26
TEORIA E APPLICAZIONE DELLA TECNICA LOPA NELL’ANALISI DI RISCHIO
2.0 Introduzione
LOPA (Layers of Protection Analysis) è una tecnica innovativa di tipo quantitativo che ben si adatta all’analisi di rischio dei processi e degli impianti di produzione. Tale tecnica ha fatto la sua comparsa nel 2001 ad opera del CCPS (Center for Chemical Process Safety) ed è stata da subito utilizzata da tutte le principali multinazionali dell’industria chimica che, nell’arco dei dieci anni successivi, l’hanno sviluppata e portata ad essere un punto di riferimento del programma di Process Safety. Lo scopo della tecnica LOPA è quello di definire e quantificare il rischio di accadimento di un generico scenario incidentale e di stabilire se, all’interno dello stabilimento, esistono sufficienti misure di sicurezza, definite come livelli di protezione (Layers) tali da permettere l’accettabilità del rischio.
Proprio per la sua natura di tecnica quantitativa la LOPA necessita, per poter essere sfruttata nel migliore dei modi, di una fase di lavoro preliminare nella quale il rischio deve essere valutato in maniera qualitativa per definire al meglio tutti i possibili scenari incidentali. Tale analisi può essere svolta dal team sia in modo diretto, cioè affidandosi all’analisi storica e all’esperienza di ogni individuo, oppure in maniera metodica con l’utilizzo di una tecnica consolidata come può essere la HazOp. Un altro aspetto importante della tecnica LOPA è che essa è strutturata in modo da analizzare relazioni di tipo causa-effetto: per questo motivo, nello studio di uno scenario dovuto a più cause concomitanti e avente diversi tipi di conseguenze, la tecnica LOPA impone di analizzare singolarmente ogni relazione causa-effetto. Tale metodologia di lavoro risulta essere molto versatile in quanto si adatta sia alla progettazione di un nuovo impianto, permettendo di inserire il giusto numero di livelli di protezione, sia allo studio di un impianto esistente, consentendo, se necessario, di aggiungere nuovi livelli di protezione in modo da rendere il rischio accettabile. La possibilità di identificare l’esatto numero di protezioni di cui necessita il sistema, permette inoltre all’analista di evitare di sovrastimare il rischio e quindi di intervenire negativamente sul processo, inserendo dispositivi di protezione (con i costi che ne conseguono) ridondanti e, talvolta, inutili. Per questi motivi la corretta applicazione della tecnica LOPA rappresenta un sistema di “screening”, semplice ed efficace, per stabilire non solo di quali protezioni ha bisogno il sistema per essere considerato sicuro, ma, soprattutto, se le protezioni già esistenti siano sufficienti. Inoltre, nel caso non lo
27
siano, offre un valido strumento per identificare l’applicazione impiantistica che meglio può adattarsi al processo e al costo di investimento.
L’analisi LOPA è composta da più fasi (steps), che saranno discusse in maniera approfondita nei prossimi paragrafi. Tali fasi sono:
• identificazione dello scenario;
• studio della gravità delle conseguenze dello scenario e attribuzione di un punteggio definito Target Factor;
• identificazione della causa scatenante (Initiating event);
• stima della frequenza di accadimento dell’Initiating Event;
• identificazione di eventuali altri fattori (Enabling Factors) che accoppiati all’Initiang
Event danno luogo allo scenario;
• valutazione del tempo effettivo in cui si manifesta il rischio (Time at Risk);
• identificazione delle protezioni indipendenti (IPLs);
• calcolo della probabilità di fallimento delle protezioni (PFD);
• valutazione dei crediti;
• valutazione dell’accettabilità del rischio e di eventuali interventi. 2.1. Valutazione delle conseguenze
Una volta che lo scenario è stato individuato il primo step della tecnica LOPA consiste nel valutare e quantificare le conseguenze provocate dall’incidente. La maggior parte degli scenari che vengono presi in esame riguardano il rilascio, da parte del sistema in considerazione, di sostanze pericolose e di notevoli quantità di energia: dalla fuoriuscita di una sostanza da un’apparecchiatura, un tubo o una valvola fino all’esplosione di un reattore per sovrappressione. Le conseguenze possono essere molteplici e variano a seconda di diversi fattori.
Ai fini dell’analisi, occorre innanzitutto determinare le caratteristiche della sostanza che interessa il rilascio in modo da stabilire se si tratta di uno scenario tossico o infiammabile, quindi si procede quantificando la portata e le possibili evoluzioni, prendendo anche in considerazione le caratteristiche dell’ambiente circostante.
Nello studio di uno scenario tossico è importante conoscere le caratteristiche di dispersione della nube per stabilire se essa rimarrà o meno entro i confini dello stabilimento e per quanto
28
tempo ai fini di stimare il numero di persone che potrebbero, in condizioni normali, venire a contatto con la sostanza tossica.
Per uno scenario infiammabile invece si prendono in considerazione sia il comportamento della sostanza che il posizionamento del rilascio per capire quale sia lo scenario infiammabile più probabile. Ad esempio un gas leggero tenderà a disperdersi facilmente rendendo meno probabile la formazione di una nube incendiata (flash-fire) rispetto ad un getto incendiato (jet-fire), mentre invece un gas pesante liquefatto in pressione avrà una maggior probabilità di accumularsi nella zona del rilascio e quindi più tempo per trovare l’innesco. Per quanto riguarda la probabilità di esplosione è necessario inoltre tener conto del lay-out dell’area di rilascio per valutare la possibilità che la nube infiammabile possa trovarsi in condizioni di confinamento. In seguito a tutte queste considerazioni si procede con la determinazione delle aree di danno per mezzo di modelli teorici o di una simulazione con un software dedicato e quindi alla stima del numero delle possibili persone coinvolte.
2.2 Valutazione del Target Factor [2]
La valutazione delle conseguenze dello scenario si traduce nell’attribuzione di un punteggio di “pericolosità” allo scenario denominato Target Factor (TF). Generalmente il calcolo del TF tiene conto esclusivamente della magnitudo dell’incidente e i modelli che si utilizzano dipendono soprattutto dalla metodologia e dalla rigorosità dell’analisi di rischio e dai criteri di tolleranza che l’azienda è disposta, anche economicamente, a sopportare. Si può dire che la fase di determinazione del TF è l’unica in cui l’analisi LOPA viene in parte condizionata dagli obiettivi specifici dell’azienda.
Essenzialmente il TF può essere valutato secondo tre approcci diversi:
1. Valutazione e caratterizzazione del rilascio.
E’ l’approccio più semplice e si basa esclusivamente sulle caratteristiche della sostanza e sulla quantità che interessa il rilascio. Generalmente viene utilizzato nell’analisi degli scenari tossici data la difficoltà di caratterizzare esattamente tutte le variabili che condizionano il comportamento della nube e quindi l’ampiezza dell’area interessata.
2. Valutazione delle conseguenze che l’evento può avere sulle persone.
E’ l’approccio che garantisce maggior precisione e che si basa sulla stima del numero di persone che possono essere coinvolte dall’evento. E’ necessario quindi non solo conoscere
29
qualitativamente e quantitativamente il rilascio per identificare l’area di danno, ma anche il numero di persone sia all’interno del sito (operatori, tecnici, personale ditte esterne ecc.), che eventualmente all’esterno di esso, possono essere coinvolte e con quali conseguenze. Tale approccio viene generalmente utilizzato nell’analisi degli scenari infiammabili per i quali risulta tecnicamente più semplice la valutazione delle aree di danno.
3. Valutazione delle conseguenze economiche dell’evento.
E’ l’approccio meno utilizzato e più sensibile a errori. Si tenta di stabilire quanto l’evento può andare ad incidere economicamente sull’azienda sia in termini di risorse ambientali (apparecchiature, produzione, danno ambientale ecc.) che in termini di risorse umane (cure, risarcimenti ecc.).
Le aziende che utilizzano la tecnica LOPA già da diversi anni, mettono a disposizione degli analisti banche dati in cui sono inseriti tutti gli archivi storici relativi ad eventi già verificatisi, i dati relativi alle sostanze e alle apparecchiature che interessano le produzioni, i metodi per il calcolo dei rilasci e delle conseguenze. Nel diagramma di figura 2.1 [3] è riportata, per alcune multinazionali, la frequenza di accadimento massima in eventi/anno, che l’azienda è disposta ad accettare, in funzione del numero di vittime di un incidente.
30
Un esempio indicativo di calcolo del TF, conoscendo l’estensione dell’area di danno, può essere svolto con l’utilizzo della seguente tabella che è stata ricavata dal diagramma precedente.
IMPATTO SULLE PERSONE IMPATTO SULLE COSE
TF Interno al sito Esterno al sito
2 - 4
Ferimento lieve con prognosi di qualche giorno
Non ci sono pericoli o disagi per la popolazione esterna
Incidente di minima portata, da riferire comunque alle
autorità competenti 3 - 5 Ferimento serio con conseguenze irreversibili La popolazione circostante è costretta a rinchiudersi in casa o ad evacuare La contaminazione dovuta all'incidente è circoscritta
all'interno del sito
4 - 6 1 – 3 vittime
Ferimento serio con conseguenze
irreversibili
Contaminazione dell'area circostante il sito con eventuale avvelenamento di corsi d'acqua e falde acquifere
5 - 7 3 – 10 vittime 1 – 3 vittime
Danni significativi alle opere più vicine all'area e contaminazione del terreno
6 - 8 10 – 50 vittime 3 – 10 vittime Danni significativi alle
strutture dell'area circostante
7 - 9 50 – 200 vittime 10 – 50 vittime
Danni ingenti associabili ad un evento naturale. Stato di
calamità
8 - 10 oltre 200 vittime 50 – 200 vittime Incidente di massima portata
con conseguenze incalcolabili
Tabella 2.1: Valutazione del TF conoscendo l'estensione dell'area di danno
Come si può osservare dai dati in tabella lo stesso scenario diventa più pericoloso se ad essere coinvolte sono persone che si trovano all’esterno dello stabilimento produttivo, infatti è necessario tenere conto del fatto il personale operativo è addestrato e maggiormente
31
preparato alla gestione di una situazione di emergenza, rispetto alle persone che si trovano all’esterno. In genere, per l’analisi vera e propria, vengono selezionati gli scenari che hanno un
TF compreso tra 5 e 8. Infatti, per un’analisi quantitativa dei grandi rischi, un TF troppo basso
non è di alcun interesse, mentre un TF superiore a 8 diventa di un’importanza e di una complessità tali, da costringere l’analista a servirsi di una tecnica più articolata, che tenga conto di un numero molto maggiore di variabili e di frequenze di accadimento e fallimento delle protezioni calcolate in maniera più accurata. Infatti, come si vedrà in seguito, l’analisi LOPA prevede l’utilizzo di frequenze di accadimento semplificate che risultano molto conservative. Nell’intervallo utile considerato rientrano comunque più del 90% degli scenari che vengono affrontati.
2.3 Sviluppo dello scenario e valutazione dell’Iniziating Event (IE) [2]
Il secondo step dell’analisi di uno scenario consiste nell’individuare tutte le cause che possono scatenarlo. In questo modo vengono definite le “coppie” causa – effetto, riconducibili allo scenario in esame, che dovranno essere studiate singolarmente. In genere, infatti, i fattori che possono scatenare un evento sono molteplici e ognuno di essi avrà una certa probabilità di accadimento. In altre parole, a seconda della causa scatenante, ci sarà una maggiore o minore probabilità che l’evento ( e con esso le conseguenze ad esso collegate) si verifichi.
L’Initiating Event può essere di varia natura e viene classificato secondo i seguenti criteri:
• Errore impiantistico: a questa classe appartengono tutte le cause non riconducibili direttamente all’intervento umano (rotture meccaniche, errori dei sistemi di misura, di calcolo e di regolazione automatica ecc.)
• Errore umano: a questa classe appartengono tutte le cause riconducibili direttamente all’intervento umano (errata esecuzione delle procedure), ma anche la mancata o errata risposta alle condizioni critiche del processo (allarmi).
• Cause esterne: a questa classe appartengono tutte le cause non riconducibili ai sistemi e al personale dello stabilimento, ad esempio l’incompleta preparazione del personale esterno, ma anche eventi naturali (uragani, terremoti ecc.), possibili incidenti in stabilimenti vicini, attacchi terroristici ecc.
32
2.4 Frequenza di accadimento dell’Initiating Event [2]
Durante lo studio di uno scenario che ad esempio ipotizza lo scoppio di un reattore, l’analista non potrà dare lo stesso “peso” ad un errore umano e a un terremoto, perché la probabilità che si verifichi il primo evento sarà notevolmente maggiore di quella che si verifichi il secondo evento. Per questo motivo non è sufficiente individuare tutti i possibili eventi scatenanti, ma è necessario studiarne anche la frequenza di accadimento per assegnare loro una probabilità. Tale frequenza viene di norma espressa in eventi/anno: ad esempio, ciò significa che se per uno strumento di misura, ad esempio un manometro, soggetto ad una regolare manutenzione (prova di taratura ogni 4 mesi), si è identificata una frequenza di accadimento di 10−1 (nelle unità dette, che d’ora in poi saranno sottintese), ci si aspetta che lo strumento fallisca una volta ogni dieci anni. Di conseguenza se l’impianto è provvisto di dieci strumenti dello stesso tipo ci si aspetta di avere un guasto una volta l’anno.
2.4.1 Stima della frequenza di accadimento dell’IE [2]
Per stimare la frequenza di accadimento sono state create delle banche dati che raccolgono uno storico degli incidenti già verificatisi e mettono a disposizione dell’analista degli “intervalli di frequenza” per ogni tipo di IE. In genere questi intervalli si estendono per 1 o 2 ordini di grandezza: sarà poi compito dell’analista stabilire quale frequenza scegliere in questo “range” a seconda del tipo specifico di strumento considerato, degli standard di manutenzione e di sicurezza dell’azienda, oppure, se si tratta di errore umano, della durata, frequenza e difficoltà dell’operazione. In generale si tende a prendere il valore più alto (più conservativo) dell’intervallo di frequenza per quanto riguarda la strumentazione, mentre per le operazioni svolte dall’operatore si sceglie una frequenza che va di 1
10− o 2
10− a seconda dell’operazione presa in considerazione. Di seguito è riportata una tabella delle frequenze di accadimento riferite ai più comuni Initiating Events.
33
INITIATING EVENT Intervallo storico
di frequenza
Frequenza normalmente
utilizzata Rotture meccaniche
Fessurazione della parete di un serbatoio 10-3 – 10-5 10-3
Perdita da un tubo di lunghezza > 100 m 10-1 – 10-3 10-1
Perdita da un tubo di lunghezza < 100 m 10-2 – 10-4 10-2
Rottura di una spia visiva 10-1 – 10-2 10-1
Rottura di una tenuta generica 10-1 – 10-2 10-1
Rottura della tenuta di una pompa 10-1 – 10-2 10-1
Blocco meccanico di una pompa 10-1 – 10-3 10-1
Perdita da una serpentina di raffreddamento 10-1 – 10-3 10-1
Perdita da una manichetta mobile 10-1 – 10-2 10-1
Rotture ed errori elettro-strumentali
Strumento di misura 10-1 – 10-2 10-1
Sensore 10-1 – 10-2 10-1
Valvola regolatrice 10-1 – 10-2 10-1
Software 10-2 – 10-3 10-2
Valvola on-off 10-1 – 10-2 10-1
Errori umani e cause esterne
Errore durante un'azione routinaria 10-1 – 10-2 10-1
Errore durante un'azione non routinaria
complessa e procedurata 10
-2
– 10-3 10-2
Generica causa esterna 10-2 – 10-4 10-2
Uragano, terremoto 10-3 – 10-5 10-3
Tabella 2.2: Esempi di frequenza di accadimento di alcuni IE
2.5 Valutazione dell’Enabling Factor [2]
Una variabile che viene spesso associata all’IE è rappresentata dall’Enabling Factor (EF), cioè una condizione, in genere ambientale, che deve verificarsi insieme alla causa scatenante, perché lo scenario possa avvenire e causare le conseguenze valutate nel calcolo del TF. Per valutare questo parametro è necessario distinguere i casi in cui si stia considerando uno scenario tossico o uno scenario infiammabile.
Nel caso di scenario tossico, in cui il TF è valutato tenendo conto esclusivamente del tipo e della quantità di sostanza che interessa il rilascio, è necessario tenere conto della conformazione dell’area circostante lo stabilimento. Infatti se è stato valutato che la nube possa uscire dai
34
confini del sito il numero di persone coinvolte dipenderà da diversi parametri tra cui la distanza dai centri abitati, la densità abitativa, le condizioni degli edifici che possono offrire protezione. Infatti lo stesso scenario avrà conseguenze completamente diverse a seconda che lo stabilimento sia posto nella periferia di una grande città oppure in una zona disabitata. Alla luce di queste valutazioni l’analista ha la possibilità di ridurre o, nei casi peggiori, di aumentare il
Target Factor.
Nel caso di scenario infiammabile l’EF è rappresentato dalla probabilità che la sostanza rilasciata trovi una fonte di innesco. Tale probabilità è legata soprattutto al tipo e alla quantità di sostanza rilasciata. Per quanto riguarda il tipo di sostanza la distinzione che è possibile fare è tra sostanze infiammabili ed estremamente infiammabili (dati riportati sulla scheda di sicurezza), mentre per quanto riguarda le quantità in gioco, da dati sperimentali, è possibile ritenere che l’innesco sia praticamente certo sopra le soglie di 5000 kg in 15 min (infiammabile) e 500 kg in 15 min(estremamente infiammabile).
2.6 Valutazione del Time at Risk e della Probability of Exposure [2]
Un’altra variabile di cui tenere conto nell’analisi LOPA è la valutazione del tempo effettivo in cui viene compiuta l’operazione durante la quale si verifica lo scenario e prende il nome di Time at
Risk. Questa variabile viene presa in considerazione per le fasi discontinue di un processo, come
le fasi manuali di carico e scarico e di alcune altre manovre dei processi di tipo Batch. Infatti queste operazioni si svolgono in intervalli di tempo stabiliti che costituiscono solo una parte del tempo effettivo di produzione. Se, ad esempio, la carica di una materia prima in un reattore discontinuo dura un’ora e l’operazione viene ripetuta per 120 volte l’anno, è facile comprendere che un evento incidentale avrà una minor probabilità di accadere, rispetto a un processo simile, ma che ha luogo in continuo durante tutto l’anno. La valutazione del tempo a rischio viene fatta calcolando la percentuale di ore annue durante le quali si svolge l’operazione in esame rispetto alle ore annue di funzionamento dell’impianto. Facendo riferimento all’esempio precedente si ottiene:
% 37 , 1 100 / 8760 1 ) / 120 ( = × × = anno hr hr anno TaR
Va comunque sottolineato che il Time at Risk diventa un parametro significativo ai fini dell’analisi LOPA solo quando assume un valore inferiore al 10%. Infatti se la probabilità di
35
accadimento è valutata secondo ordini di grandezza (eventi/anno) per poter ridurre il TF di un punto è necessario che il Time at Risk sia inferiore del 10% del tempo complessivo.
Inoltre è possibile tenere conto anche del fatto che l’area interessata dallo scenario sia occupata dal personale per un tempo inferiore all’orario effettivo di lavoro, introducendo il fattore della Probability of Exposure. Ad esempio, se è stato ipotizzato che l’incidente avvenga nei pressi di un serbatoio di stoccaggio di una sostanza pericolosa posto in una zona, a distanza di sicurezza dal resto dell’impianto, alla quale il personale accede esclusivamente per le operazioni di controllo e manutenzione, la probabilità di avere vittime sarà sensibilmente inferiore rispetto ad una zona normalmente presidiata. Anche in questo caso il parametro ha importanza se il tempo in cui il personale è presente è inferiore al 10% (2,5 hr/gg) o all’1% (15 min/gg) dell’orario di lavoro complessivo.
2.7 Esempio di scenario incidentale
Prima di procedere con le valutazioni relative alle protezioni, può essere utile riferirsi come esempio, a un caso pratico per riassumere quello che è stato detto fino a questo punto.
Descrizione
Conseguentemente ad un’analisi HaZop, è risultato necessario valutare quantitativamente il seguente scenario:
Durante la fase di scarico di 20 m3 di metanolo dall’autobotte A nel serbatoio B, tramite la pompa P, si verifica un sovra-riempimento del serbatoio con conseguente sversamento di materiale infiammabile dalla valvola di sicurezza nel bacino di contenimento. Lo sversamento è dovuto al fatto che il serbatoio B era già pieno prima di cominciare la fase di scarico, mentre invece l’indicatore di livello LI segnalava un valore basso. Il metanolo sversato trova un innesco dando origine ad una pool-fire. L’incendio coinvolge due persone: l’autista della cisterna e l’operatore addetto allo scarico.
36
Figura 2.2: Operazione di riempimento del serbatoio di metanolo da autobotte
Tipo di sostanza
Dalla scheda di sicurezza del metanolo si legge che la sostanza è tossica e infiammabile con un punto di infiammabilità (Flash Point) di 12°C. Inoltre, il suo peso specifico è di 0.79 kg/dm3.
Dati
Portata massima della pompa P = 8000 kg/hr
Durata operazione: il serbatoio viene riempito 8 volte al mese e l’operazione
dura circa 3 ore.
Volume del serbatoio: V = 40 m3
Entità dello sversamento: in 15 minuti vengono sversati al massimo 2000 kg di metanolo
Valutazione del Target Factor
Poiché le persone coinvolte nell’incidente sono due, un operatore e l’autista dell’autocisterna, ed entrambe si trovano all’interno del sito, dalla tabella 2.1 si può prendere un valore del TF tra 4 e 6 a seconda di quanto l’analisi dovrà essere restrittiva.
37
Valutazione dell’Initiating Event
La causa scatenante l’incidente è il fallimento dell’indicatore di livello LI. L’operatore, prima di iniziare la discarica dell’autobotte, controlla il livello del serbatoio sull’indicatore, lo strumento fornisce un valore sbagliato e l’operatore procede con la discarica. La frequenza di accadimento per il fallimento di uno strumento di misura è compresa tra 1
10− e 2
10− (tabella 2.2). Cautelativamente si sceglie la frequenza più alta, in questo caso 1
10− .
Valutazione dell’Enabling Factor e del Time at Risk
Perché si sviluppi l’incendio non è sufficiente che il metanolo venga sversato, ma occorre che trovi una fonte di innesco. Il serbatoio è inserito all’interno di un bacino di contenimento che ne limita la propagazione, inoltre la quantità di materiale infiammabile che viene sversato in 15 minuti è inferiore a 5000 kg, di conseguenza si può ritenere che la probabilità di innesco sia pari
a 1
10− .
Per valutare il Time at Risk si tiene conto della durata dell’operazione:
96 12 8 /anno= × = Operazioni 288 3 96 /anno= × = Ore % 3 , 3 100 / 8760 / 288 × = = anno hr anno hr TaR
Essendo tale indice molto al di sotto del 10%, si ritiene che la probabilità di accadimento diminuisca di almeno un ordine di grandezza, rendendo possibile la riduzione del Target Factor di un punto.
38
2.8 Identificazione delle protezioni indipendenti (IPLs) Una volta stabilite
• la pericolosità dello scenario (Target Tactor),
• la causa scatenante (Initiating Event),
• gli altri fattori che influenzano la probabilità di accadimento (Enabling Factor e Time at
Risk),
si procede con la fase più importante dell’analisi LOPA, cioè la valutazione dei mezzi con cui è possibile evitare lo scenario che rappresentano i veri e propri livelli di protezione.
Per protezioni si intendono tutte quelle azioni atte a prevenire l’accadimento dello scenario che rispondono alle seguenti caratteristiche:
• prevenzione o mitigazione delle conseguenze dello scenario;
• completa indipendenza rispetto all’Initiating Event e a tutte le altre protezioni;
• devono essere efficienti, certificate e soggette ad elevata manutenzione.
La caratteristica di prevenzione è uno degli aspetti più importanti per una protezione e, molto spesso, si rischia di commettere errori di valutazione nel distinguere le azioni che prevengono lo scenario da quelle che ne mitigano le conseguenze. Tornando al caso studiato in precedenza (paragrafo 2.7), se nel bacino di contenimento è installato un rilevatore di gas infiammabili nell’aria che genera un allarme, tale dispositivo aumenta la reattività dell’operatore che può intervenire spegnendo manualmente la pompa. Il sistema non va a prevenire lo scenario, perché entra in funzione solo quanto lo sversamento è già in atto, ma solo a mitigarne le conseguenze in quanto l’intervento tempestivo dell’operatore permette di ridurre la quantità di materiale sversato e quindi le conseguenze dell’incendio. Analizzando invece il caso in cui lo scenario si riferisca al cedimento strutturale del serbatoio, causato dal calore generato dalla pool-fire, il rilevatore di gas infiammabili diventa una protezione, perché contribuisce a diminuire l’entità e la durata dell’incendio e quindi a prevenire l’incidente. Infatti, perché si verifichi il cedimento catastrofico del serbatoio, è necessario che il fasciame sia esposto direttamente alle fiamme per un tempo abbastanza lungo.
E’ quindi molto importante, nello studio di ogni scenario e di ogni relazione causa-effetto, distinguere le azioni atte alla prevenzione delle conseguenze da quelle atte alla loro mitigazione. Per quanto riguarda l’assegnazione dei crediti, come si vedrà in seguito, le azioni che prevengono lo scenario possono essere tutte considerate come livelli di protezione, mentre
39
quelle di mitigazione devono garantire che la probabilità di accadimento dello scenario si riduca di almeno un ordine di grandezza.
Un altro aspetto fondamentale è quello dell’indipendenza delle protezioni. Perché un’azione correttiva possa essere considerata una protezione, non deve essere in alcun modo connessa né con l’Initiating Event, né con altre protezioni già considerate.
Per chiarire bene questo punto può essere utile fare alcuni esempi.
Nel caso studiato precedentemente, lo sversamento di materiale infiammabile era dovuto al fatto che l’indicatore di livello LI segnasse un valore basso, quando invece il serbatoio era quasi pieno. L’Initiating Event è proprio il malfunzionamento dell’indicatore. Poniamo il caso in cui il serbatoio sia provvisto di un allarme di alto livello che entra in funzione al raggiungimento dell’85% del volume. La protezione è valida solo se i sensori dell’indicatore e dell’allarme sono separati e indipendenti. In caso contrario non si può ritenere l’allarme una protezione, in quanto il suo funzionamento dipende dallo stesso sensore che potrebbe essere la causa del malfunzionamento dell’indicatore di livello.
40
Un'altra configurazione può essere quella in cui sul serbatoio è installato un sistema automatico di spegnimento della pompa al superamento del 90% del volume. Anche questo dispositivo, per essere considerato una protezione, deve essere provvisto di una sensore indipendente dal misuratore di livello che rappresenta l’Initiating Event.
41
2.9 Classificazione delle protezioni [2]
Le protezioni vengono classificate, secondo il grado di complessità e il tipo di azioni che svolgono sul processo, in diversi livelli che costituiscono gli Indipendent Protection Layers. I livelli di protezione possono essere facilmente schematizzabili in un grafico detto “a cipolla” e saranno analizzati singolarmente nei paragrafi successivi.
Figura 2.5: Schematizzazione LOPA Onion
2.9.1 Design di processo
Il design di processo costituisce il livello base di protezione e comprende le caratteristiche di progettazione e costruzione delle apparecchiature e di tutti i sistemi appartenenti al processo, le condizioni in cui esse operano, la severità e la frequenza delle ispezioni, la qualità e la frequenza delle operazioni di manutenzione. La valutazione di questi parametri permette all’analista di valutare nel migliore dei modi il comportamento della singola apparecchiatura in caso di malfunzionamento. In altre parole il design di processo rappresenta i criteri che tutte le
42
componenti devono rispettare perché possano essere ritenute valide sia le valutazioni fatte in precedenza per il calcolo della frequenza di accadimento dell’Initiating Event, che per quelle che verranno fatte in seguito per il calcolo della probabilità di fallimento delle protezioni. Questo strumento viene solitamente utilizzato all’interno delle grandi multinazionali per comparare la propria tecnologia e il proprio programma di manutenzione con quelli, ad esempio, di un impianto acquisito. È pertanto consigliabile che la possibilità di ritenere il design di processo come una vera e propria protezione, sia discussa caso per caso dal team di analisi.
2.9.2 Basic Process Control Systems (BPCS)
E’ il primo livello di protezione e include tutti i controlli, manuali ed automatici, il cui scopo è quello di mantenere il processo in sicurezza durante le normali operazioni. Il BPCS provvede a tre diverse funzioni di sicurezza:
• Normal Control Loop Action: azione di controllo continua e mantenimento dei parametri
del processo entro i valori di set point. Il sistema tenta di prevenire la progressione di valori anomali, a seguito della comparsa di un Initiating Event, andando a regolare automaticamente i parametri del processo con azioni correttive.
• Alarm Action: azione di controllo dello stato del processo e identificazione delle
escursioni dei parametri. Il sistema provvede ad attirare l’attenzione dell’operatore su un valore anomalo di un parametro di processo, in genere con un allarme. L’operatore dovrà agire manualmente con un’azione correttiva.
• Logic Action: azione di controllo dello stato del processo e blocco automatico nel caso di
parametri fuori controllo. Il sistema interviene sul processo con un blocco elettro-meccanico (interblocco) per riportare i parametri in condizioni di sicurezza.
43
2.9.3 Esempi di azioni del BPCS
Descrizione dello scenario: durante la combustione di gas naturale, per la produzione di energia
elettrica, nella camera di combustione si registra un aumento anomalo della temperatura. La causa è una maggior pressione di alimentazione del combustibile.
BPCS Normal Control Loop Action
Sulla linea di alimentazione è installato un sistema di controllo della pressione collegato ad una valvola pneumatica di regolazione. Se la pressione di alimentazione del combustibile supera il set-point, il sistema reagisce andando a ridurre la portata di gas.
44 BPCS Alarm Action
Sulla linea di alimentazione è installato un allarme di alta pressione, mentre il flusso è regolato da una valvola manuale. Se la pressione di alimentazione supera il set-point, il sistema reagisce generando un allarme al quale l’operatore risponde diminuendo la portata o, nel caso peggiore, interrompendo l’alimentazione.
Figura 2.7: BPCS Alarm Action
BPCS Logic Action
Sulla linea di alimentazione è installato sistema di rilevazione della pressione collegato ad una valvola automatica on-off. Se la pressione di alimentazione supera il set-point, il sistema reagisce andando a chiudere la valvola e interrompendo l’alimentazione.
45
Ognuna delle azioni svolte dal BPCS può essere considerata come una protezione, dato che tutte e tre prevengono lo scenario (innalzamento della temperatura nella camera di combustione). Le stesse tre azioni non potrebbero essere considerate protezioni se fossero collegate al sensore di temperatura TI, perché il sistema reagirebbe solo dopo il verificarsi della conseguenza dello scenario, limitandosi a mitigarne gli effetti. Inoltre tutte e tre le azioni del
BPCS sono indipendenti dall’Initiating Event che, in questo caso, si genera a monte della sezione
di processo in esame.
Per processi complessi e che lavorano in continuo, il BPCS rappresenta una protezione relativamente debole: non presenta infatti una particolare ridondanza nelle componenti critiche, ma soprattutto la sua attendibilità è condizionata dal fatto che la sua logica può essere modificata manualmente in maniera relativamente semplice.
La causa più frequente del fallimento di un BPCS è infatti l’errore umano. Ad esempio durante un operazione manuale, l’operatore può bypassare un allarme se la variabile rimane appena sopra il set-point, ma comunque sotto controllo, oppure può modificare i parametri stessi del set-point per non far intervenire il sistema continuamente, durante una fase del processo particolarmente perturbata. Per questo motivo la probabilità di fallimento (PFD) che viene di solito attribuita al BPCS è di 1
10− eventi/anno, un valore relativamente alto.
2.9.4 Allarmi critici e Intervento umano
E’ il secondo livello di protezione e include tutti gli allarmi di processo atti a consentire un tempestivo intervento dell’operatore. Poiché, come si è visto in precedenza, spesso gli allarmi sono gestiti dal BPCS, occorre fare particolarmente attenzione a non commettere l’errore di considerare il sistema come una doppia protezione. Solo gli allarmi indipendenti dal BPCS possono essere considerati come ulteriori protezioni. Inoltre, poiché un allarme non interviene direttamente sul sistema, esso deve essere accoppiato ad una procedura scritta di intervento alla quale l’operatore deve attenersi. Diventa quindi fondamentale il tempo che trascorre tra la generazione dell’allarme e il compimento dell’azione correttiva. Per questo motivo l’allarme deve essere ben visibile e arrivare in una zona sempre presidiata, inoltre il set-point deve essere impostato in maniera tale da consentire all’operatore di rispondere all’emergenza in un tempo adeguato.
Va ricordato che la procedura, per dettagliata che sia, non può mai essere considerata come una ulteriore protezione, ma contribuisce soltanto ad aumentare l’attendibilità dell’intervento
46
umano anche in relazione alla frequenza di accadimento dell’Initiating Event (vedi tabella 2.2). Il “peso” della componente umana è in stretta relazione con il tempo che l’operatore ha a disposizione per intervenire. Di solito la protezione allarme-operatore viene presa in considerazione ai fini dell’analisi LOPA se quest’ultimo ha a disposizione almeno 10-15 minuti per recepire l’allarme, decidere come intervenire e compiere l’azione.
Esistono casi in cui la componente umana può essere ritenuta una protezione indipendente. Ad esempio se durante un’operazione critica l’operatore deve, da procedura, rimanere sempre sul posto e tenere controllata una variabile su un misuratore, egli ha la possibilità di intervenire sul processo quasi istantaneamente, anticipando anche le eventuali azioni del BPCS. Questo tipo di protezione è difficile da valutare in termini di probabilità di fallimento, e quindi, se applicabile, essa viene comunque tenuta come ultima risorsa.
2.9.5 Safety Instrumented System (SIS)
E’ il terzo livello di protezione e svolge le funzioni di emergenza, quali allarmi critici e interblocchi. Non rientrano in questo livello le azioni di regolazione sia automatiche che manuali. Il SIS è completamente indipendente e rappresenta uno strumento di ridondanza per quanto riguarda le azioni critiche svolte dal BPCS. Inoltre è completamente isolato anche dal punto di vista energetico e non deve essere possibile modificarne i parametri. Il SIS rappresenta l’ultima barriera per evitare che si verifichi lo scenario, per cui la probabilità che esso fallisca deve essere resa piuttosto bassa. La scelta del tipo di sistema e del grado di ridondanza delle sue componenti (con i costi che ne conseguono) deve essere fatta in relazione alla complessità del processo e alla portata delle conseguenze degli scenari più gravi. I sistemi SIS vengono classificati secondo il loro livello di integrità (Safety Integrity Levels, SIL) cui corrisponde una diversa probabilità di fallimento (Probabilty of Failure on Demand, PFD):
• SIL 1 1 2 10 10− >PFD≥ − • SIL 2 2 3 10 10− >PFD≥ − • SIL 3 3 4 10 10− >PFD≥ − • SIL 4 4 5 10 10− >PFD≥ −
Durante la fase di progettazione è possibile, tramite l’analisi LOPA, stabilire con certezza i livelli di protezione di cui ha bisogno l’impianto perché il rischio possa ritenersi accettabile. In questo
47
modo è possibile identificare univocamente il livello di integrità che devono avere le componenti del SIS.
Il SIL viene stabilito in base alla PFD delle tre componenti del sistema che sono:
• sensore;
• calcolatore;
• elemento finale.
La PFD della componente sensore dipende dal numero di elementi installati e dalla periodicità delle operazioni di manutenzione. Se si stabilisce che un sensore abbia una probabilità di fallimento di 10-1, inserendo un secondo sensore e facendo lavorare il sistema con una logica 1 su 2, si può arrivare ad una PFD di 10-2. Ciò è possibile a patto che si garantisca che, qualora si manifestasse un guasto su uno di essi, il sistema lo segnali subito e il tempo di riparazione sia molto rapido (dell’ordine di poche ore). Inoltre tali sensori devono essere indipendenti dal BPCS.
Per quanto riguarda l’elemento calcolatore, la PFD dipende dalle componenti hardware e software. I dati necessari possono essere reperiti dalla casa costruttrice, in genere si utilizza una PFD pari a 10-3.
La PFD della componente finale, in genere una valvola on-off, dipende dal numero di valvole che vengono installate sulla linea, dalla periodicità delle operazioni di manutenzione e dal tempo di test, cioè il tempo che trascorre tra due prove di funzionamento dell’elemento. Una valvola soggetta ad alta manutenzione e con un tempo di test dell’ordine di pochi mesi può arrivare a garantire una PFD di 10-2. Se nell’ambito dell’analisi risulta necessaria l’installazione di un SIL 3, occorrerà inserire sulla linea almeno due valvole con le stesse caratteristiche, facendo particolare attenzione alla scelta del tipo di valvole e alla posizione in cui disporle. Se l’azione del SIS deve essere quella di chiudere una linea, ad esempio un’ alimentazione di monomeri durante una polimerizzazione, le valvole dovranno essere di tipo fail-close e disposte in serie, in modo da consentire il taglio della corrente anche in caso di malfunzionamento di uno dei due elementi. Se invece l’azione del SIS deve essere quella di aprire una linea, ad esempio un drenaggio di emergenza, le valvole dovranno essere di tipo fail-open e disposte in
48
parallelo, in modo da consentire l’apertura della linea anche in caso di un malfunzionamento di uno dei due elementi.
Il SIL è calcolato in maniera conservativa tenendo presente la PFD più alta tra quelle delle tre componenti. Di seguito viene riportata una tabella indicativa per la valutazione del SIL.
SIL Sensore Calcolatore Elemento finale
SIL 1 2 1
10 10− >PFD≥ −
Unico o doppio con
una logica 2 su 2 PFD = 10
-3 Valvola singola con
PFD = 10-1 SIL 2 3 2 10 10− >PFD ≥ −
Doppio con una
logica 1 su 2 PFD = 10
-3
Valvola singola con PFD = 10-2 o valvola doppia con
PFD = 10-1 SIL 3 4 3 10 10− > PFD≥ −
Triplo con una logica
2 su 3 PFD = 10
-3 Valvola doppia con
PFD = 10-2
Tabella 2.3: Configurazioni per la valutazione del SIL
Le maggiori multinazionali hanno sviluppato tabelle molto più complesse in cui si tiene conto anche di un altro parametro, cioè la probabilità che il SIS intervenga bloccando il processo, quando in realtà non dovrebbe intervenire. È facile intuire che tale parametro diventa fondamentale soprattutto per i processi in continuo, per i quali una fermata non programmata costituirebbe un danno economico notevole.
49
2.9.6 Esempio di utilizzo del BPCS con un SIL 1
In questo schema di processo il BPCS è rappresentato da un sensore PCI che, al variare della pressione del flusso di gas di alimentazione, agisce sulla valvola pneumatica di regolazione, mentre il SIL 1 è rappresentato da un sensore di alta pressione PSH che, al raggiungimento del set-point, manda un segnale alla valvola automatica on-off che chiude la linea di alimentazione.
Figura 2.9: BPCS Control Loop accoppiato ad un SIL 1
Come si vede dallo schema BPCS e SIS sono completamente indipendenti. Il BPCS svolge la funzione di regolazione del flusso di alimentazione, mentre il SIL 1 ha il compito di bloccare il processo se il valore della pressione diventa critico.
2.9.7 Protezioni dalla sovrappressione
In questo livello di protezione rientrano i dischi di rottura, le valvole di sicurezza e tutti i
dispositivi meccanici che devono intervenire quando la pressione all’interno
dell’apparecchiatura supera un certo valore, che ne mette a rischio l’integrità strutturale. Tali dispositivi offrono un alto grado di protezione per gli scenari di maggior pericolosità, a patto che siano correttamente dimensionati per lo scenario in esame. In genere i dischi di rottura le valvole di sicurezza posti sui serbatoi di stoccaggio, vengono dimensionati tenendo in considerazione lo scenario di incendio esterno, cioè ipotizzando che l’aumento di pressione interna sia dovuto al calore fornito da un incendio che si sviluppa nei pressi del serbatoio. L’apertura del disco/valvola genera la fuoriuscita violenta di gas e liquido trascinato e il
50
dispositivo deve essere dimensionato in maniera tale da permettere lo smaltimento in sicurezza di tale portata in modo da evitare che la pressione interna possa continuare ad aumentare. In letteratura sono reperibili diverse formule per questo tipo di dimensionamento.
Per quanto riguarda i reattori di processo, specialmente quelli in cui avvengono reazioni fortemente esotermiche, lo scenario più pericoloso non è l’incendio esterno, ma diventa la perdita del controllo della reazione che porta all’instaurarsi di un regime autoalimentante (run-away), con la conseguenza di un notevole sviluppo di calore e quindi un aumento repentino della pressione. Il dimensionamento del disco di rottura, data la complessità del fenomeno, diventa estremamente complicato e può essere realizzato solo attraverso prove sperimentali. L’azionamento di un dispositivo di protezione per sovrappressione genera un rilascio in atmosfera di una notevole quantità di materiale tossico o infiammabile, per cui, pur evitando l’esplosione dell’apparecchiatura, diventa esso stesso uno scenario incidentale. Nell’analisi di questo tipo di eventi possono essere prese in considerazione come protezioni, oltre le azioni che prevengono l’aumento della pressione interna, anche i sistemi di mitigazione che consentono di limitare fortemente la dispersione della nube e quindi l’ampiezza dell’area interessata (abbattitori, scrubber, trappole di contenimento etc).
La probabilità di fallimento dei dispositivi di protezione da sovrappressione è in genere bassa e dipende soprattutto dalla possibilità che la sezione di sfogo sia in qualche modo ridotta a causa di incrostazioni o presenza di materiale polimerizzato. La manutenzione di tali dispositivi è in genere scarsa e viene svolta in genere con cadenza annuale, durante la fermata programmata. Per questo motivo difficilmente può utilizzare ai fini dell’analisi un valore della PFD < 10-2.
2.9.8 Protezioni fisiche passive
In questo livello rientrano i sistemi di protezione che non necessitano di un’azione per entrare in funzione e il loro scopo è quello di ridurre, anche notevolmente, le conseguenze dello scenario. In questo senso non vanno a prevenire l’evento, ma, se installate e mantenute correttamente, riducono drasticamente la probabilità che si verifichino conseguenze di vaste proporzioni. Come visto in precedenza (paragrafo 2.8), tali dispositivi possono essere considerati come vere e proprie protezioni solo quando permettono di ridurre la probabilità di accadimento dello scenario di almeno un ordine di grandezza. Per chiarire meglio questo punto può essere ripreso in esame lo scenario di sversamento di metanolo.
51
Lo sversamento di materiale infiammabile avviene all’interno del bacino di contenimento che rappresenta una protezione passiva, in quanto riduce drasticamente l’area della pool-fire. Se si ipotizza che le conseguenze dello scenario investano esclusivamente le due persone che stanno lavorando in quell’area, si comprende come il dike non possa essere considerato come una protezione. Se invece si ipotizza che l’incendio coinvolga anche la cisterna, facendola esplodere, le conseguenze dell’incidente investirebbero un numero maggiore di persone e il bacino di contenimento diventa una protezione, perché il suo scopo è proprio quello di limitare l’estensione delle fiamme.
Altre protezioni passive sono i sistemi di drenaggio, i bunker dove sono stoccati i materiali più pericolosi, i sistemi di isolamento al fuoco, i sistemi anti-detonazione, come messe a terra e valvole di non ritorno.
2.9.9 Reazione all’emergenza all’interno e all’esterno del sito
Sono gli ultimi livelli di protezione e comprendono tutti gli accorgimenti che vengono presi sia all’interno che all’esterno dello stabilimento, per ridurre le conseguenze di uno scenario, ma che non rientrano nel calcolo della probabilità di accadimento, in quanto si attivano solo quando le conseguenze dell’incidente si sono verificate e comprendono tutta una serie di variabili esterne. Nel primo gruppo rientrano la corretta disposizione e accessibilità dei dispositivi antincendio (estintori, manichette ecc.) e di protezione (maschere, auto-protettori ecc.), le procedure di emergenza, l’accessibilità e visibilità delle vie di fuga, i piani di evacuazione, la corretta ed efficace aerazione dei reparti per consentire l’evacuazione di fumi e calore, il rispetto della distanza minima tra due o più stabili che compongono il sito, per evitare il propagarsi di incendi. Nel secondo gruppo rientrano i piani di evacuazione della popolazione circostante e i soccorsi che possono venire dall’esterno.
52
2.9.10 Tabelle riepilogative
Di seguito si riportano alcune tabelle che riassumono le protezioni principali con le rispettive probabilità di fallimento. IPL Descrizione Intervallo storico di PFD PFD normalmente utilizzata Valvola di sicurezza
Previene la sovrappressione del sistema. La sua PFD è legata principalmente al tipo
di sostanze presenti e che si possono sviluppare all'interno dell'apparecchiatura
e dalla severità della manutenzione.
10-1 – 10-5 10-2
Disco di rottura
Previene la sovrappressione del sistema. La sua PFD è legata principalmente al tipo
di sostanze presenti e che si possono sviluppare all'interno dell'apparecchiatura
e dalla severità della manutenzione.
10-1 – 10-5 10-2 Basic Process Control System (BPCS)
Mantiene il controllo del processo, permettendo di visualizzare le variabili di
interesse e intervenendo con azioni automatiche (regolazioni, interblocchi) e
la generazione di allarmi.
10-1
– 10-2 10-1
SIL 1
Interviene sul sistema con azioni di blocco automatico ed è completamente
indipendente dal BPCS.
10-1 – 10-2 10-1
SIL 2
Interviene sul sistema con azioni di blocco automatico ed è completamente
indipendente dal BPCS
10-2 – 10-3 10-2
SIL 3
Interviene sul sistema con azioni di blocco automatico ed è completamente
indipendente dal BPCS.
10-3
– 10-4 10-3
53 IPL Descrizione Intervallo storico di PFD PFD normalmente utilizzata Bacino di contenimento
Diminuisce le conseguenze di uno sversamento riducendo l’ampiezza
dell’area interessata.
10-2 – 10-3 10-2
Sistema di drenaggio
Diminuisce le conseguenze di uno sversamento riducendo l’ampiezza
dell’area interessata.
10-2 – 10-3 10-2
Sfiato non intercettato
Previene la sovrappressione del
sistema. 10
-2
– 10-3 10-2
Isolamento al fuoco
Aumenta il tempo utile di intervento
durante un incendio. 10
-2
– 10-3 10-2
Bunker
Diminuisce le conseguenze di un rilascio gassoso di materiale tossico
confinando la nube. 10-2 – 10-3 10-3 Sistemi anti-detonazione Impediscono la formazione di cariche elettrostatiche. 10 -1 – 10-3 10-2
Tabella 2.5: Protezioni passive
IPL Descrizione Intervallo storico di PFD PFD normalmente utilizzata Azione manuale con tempo di reazione>10min
Azione routinaria e procedurata. 10-1
– 10-2 10-1
Risposta ad un allarme con tempo di reazione>40min
Azione specificata da procedura
di emergenza. 10 -1 – 10-2 10-1 Azione manuale con tempo di reazione>40min
Azione routinaria e procedurata. 10-1
– 10-2 10-1
54
2.10 Calcolo dei crediti e valutazione del rischio
Per effettuare la valutazione del rischio è necessario calcolare quanto le protezioni esistenti possono abbassare la probabilità che lo scenario si verifichi. Per fare ciò si utilizza il concetto di “credito”. La definizione di credito è strettamente legata alla probabilità di fallimento, associata ad ogni singola protezione i, secondo la seguente relazione:
( )
IPL i(
PFD)
icrediti =−log
Una volta valutati i singoli crediti, l’analisi LOPA viene svolta con il calcolo del coefficiente di rischio, relativo allo scenario k, sfruttando la seguente relazione:
( )
∑
− − − − = i i T k E K I k k k TF F F I crediti IPL R dove: k TF è il Target Factor; IE kF è l’opposto del logaritmo della frequenza di accadimento dell’Initiating Event; EF
k
F è l’opposto del logaritmo della frequenza di accadimento dell’Enabling Factor; TaR
k
I è l’indice del Time at Risk:
1 = T k I se TaR<10% 2 = T k I se TaR<1%
A seconda del risultato si possono distinguere due casi:
0 ≤
k
R Le protezioni esistenti sono sufficienti perché il rischio possa definirsi accettabile. Lo scenario si può ritenere “chiuso”.
0 >
k
R Le protezioni esistenti non sono sufficienti e lo scenario rimane “aperto”.
Il valore di R si definisce “gap”. k
A questo punto, affinché il coefficiente di rischio si annulli, è necessario andare a incrementare il numero di crediti. Per fare ciò il team di analisi dovrà stabilire come intervenire sul processo per aggiungere una o più protezioni indipendenti, che permettano di chiudere il gap.
55
2.10.1 Esempio di valutazione del rischio
Si riprende ancora una volta in esame lo scenario di pool-fire causata dallo sversamento di metanolo, durante il trasferimento del liquido dalla cisterna al serbatoio. La configurazione del sistema è quella in cui è installato un blocco automatico della pompa per altissimo livello nel serbatoio.
Descrizione
Durante la fase di scarico di 20 m3 di metanolo dall’autobotte A nel serbatoio B, tramite la pompa P, si verifica un sovra-riempimento del serbatoio con conseguente sversamento di materiale infiammabile dalla valvola di sicurezza nel bacino di contenimento. Lo sversamento è dovuto al fatto che il serbatoio B era già pieno prima di cominciare la fase di scarico, mentre invece l’indicatore di livello LI segnalava un valore basso. Il metanolo sversato trova un innesco dando origine ad una pool-fire. L’incendio coinvolge due persone: l’autista della cisterna e l’operatore addetto allo scarico.
56
Analisi LOPA
TF = 5 il TF è valutato dalla tabella 2.1 in relazione alle persone coinvolte
FIE = -log 10-1 = 1 l’IE è il malfunzionamento di un misuratore (tabella 2.2)
FEF = -log 10-1 = 1 la probabilità di innesco è stata valutata essere pari a 10-1 (par. 2.7) ITaR = 1 il TaR è stato valutato essere pari al 3,3% dell’orario di lavoro effettivo
Protezioni
IPL1 = -log 10-1 = 1 l’azione di blocco è gestita dal BPCS (tabella 2.4)
IPL2 = -log 10-1 = 1 la presenza costante di un operatore (da procedura) garantisce che nel momento in cui il materiale comincia a sversarsi la pompa possa essere spenta manualmente riducendo drasticamente le conseguenze di un incendio
Calcolo del coefficiente di rischio:
( )
∑
= − − − − = − − − − = i i TaR EF IE IPL crediti I F F TF R 5 1 1 1 2 0Il coefficiente di rischio risulta nullo, di conseguenza il rischio associato allo scenario causato da questa causa specifica, può ritenersi accettabile. Dall’analisi si può concludere che il sistema non necessita di ulteriori livelli di protezione.
