• Non ci sono risultati.

Capitolo 3 Metodologia dell’analisi di Rischio

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Capitolo 3 Metodologia dell’analisi di Rischio"

Copied!
10
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 10 pagine )

Testo completo

(1)

CAPITOLO 3

Metodologia dell’analisi di rischio

L’analisi di rischio consente di studiare gli eventuali incidenti che potrebbero verificarsi durante la gestione della stazione di produzione, stoccaggio e rifornimento di idrogeno prevista nel sito ATM del Gerbido (TO) e costituisce lo studio principale per poter ottenere la concessione prevenzione incendi (secondo l’allegato 1 del DM 4/05/1998) da parte del comando dei vigili del fuoco che a sua volta rappresenta un documento essenziale ai fini dell’autorizzazione a costruire tale impianto.

L'indagine viene effettuata con riferimento a tutte le installazioni (impianti, stoccaggi, pipeline), per le diverse fasi operative previste per la stazione.

Pur non rientrando per le quantità di idrogeno contenute nell’impianto sotto la direttiva SEVESO si utilizzeranno i metodi di analisi che comunemente sono usati negli impianti soggetti a tale legge. Inoltre si esaminerà in dettaglio il gruppo surpressore dell’impianto utilizzando un nuovo codice di calcolo che si basa sull’analisi dinamica e integrata delle decisioni (IDDA).

3.1 Struttura dell’analisi

L'analisi preliminare di sicurezza si compone di due parti principali, la prima orientata a identificare gli incidenti di riferimento e le cause che li determinano basandosi sullo studio di incidenti passati avvenuti in impianti che coinvolgono l’idrogeno e successivamente nell’eseguire alcuni calcoli statistici per avere un quadro migliore della situazione. Sorgono difficoltà dovute alla mancanza di dati sufficienti a fornire risultati statistici dettagliati e precisi. Tuttavia questo primo inquadramento della situazione offre una visione d’insieme utile per verificare in dettaglio l’impianto in questione.

La seconda atta ad identificare i malfunzionamenti, errori operativi ed eventi esterni in grado di causare incidenti in centrale, per poter evidenziare in dettaglio gli incidenti più critici per frequenza di accadimento o gravità delle conseguenze.

(2)

L'obiettivo finale consiste nell’identificare tali anomalie nel funzionamento dell'impianto (guasti, errori operativi, errori di manutenzione, eventi incidentali esterni) accostando due metodi di analisi: Hazid e Idda, confrontandosi quindi con un’analisi qualitativa d’impatto generale e una deterministica; l’osservazione di tali metodi permetterà un approccio completo alla sicurezza dell’impianto in modo tale che questa valutazione consentirà di fornire indicazioni progettuali, come l’installazione di sistemi di prevenzione/mitigazione, la modifica delle procedure di gestione/manutenzione, il tutto al fine di ridurre il rischio per il personale, la popolazione e l'ambiente circostante.

L'analisi si articola in diverse fasi: 1) Analisi storica

2) Analisi statistica 3) Analisi funzionale 4) Metodologia Hazid 5) Metodologia Idda

6) Studio degli eventi critici sull’impianto

3.1.1 Analisi storica

L’analisi storica costituisce un primo approccio di massima che permette di verificare le problematiche di sicurezza relative ad una certa tipologia di sistema, sulla base di incidenti accaduti in passato per sistemi similari. Tale ricerca viene condotta reperendo la letteratura specializzata e facendo riferimento a banche dati di registrazione degli eventi incidentali, generalmente organizzate e gestite da organizzazioni nazionali o internazionali.

3.1.2 Analisi statistica

In questa seconda fase verranno esaminati il numero di accadimenti degli incidenti considerati nell’analisi storica per ogni tipo di causa e le conseguenze generate. Questi dati saranno utili e forniranno un’indicazione sui punti deboli della stazione di rifornimento

(3)

idrogeno presa in considerazione e forniranno uno spunto sulle salvaguardie che devono essere utilizzate per incrementare la sicurezza dell’impianto.

3.1.3 Analisi funzionale

In questa analisi si identificano le principali funzioni realizzate dall'impianto e più in generale sul sito. Ciascuna funzione principale sarà poi scomposta in funzioni elementari necessarie al fine di assolvere quella principale.

L'identificazione dei pericoli esaminerà le funzioni elementari al fine di evidenziarne le possibili deviazioni.

Tabella 3.1 Esempio di analisi funzionale

CODICE FUNZIONE

1. Produzione di idrogeno

1.1 Demineralizzazione dell’acqua

1.1.1 Stoccaggio dell’acqua demi

1.2 Generazione dell’idrogeno 1.3 Purificazione dell’idrogeno

2. Compressione e invio dell’idrogeno alle bombole

3.1.4 Metodologia HAZID

L'identificazione dei pericoli viene realizzata analizzando le funzioni elementari (quelle di più basso livello) emerse dall'analisi funzionale. Per ciascuna di queste funzioni si determineranno le possibili deviazioni, le cause che le generano (guasti, errori umani, eventi esterni), gli effetti ai fini della sicurezza e della produttività.

Operativamente, l'analisi viene condotta riempiendo le tabelle HAZID di cui si riporta la struttura in Tabella 3.2.

(4)

Tabella 3.2 Tabella HAZID Funzione principale Funzione elementare Fase Operativa Pericolo/ Dev. di Funzione

Cause Conseguenze F D R Salvagua rdie esistenti

Raccomand azioni

Gli indici di Frequenza (F), Danno (D) e Rischio (R) sono stimati in base ad una valutazione qualitativa in riferimento alla classificazione qui oltre riportata:

Tab3.3 Grado di Frequenza

F Frequenza annuale

1 Improbabile: non atteso nella vita del sistema

2 Remoto: non dovrebbe accadere nella vita del sistema 3 Poco probabile: atteso una sola volta nella vita del sistema 4 Probabile: atteso poche volte nella vita del sistema

5 Atteso: atteso più volte nella vita del sistema

Tab 3.4 Grado di Danno

DANNO

D Entità Descrizione del danno

1 Trascurabile Nessun danno alle persone, funzioni di sicurezza completamente disponibili

2 Minore Danni lievi alle persone e/o perdita parziale delle funzioni di sicurezza

3 Severo Danni gravi alle persone e/o perdita completa delle funzioni di sicurezza

4 Critico Decessi tra il personale di impianto e/o perdita completa delle funzioni di sicurezza

5 Catastrofico Elevato numero di decessi, anche tra la popolazione esterna e distruzione dell'impianto.

(5)

Nell'associare le stime di Frequenza e Danno ai singoli eventi si procede con le seguenti ipotesi:

• per le funzioni operative:

la frequenza si stima con riferimento alla causa di maggior frequenza in grado di generare la deviazione della funzione stessa;

il danno viene stimato nell'ipotesi che le salvaguardie presenti intervengano correttamente.

• per le funzioni di protezione/sicurezza:

la frequenza si stima considerando l'accadimento contemporaneo dei due eventi qui oltre indicati:

1) la frequenza relativa alla causa di maggior frequenza che fa perdere la funzione di protezione/sicurezza e contemporaneamente,

2) l'intervento di un'anomalia nel processo che richieda l'intervento della funzione di protezione/sicurezza stessa.

il danno viene stimato tenendo conto che la funzione di protezione/sicurezza non è disponibile.

3.1.5 Metodologia IDDA

IDDA (Analisi Decisionale Dinamica Integrata) è uno strumento per la modellazione della logica dei sistemi: la rappresentazione del sistema si svolge delineando tutti i suoi possibili comportamenti secondo tracciati alternativi nei quali devono essere descritte le reali sequenze logico-temporali degli avvenimenti; ogni ramo si può aprire in più direzioni (fino ad otto), con probabilità condizionate dall'evoluzione degli eventi che precedono la diramazione, nella sequenza descritta.

In altri termini lo strumento, ricevuta dall'analista la descrizione del funzionamento del sistema (secondo un'opportuna sintassi), la sviluppa in forma potenziata di albero degli eventi "dinamico", esplicitando tutte le sequenze di eventi compatibili con la descrizione ricevuta sia dal punto di vista della concatenazione "logica" sia da quello della coerenza "probabilistica".

(6)

Current event sequence number 4 , Event tree sequence number 4 Sequence probability : 5.13051e-08

No consequences file defined

Level Out Probability Cumulative T. Factor Mission T. Description 300 0 1-8.76e-02 9.1240e-01 PCV551 FUNZIONA 402 0 1-8.76e-03 9.0441e-01 ECV501 funziona 404 0 1-9.64e-04 9.0354e-01 PCV 501 APERTA 406 0 1-1.75e-03 9.0195e-01 ST500 INTEGRO 408 0 1-1.75e-03 9.0037e-01 ST501 INTEGRO 410 0 1-4.61e-01 4.8550e-01 PT500 funziona 412 0 1-1.35e-02 4.7895e-01 PLC500 funziona 414 0 1-3.99e-01 2.8763e-01 NCS500 funziona 416 0 1-4.91e-02 2.7352e-01 PRV500 funziona 427 0 1-8.76e-03 2.7113e-01 ECV503 funziona 428 1 1.75e-01 4.7501e-02 PCV500 CHIUSA 440 0 1-1.05e-01 4.2508e-02 PSH500 Funziona 442 1 2.00e-04 8.5016e-06 RELAY non funziona 444 1 6.74e-03 5.7343e-08 PAH501 non funziona 448 0 1-1.05e-01 5.1315e-08 PSH502 Funziona 450 0 1-2.00e-04 5.1305e-08 RELAY funziona 2000 #1 5.131e-08 STOP MOTORE NO

September 5, 2005 1:24:16 pm - View: c:\documents and settings\gogo\desktop\compressore1.inp.out

Current event sequence number 5 , Event tree sequence number 5 Sequence probability : 1.01938e-11

No consequences file defined

Level Out Probability Cumulative T. Factor Mission T. Description 300 0 1-8.76e-02 9.1240e-01 PCV551 FUNZIONA 402 0 1-8.76e-03 9.0441e-01 ECV501 funziona 404 0 1-9.64e-04 9.0354e-01 PCV 501 APERTA 406 0 1-1.75e-03 9.0195e-01 ST500 INTEGRO 408 0 1-1.75e-03 9.0037e-01 ST501 INTEGRO 410 0 1-4.61e-01 4.8550e-01 PT500 funziona 412 0 1-1.35e-02 4.7895e-01 PLC500 funziona 414 0 1-3.99e-01 2.8763e-01 NCS500 funziona 416 0 1-4.91e-02 2.7352e-01 PRV500 funziona 427 0 1-8.76e-03 2.7113e-01 ECV503 funziona 428 1 1.75e-01 4.7501e-02 PCV500 CHIUSA 440 0 1-1.05e-01 4.2508e-02 PSH500 Funziona 442 1 2.00e-04 8.5016e-06 RELAY non funziona 444 1 6.74e-03 5.7343e-08 PAH501 non funziona 448 0 1-1.05e-01 5.1315e-08 PSH502 Funziona 450 1 2.00e-04 1.0263e-11 RELAY non funziona 452 0 1-6.75e-03 1.0194e-11 PAH502 funziona 2000 #0 1.019e-11 STOP MOTORE SI

in questo modo posso considerare ogni possibile deviazione dovuta al comportamento di ciascun componente dell’impianto. Le probabilità ottenute sono cumulative e posso osservare il comportamento del sistema in ogni su variazione.

(7)

La frequenza di accadimento di ogni singolo evento preso a riferimento sarà pari al prodotto delle probabilità di guasto o condizionate di tutti i componenti che appartengono all’evento medesimo.

Per ulteriori informazioni sul programma si rimanda al capitolo 6.

3.1.6 Studio degli eventi critici sull’impianto

Al termine dell'identificazione dei pericoli è necessario evidenziare gli eventi ritenuti più critici che possono essere all'origine di sequenze incidentali di rilievo in grado di compromettere la sicurezza delle persone, dell’ambiente o dell’impianto stesso.

A questo fine si selezionano gli eventi più critici ricorrendo ad una Matrice di Rischio (appositamente costruita dal gruppo dell’EIHP per le stazioni di rifornimento di idrogeno; la matrice di rischio si basa sicuramente sui valori della curva FN, ma tiene conto anche dell’incertezza che caratterizza la determinazione degli indici di rischio) che permette di classificare tutti gli eventi in tre grandi categorie: i rischi non accettabili per cui si raccomandano analisi più approfondite, modifiche progettuali e/o di gestione, i rischi quasi accettabili ma per i quali, se possibile, si suggerisce una riduzione ed infine gli eventi del tutto accettabili.

Figura 3.1: Matrice di Rischio adottata 5 4 3 2 1 F/D 1 2 3 4 5

(8)

Inaccettabile: si raccomandano studi più approfonditi, modifiche progettuali e/o di gestione

ALARP (As Low As Reasonably Practicable), quasi accettabile; si suggeriscono modifiche progettuali e/o di gestione

Accettabile: il progetto e la gestione garantiscono già un controllo adeguato dei rischi

Selezionati gli eventi critici, si evidenzieranno quelli in grado di diventare iniziatori di sequenze incidentali gravi (Eventi Iniziatori). Questi verranno poi raggruppati in classi omogenee (stessa sostanza coinvolta, stesse funzioni di sicurezza richieste, simile evoluzione dell'incidente, stessa area di impianto coinvolta). Inoltre verranno fatte alcune considerazioni sui risultati ottenuti tramite Idda in relazione con l’analisi generale adottata Hazid.

3.1.7 Analisi delle sequenze incidentali

L'analisi delle sequenze incidentali costituisce la fase quantitativa dell'analisi di Rischio. In quanto grazie al programma Idda si è potuto calcolare la probabilità di accadimento annuale di tutte le possibili deviazioni che possono avvenire all’interno del gruppo surpressore (compressore e sistema di controllo). In questa fase, per ogni guasto di un componente si delineano le sequenze incidentali e non, che questo può scatenare e se ne stimano le frequenze di accadimento.

Con la metodologia hazid invece osservo come un unico Evento Iniziatore in base al funzionamento più o meno corretto dei sistemi di protezione/sicurezza e in base ai fenomeni che si verificano (innesco, vento, ecc.) possa portare a evoluzioni dell'incidente molto diversificate tra loro e tutte dovranno essere analizzate per stimarne il rischio associato. Diversamente da Idda comunque non ottengo una visione di insieme perché non vengono considerate le probabilità di accadimento di eventi che non portano a cause incidentali.

La stima della frequenza di accadimento relativa alle varie deviazioni richiede la determinazione della probabilità di guasto del singolo componente (p) e di tutte le probabilità condizionate degli eventi che completano la sequenza. Queste informazioni

(9)

saranno tratte da banche dati commerciali (in particolare il rateo di guasto λ, le probabilità

fail to safe e fail to close vedi capitolo 7) oppure da informazioni derivanti dall'esperienza

di impianto.

I dati utilizzati provengono dalle seguenti pubblicazioni:

• EIReDA 1998; European industry Reliability Data Bank • OREDA 1992, Offshore Reliability Data, 1992

• OREDA 1984, Offshore Reliability Data, 1984

• AIChE, Guidelines for process equipment reliability data, 1989 • Loss Prevention in the Procees Industries, P. Lees, 1980

3.2 Valutazione del Rischio

La fase conclusiva dello studio consiste nella valutazione del rischio (calcolato dalle tabelle hazid presenti nell’allegato D) abbinato a ciascuna deviazione al fine di evidenziare gli incidenti "accettabili" rispetto a quelli per i quali si suggerisce o si raccomanda di attuare migliorie di progetto o di gestione al fine di ridurne il rischio associato.

La verifica dell'accettabilità o meno del rischio viene effettuata con riferimento al diagramma che riporta i limiti di accettabilità per il Rischio Sociale normalmente applicati ad un sito industriale (Bello G., I rischi associati ad attività tecnologiche - Criteri di misura e accettabilità verso un approccio razionale nell’allocazione delle risorse, Seminario Rischio e Ambiente, 12-13 dicembre 1996, Politecnico di Torino, Torino, 1996). Il grafico qui oltre presentato rappresenta l'unico esempio di definizione di criteri di accettabilità affrontato per ora in Italia, da parte della regione Friuli Venezia Giulia nell'ambito dell'analisi di rischio d'area della zona di Trieste.

(10)

Figura 3.2: Criteri di accettabilità del rischio F (ev./anno) 1 10 100 D (morti) ALARA NON ACCETTABILE ACCETTABILE 5.0 E-6 5.0 E-5 5.0 E-7

Ogni sequenza, stimata la frequenza ed il danno associati, potrà essere rappresentata sul diagramma come un punto.

Riportando le sequenze incidentali sul diagramma, si evidenzia l'accettabilità o meno del rischio ad esse associato e si evince la strategia migliore per ridurlo scegliendo tra prevenzione (traslazione verso il basso) e mitigazione (traslazione verso sinistra).

Anche in questo caso, come per la Matrice di Rischio qualitativa, si raccomandano delle migliorie al sistema per gli eventi che ricadono nell'area Non Accettabile, si suggeriscono miglioramenti per gli eventi che ricadono nella zona ALARA, mentre si considerano accettabili, senza ulteriori interventi, le sequenze che ricadono nella zona del diagramma prossima all'origine.

Lo studio del sistema consentirà quindi l’identificazione di modifiche progettuali e/o gestionali atte a effettuare la prevenzione o la mitigazione.

3.3 Bibliografia

[1] G. Bello, “I rischi associati ad attività tecnologiche: criteri di misura e di accettabilità verso un approccio razionale nell’allocazione delle risorse”, Seminario “RISCHIO E AMBIENTE”, Torino, 12-13 dicembre 1996_

Figura

Tabella 3.1 Esempio di analisi funzionale
Tabella 3.2 Tabella HAZID Funzione principale Funzione elementare Fase Operativa Pericolo/ Dev
Figura 3.1: Matrice di Rischio adottata 5 4 3 2 1 F/D 1 2 3 4 5
Figura 3.2: Criteri di accettabilità del rischio F (ev./anno) 1 10 100 D (morti)ALARANON ACCETTABILEACCETTABILE5.0 E-65.0 E-55.0 E-7

Riferimenti

Scarica adesso ( PDF - 10 pagine - 104.74 KB )

Documenti correlati

Capitolo 1 Analisi degli errori

La base due ` e ancora pi` u interessante perch´ e in tale base tutti i numeri sono rappresentati da successioni dei due simboli 0 ed 1 che possono essere messe in corrispondenza

Propagazione degli Errori

Fate la media delle misure e estraete la deviazione standard e/o della media dalle misure stesse (confrontando il risultato con l’errore minimo). Sebbene sia corretto tenere

Propagazione degli Errori

A che angolo viene minimizzato l’errore di misura su D ?.. L’incertezza che contribuisce di più all’errore sulla gittata è quello relativo alla velocità.. Quando devo usare

Propagazione degli Errori

- esiste il 0.05 % di probabilità che x teo sia il valore medio della distribuzione statistica misurata - esiste il 0.05 % di probabilità che che la differenza tra x teo e x best

Propagazione degli errori

• Tra X= TI/2 e x= TI la curva, anche se regolare, si allontana sempre più da una retta e, di conseguenza, il coefficiente di correlazione lineare si riduce sempre di piu'. •

Collaudo e Collaudo e Correzione di Errori Correzione di Errori

 Soluzione Soluzione : scrivere : scrivere test harness test harness che facilitano la che facilitano la ripetizione del collaudo delle unità.. ripetizione del collaudo

Errori a regime

[r]

Preparazione orale analisi numerica: CAPITOLO Errori (1):

Se fosse per assurdo allora anche questa matrice è dominante diagonale (O irr. Dominante diagonale), quindi non singolare, perciò non può essere un