco compressore funziona? 464 1, 0.0002 1., 2000 466, 'RELAY' 'funziona' 'non funziona'

L 464 0, 2000 0 ;SE IL RELAY INTERVIENE HO IL BLOCCO DEL COMPRESSORE

! --- )Il segnale di allarme PLC di altissima pressione finale terzo stadio PAHH500 funziona? 466 1, 0.006745 1., 2000 468, 'PAH503' 'funziona' 'non funziona'

L 466 0, 2000 0

(20)

468 1, 0.014016 1., 470 472 'TSH500' 'NORMALE' 'ALTA TEMPERATURA' ;NOTA2: la temp alta fa in modo che ci sia shutdown e nello stesso

! --- )L'interruttore relay del blocco compressore funziona? 470 1, 0.0002 1., 2000 472, 'RELAY' 'funziona' 'non funziona'

L 470 0, 2000 0 ;SE IL RELAY INTERVIENE HO IL BLOCCO DEL COMPRESSORE

! --- )Il segnale di allarme PLC di alta temperatura finale terzo stadio TAH500 funziona? 472 1, 0.006745 1., 2000 474, 'TAH500' 'funziona' 'non funziona'

L 472 0, 2000 0

! --- ) La valvola di sicurezza terzo stadio si apre? 474 1, 0.0219 1., 480 4000, 'PSV503' 'APERTA' 'CHIUSA' L 474 1, 4000 0

La logica sequenziale impone di dare la precedenza ai vari componenti d’impianto, tuttavia per quanto riguarda lo studio della fisica del problema non ci discostiamo di molto da quello che succede realmente in seguito ad una deviazione del sistema. Data la struttura del gruppo surpressore e il fatto che le valvole di sicurezza PSV confluiscano tutte nella stessa tubazione di sfiato mi porta a considerare che in caso di alta pressione sulla linea nella maggior parte dei casi gli allarmi di alta pressione dei tre stadi e eventualmente le PSV funzionino quasi contemporanemente se i malfunzionamenti riguardano gli stadi intermedi del compressore. Nel caso i guasti si avessero sul tratto finale, in particolar modo quelli relativi alla chiusura spuria della valvola pneumatica PCV500, i primi allarmi a scattare sarebbero quelli di alta pressione terzo stadio ed essendo coinvolta la tubazione soggetta a tensioni più alte dovute all’alta pressione (a regime 275 bar) è parso opportuno in fase di calcolo delle probabilità di guasto dare la precedenza al tratto più delicato del compressore.

Come accennato in precedenza i numerosi sistemi di sicurezza presenti in ogni stadio del compressore mi portano a considerare una probabilità di accadimento infinitesima nei confronti delle deviazioni che portano ad un danneggiamento grave del sistema: 1.60 E-13 come abbiamo già visto in precedenza.

(21)

1. se le probabilità di avere danni all’impianto (uscita 4000) sono molto piccole,

tuttavia si osserva che ogni deviazione che porta allo shutdown del gruppo surpressore (uscita 2000+2500) causa danni economici per quanto riguarda la ferma dell’impianto per eventuale manutenzione e in questo caso come abbiamo visto precedentemente le probabilità sono più rilevanti: 14.77% e

20.05% in presenza del rivelatore RH503.

Questo 5% in più di blocchi è compensato in produttività, ma soprattutto in sicurezza dal fatto di avere una notevole diminuzione (di un fattore 30) nel rilascio non controllato di H2 allo sfiato.

2. in caso di guasti che portano all’intervento dei seguenti allarmi per lo

shutdown: PSHH500 (altissima pressione idrogeno uscita terzo stadio), TSH500 (alta temperatura idrogeno uscita terzo stadio), PSL502 (bassa pressione azoto strumenti), ASHH500 (altissima concentrazione idrogeno nel cofano), HS501 A/B (pulsante di emergenza premuto); il sistema di controllo prevede il comando di chiusura della PCV500 (valvola pneumatica di uscita). Ecco che quindi possono accadere eventi spiacevoli come lo Stop del compressore, ma vibrazioni di alta pressione a valle di questo in seguito alla mancata chiusura di PCV500. Tale deviazione di impianto non è da sottovalutare in quanto anche se il gruppo surpressore si è fermato si possono avere tensioni elevate nei serbatoi di stoccaggio e nella tubazione ad essi adiacente. (tenendo conto che l’analisi di Torino eseguita dal prof. Carpignano ha determinato tra gli incidenti rilevanti proprio un guasto alla tubazione in prossimità dei serbatoi di stoccaggio).

Tramite IDDA eseguendo questi comandi:

;AVVIENE IL BLOCCO COMPRESSORE, MA SE NON HO LA CHIUSURA DI PCV500 HO OSCILLAZZIONI DI ALTA PRESSIONE CHE POSSONO PROVOCARE ;DANNI A VALLE DEL COMPRESSORE

! --- )Il segnale YY500 che interviene su ECV503 funziona (dipende dalla prob di guasto dell' elettrovalvola)?

490 1, 0.00876 1., 492 2500, 'YY500' 'Funziona' 'Non funziona' L 490 1, 2500 0

(22)

! --- )La valvola pneumatica di uscita PCV500 chiude? (NOTA: la prob è la fail to close) 492 1, 0.0015 1., 2000 2500, 'PCV500' 'CHIUDE' 'APRE' L 492 0, 2000 0 L 492 0, 2500 1 L 492 1, 2500 0

! --- STOP MOTORE COMPRESSORE --- 2000 1, 1. 1., 0 0, 'STOP MOTORE' 'SI' 'NO

! --- STOP MOTORE COMPRESSORE, MA PCV500 APERTA --- 2500 1, 1. 1., 0 0, 'ALTA PRESSIONE A VALLE' 'SI' 'NO'

riferendomi alle due diverse uscite del programma in cui posso avere lo Stop del compressore ma con la PC500 aperta o chiusa (uscita 2500 e 2000). In questo caso le probabilità di accadimento delle due uscite sono:

RH503 (1449 eventi) NO RH503 (1860 eventi) USCITE E DEVIAZIONI SIGNIFICATIVE N°eventi/ Event tree number Frequenza 10-4/y N°eventi/ Event tree number Frequenza 10-4/y Breve descrizione dei guasti ALTA PRESSIONE A VALLE (eventi iniziatori che causano danni all’impianto)

580 8.03 580 8.03 chiusura della Mancata PCV500 BLOCCO COMPRESSORE 390 1469.07 658 1989.15 Sequenze of Shutdown PLC and/or Relay logic

In questo caso le deviazioni che portano ad un fail to close della PCV500 sono minime rispetto al blocco compressore, tuttavia la frequenza di accadimento non è trascurabile: 8.03 E-4. Bisogna quindi eseguire opportune considerazioni osservando che grazie a Idda si può valutare che il contributo a tale valore è essenzialmente dovuto alle deviazioni dovute al guasto sulla linea azoto strumenti (vedi dettaglio tabella 7.3 seguente) che considerano, in concomitanza al malfunzionamento di PCV551, un errore nel segnale di chiusura YY500 o in PCV500 medesima.

(23)

Dettaglio Tabella 7.3 RH503 (1449 eventi) NO RH503 (1860 eventi) USCITE E DEVIAZIONI SIGNIFICATIVE N°eventi/ Event tree number Frequenza 10-4_/y N°eventi/ Event tree number Frequenza 10-4_/y Breve descrizione dei guasti Evento più probabile Alta pressione a valle 1443 1444 1.17 6.87 1979 1980 1.17 6.87 PCV551 guasta YY500 NO; PCV500 fail to close Alta pressione a valle dovuta a altri

guasti che non coinvolgono N2

strumenti

446 3.02E-11 614 3.02E-11 ECV503 _guasta

Gli altri eventi invece hanno probabilità molto basse (dell’ordine di 3.02 E-11 o inferiori) grazie alla sovrabbondanza nei sistemi di controllo di alta pressione.

Da queste ultime valutazioni effettuate tramite l’utilizzo di IDDA sarebbe

opportuna l’aggiunta a valle del gruppo surpressore di una valvola pneumatica per

poter isolare la linea che parte dal compressore e arriva alle bombole. Questo eviterebbe tensioni e elevate vibrazioni nella tubazione e nei serbatoi di stoccaggio in caso di elevate pressioni; inoltre limiterebbe la quantità di idrogeno che può fuoriuscire o incendiarsi in seguito ad una eventuale rottura della linea.

7.6 Conclusioni e confronto con Hazid

Riassumendo mi sono accorto come l’analisi di rischio tramite IDDA offra rispetto alle solite metodologie (Hazid, Hazop) un approccio più diretto e profondo con l’impianto da esaminare andando alla radice dei problemi eventuali e analizzando ogni singolo componente del progetto. In questo modo possiamo sviscerare tutte le variazioni dell’impianto con un approccio sistematico e preciso.

Vedendo tutte le deviazioni che possono accadere dal guasto di una sola valvola, anche in un impianto relativamente semplice come il gruppo surpressore, ci si rende conto della difficoltà di riuscire a ottenere un’assoluta sicurezza dei processi.

Credo fermamente che l’utilizzo di tali programmi possano aprire una nuova frontiera nel calcolo deterministico non solo delle probabilità di guasto dei componenti, dei rischi associati, ma anche della loro relazione con il

(24)

funzionamento normale a regime del processo; contribuendo quindi ad una visione più organica e accurata del sistema impianto sia quando funziona sia quando è guasto.

Un approccio così scrupoloso permette inoltre di osservare meglio le eventuali mancanze dell’impianto, soprattutto quelle relative alla sicurezza in quanto la stessa sintassi del programma impone una ricerca accurata dei legami tra i diversi componenti costringendo la deviazione a essere risolta ripristinando le condizioni iniziali, bloccando il sistema o non rivelando il guasto e quindi portare alla possibilità di danni all’impianto, i quali successivamente andranno calcolati.

Questa forzata risoluzione dei legami tra i diversi componenti dell’impianto trascina il programmatore che utilizza Idda a osservare ogni situazione e quindi ad accorgersi di eventuali problemi dovuti alla mancanza di soluzioni.

È un approccio diverso rispetto all’utilizzo di programmi come Hazid dove la logica si limita a confrontare queste relazioni:

Tabella 7.4: Struttura HAZID

in particolar modo Hazid si limita tramite l’analisi funzionale a suddividere l’impianto in varie unità e funzioni elementari. Per ciascuna di queste funzioni si determinano le possibili deviazioni, le cause che le generano (guasti, errori umani, eventi esterni), gli effetti ai fini della sicurezza e della produttività. Anche il calcolo degli indici di Frequenza (F), Danno (D) e Rischio (R) sono stimati sulla base di una valutazione qualitativa, e non quantitativa, che deriva dall'esperienza dell'analista e degli operatori di impianto più che dall’utilizzo definitivo di un codice.

Per confrontare le due metodologie applicate si possono osservare i dati raccolti con l’utilizzo della tabella hazid relativi al compressore:

(25)

Tabella 7.5: Metodologia Hazid per la fase 2.1 compressione dell’Idrogeno

CAUSE DEVIAZION CONSEGUENZ F D R SALVAGUARD RACCOMANDAZION

Rilascio di idrogeno Perdita da valvole, tubazioni Dispersione di idrogeno 2 3 6 Il compressore è protetto da un cofano esterno in cui è ubicato un rilevatore di idrogeno, di allarme e di blocco del compressore. Verifica dell’integrità strutturale delle tubazioni, flange e saldature. Manutenzione periodica delle valvole. Porre il rilevatore di idrogeno più in alto rispetto ai componenti in cui si può verificare una perdita

Sovrapressione nel

Compressore Guasto del compressore

Scarico in ambiente controllato 3 1 3 I tre stadi di compressione sono protetti a valle da valvole di sicurezza con scarico convogliato per lo sfiato a distanza in atmosfera Manutenzione periodica del compressore, utilizzo di rilevatori di pressione, test periodici sulle valvole di sicurezza Mancato raffreddamento interstadio Malfunziona mento sistema raffreddamen to, l’acqua di raffreddamen to non arriva Surriscaldament o del compressore 2 2 4 Manutenzione periodica del sistema di raffreddamento, controllare che l’acqua arrivi con un rilevatore di portata Alta/Bassa pressione in aspirazione Errata regolazione in pressione (PVR500) Compressione insufficiente o eccessiva 2 2 4 Sistema di blocco del compressore alla pressione di 280 bar e a pressione troppo bassa Monitorare la pressione, test periodici sui sistemi di blocco Ventilazione insufficiente Malfunziona mento ventilatore calettato sull’albero del compressore Surriscaldament o cilindri e refrigeratori idrogeno 2 2 4 Controllare la tempertaura vicino ai componenti surriscaldabili per segnalare la mancata ventilazione Permanenza di gas nel serbatoio di aspirazione Malfunziona mento sistema di scarico e by-pass Possibile innesco del gas nel serbatoio di aspirazione 2 3 6 Inertizzazione adeguata e manutenzione del sistema di by-pass

Si può osservare che già nella prima deviazione stimata: rilascio idrogeno dovuta alla perdita di valvole e tubazioni, si assume una caratterizzazione generica del problema tralasciando in questo caso il numero effettivo di valvole e tratti di tubazione considerate. Quindi la valutazione della frequenza e del danno associato ha carattere qualitativo e costituisce una pura indicazione del pericolo stimato anche in base alle

(26)

salvaguardie esistenti. Tali valori rappresentano una stima che assume validità maggiore in relazione con l’esperienza dell’analista.

Questa soggettività può essere eliminata con l’utilizzo del codice Idda che analizzando le differenti relazioni tra i componenti valuta frequenze di accadimento ben precise e determinate. Ad esempio nella successiva deviazione: sovrapressione del compressore; la struttura è ben determinata e può essere confrontata con i calcoli relativi all’analisi Idda; in questa situazione Idda può essere adoperato come

strumento per coadiuvare la validità delle frequenze, danni e rischi che vengono utilizzati con Hazid (metodologia ben affermata nel campo dell’analisi di rischio).

In questa deviazione i valori sono diversi in quanto la probabilità di accadimento (F) è molto bassa e quindi assumerebbe in Hazid il valore 1 e non 3. Anche per i danni opterei per un valore più alto come 2 (o 3 bisognerebbe eseguire una valutazione delle conseguenze) invece di 1.

E non solo, basandosi su una stretta relazione tra componenti, Idda può fornire una struttura completa e dinamica per l’elenco di tutte le cause e deviazioni presenti nella fase considerata fornendo una tabella hazid più dettagliata, precisa e meno soggettiva

Tabella 7.6: Hazid confrontato con Idda

CAUSE DEVIAZIONI CONSEGUE_NZ F D R SALVAGUARD RACCOMANDAZION

Mancato controllo strumentazione compressore Perdita/malfunz ionamento da valvole (PCV551), tubazioni azoto strumenti In caso di altre deviazioni posso avere sovrapressio ne non controllata 2 3 6 C’è un pressostato che rivela bassa pressione e allarme PAL502 che blocca il compressore Verifica dell’integrità strutturale delle tubazioni, Manutenzione periodica delle valvole. In special modo PCV551 e PSV481 Bassa pressione di idrogeno nell'ingresso compressore Perdite o rotture nelle valvole,tubazio ni, serbatoi (ST500).Errata regolazione in pressione (PVR500) Compression e insufficiente. Possibile cavitazione del compressore 2 1 2 Allarme di bassa pressione PAL501 Monitorare la pressione, test periodici sui sistemi di blocco Funzionament o irregolare delle PCV Guasto di elettrovalvole Sbalzi di pressione sulla linea compress. e a valle di questo 2 2 4 Allarmi di alta/bassa pressione e valvole di sicurezza PSV Test periodici su elettrovalvole ECV Sovrapressione Guasto nel Scarico allo 3 1 3 I tre stadi di Manutenzione

(27)

CAUSE DEVIAZIONI CONSEGUE_NZ F D R SALVAGUARD RACCOMANDAZION

nel

Compressore PRV, errata regolazione da parte dei trasmettitori di pressione. Guasto del compressore sfiato che può essere monitorato da rivelatore idrogeno compressione sono protetti da allarmi di alta P e da valvole di sicurezza con scarico convogliato per lo sfiato a distanza in atmosfera periodica del compressore, utilizzo di rilevatori di pressione, test periodici sulle valvole di sicurezza Sovrapressione nel Compressore Guasto nel PRV, errata regolazione da parte dei trasmettitori di pressione. Guasto del compressore e conseguente malfunzioname nto delle PSV Surriscaldam ento del compressore e rotture con rilascio idrogeno 1 4 4 I tre stadi di compressione sono protetti da allarmi di alta P e da valvole di sicurezza con scarico convogliato per lo sfiato a distanza in atmosfera Manutenzione periodica del compressore, utilizzo di rilevatori di pressione, test periodici sulle valvole di sicurezza Mancato raffreddament o interstadio Malfunzioname nto sistema raffreddamento, l’acqua di raffreddamento non arriva Surriscaldam ento del compressore 2 2 4 Rilevatore di Temperatura TAH500 Manutenzione periodica del sistema di raffreddamento, controllare che l’acqua arrivi con un rilevatore di portata Blocco non voluto del compressore Guasto nei pressostati PSL;PSH Danni alla produttività 3 1 3 Utilizzare pressostati con basso λ Controllo dei pressostati e test periodici Alta pressione a valle del compressore Mancata chiusura della PCV500 durante gli shutdown di processo Possibile Incendio e/o esplosione 2 4 8 Il segnale YY500 viene inviato sia dal relay che dal PLC Controllo della PCV500 e PLC di controllo con particolare attenzione al segnale YY500 Ventilazione insufficiente Malfunzioname nto ventilatore calettato sull’albero del compressore Surriscaldam ento cilindri e refrigeratori idrogeno 2 2 4 Presenza di _refrigerante Controllare la tempertaura vicino ai componenti surriscaldabili per segnalare la mancata ventilazione Permanenza di gas nel serbatoio di aspirazione Malfunzioname nto sistema di scarico e by-pass Possibile innesco del gas nel serbatoio di aspirazione 2 3 6 Il sensore di pressione PT500 e il regolatore PRV Inertizzazione adeguata e manutenzione del sistema di by-pass Rilascio di idrogeno Perdita da valvole, tubazioni Dispersione di idrogeno e possibile esplosione 2 2 4 Il compressore è protetto da un cofano esterno in cui è ubicato un rilevatore di idrogeno, di allarme e di blocco del compressore. Verifica dell’integrità strutturale delle tubazioni, flange e saldature. Manutenzione periodica delle valvole. Porre il rilevatore di idrogeno più in alto rispetto ai componenti in cui si può verificare una perdita

(28)

Per quanto riguarda la fase 2.3 dell’analisi funzionale: Invio dell’idrogeno

compresso al deposito di accumulo si possono osservare nella tabella seguente 7.7

gli eventi che possono essere giudicati critici; in particolare quelli relativi alla deviazone Perdita dalle valvole di sicurezza dove viene elencato un rischio pari a 12. Nell’analisi considerata al Politecnico di Torino (Carpignano), questa rappresenta una deviazione che genera uno dei tre eventi critici considerati nell’analisi.

Tabella 7.7: Metodologia Hazid per la fase 2.1

CAUSE DEVIAZION CONSEGUENZ F D R SALVAGUARD RACCOMANDAZION

Rilascio di idrogeno Perdita dalle valvole V, tubazioni Incendio e/o esplosione 2 3 6 Il sistema di invio è separato dai sebatoi di stoccaggio idrogeno da un muro in cemento, rilevatori di pressione, valvole di isolamento manuali, le tubazioni sono interrate Verifica dell’integrità strutturale delle tubazioni, flange e saldature. Manutenzione

periodica delle valvole. Evitare di posizionare la

tubazione vicino a parti cruciali dell’impianto. Perdita dalle valvole di sicurezza: perdita esterna Incendio e/o esplosione 4 3 12 Rilevatori di pressione, valvole di isolamento dai serbatoi manuali Manutenzione periodica delle valvole di sicurezza, manuali e dei

rilevatori di pressione Perdita dalle valvole di sicurezza: apertura spuria Incendio e/o esplosione 2 3 6 Rilevatori di pressione, valvole di isolamento dai serbatoi manuali Manutenzione periodica delle valvole di sicurezza, manuali e dei rilevatori di pressioneControllare che

la valvola sia chiusa Perdita dalle valvole di sicurezza: bloccata chiusa Sovrapressione nelle tubazioni 2 3 6 Rilevatori di pressione, valvole di isolamento dai serbatoi manuali Manutenzione periodica delle valvole di sicurezza, manuali e dei rilevatori di

pressione

Con Idda questa valutazione è considerata nell’analisi del comportamento della mancata chiusura della PCV500 nel caso di alta pressione sulla linea.

La frequenza di tale evento è considerato nell’uscita: Blocco compressore ma

PCV500 aperta e ha una probabilità cumulativa p = 8.03 E-4

Confrontando ancora una volta i risultati Hazid si nota la differente struttura e presentazione delle due metodologie. Ad esempio l’ultima deviazione:Perdita dalle valvole di sicurezza: bloccata chiusa nella sintassi Idda viene considerata come

guasto della PCV500 e le seguenti sequenze che partono dal guasto in poi dipendono dall’intervento o meno del sistema di controllo; una tipologia di errore che sarebbe dovuta essere considerata in precedenza.

(29)

In Hazid si accenna spesso al comportamento di più componenti generici ponendo l’attenzione sulle singole deviazioni che possono causare un determinato evento (es: rilascio idrogeno come in tabella precedente). Ma operando in questo modo è molto difficile ottenere dei risultati precisi nelle frequenze (F) e tantopiù nelle conseguenze (D) accontentandoci quindi di offrire una stima qualitativa del risultato.

Appare chiaro quindi che la metodologia Idda offre risultati migliori, tuttavia per ottenere queste risposte, bisogna procurarsi un’accuratezza di dati sull’impianto che deve essere analizzato ben più specifica. Occorre se possibile poter parlare con i costruttori o eventualmente con gli ideatori del progetto e con chi realizza il sistema di controllo delle varie unità.

Personalmente ho avuto molte difficoltà nel reperire tali dati in quanto i P&I estesi di impianto normalmente sono allegati riservati e di difficile consultazione. Per quanto riguarda la stazione di rifornimento idrogeno sono riuscito ad ottenere i P&I del purificatore, dissociatore e gruppo surpressore. Quest’ultimo mi è parso il più idoneo ad essere analizzato con Idda.

Pur essendo un componente intrinsecamente sicuro, dall’analisi effettuata sono emerse diverse considerazioni utili per la sicurezza non solo del compressore, ma anche in relazione al suo collocamento nell’impianto considerato. E questo raapresenta una prova ulteriore dell’efficacia del programma Idda.

7.7 Bibliografia

[1] EIReDA; European industry Reliability Data Bank; H. Prosacc, S.P. Arsenis; P. Aufort; Join research centre EDF; 1998 Edition

[2] AIChE, Guidelines for process equipment reliability data, 1989 [3] EGIG 1997, Gas pipeline incidents, 1998

[4] A. Carpignano, “Sicurezza e analisi di rischio – Metodologie di analisi”, Torino, 1997_

[5] Relazione tecnica – impianto di rifornimento autobus a idrogeno – ATM - Torino Doc. n. 00AA10/R/001, Sapio divisione engineering