DISPENSE PER IL CORSO

DI

AFFIDABILITÀ E SICUREZZA NELL'INDUSTRIA DI PROCESSO PROF. GUIDO SASSI
A.A. 2005-2006

Rappresentazione grafica di un impianto tramite P&I 1. Elementi grafici Apparecchiature Linee di Flusso Strumentazione 2. Cenni di controllo e regolazione 3. Analisi di uno schema di flusso 4. Esercitazione di lettura di P&I complessi e suddivisione in sottosistemi Idrogenazione del Toluene a Benzene Idro-cracking-desolforazione di un gasolio leggero Sicurezza: Gestione del rischio 1. Pericolo e rischio Esercitazione 2. Rischio Esempi ed analisi di incidenti rilevanti Esercitazione 3. Analisi del rischio Individuazione delle situazioni Valutazione delle frequenze di accadimento Valutazione delle conseguenze Analisi Logica del comportamento di un impianto 1. Tecniche di individuazione e di valutazione dei rischi Safety Review (SR, Valutazione di Sicurezza) CheckList Analysis (CLA, Analisi con Liste di Controllo) Relative Ranking (Classificazione Relativo) Preliminary Hazard Analysis (PHA, Analisi Preliminare di Rischio) What-If Analysis (WIA, Analisi Cosa Succederebbe Se) What-If/Cecklist Analysis (WICA, Analisi Cosa Succederebbe Se/Liste di Controllo)

4 4 4 4 5 5 6 6 6 7 9 9 9 10 13 14 15 15 15 15 16 16 16 17 18 19 19 20

1

Hazard and Operability Analysis (HazOp, Analisi di Rischio e Operabilità) 21 Failure Mode and Effect Analysis (FMEA, Analisi della Modalità e degli Effetti di Guasto) 22 Fault Tree Analysis (FTA, Analisi degli Alberi di Guasto) 22 Event Tree Analysis (ETA, Analisi degli Alberi degli Eventi) 23 Cause-Consequence Analysis (CCA, Analisi causa conseguenza) 24 Human Reliability Analysis (HRA, Analisi dell'Affidabilità Umana) 24 2. Analisi di operabilità ricorsiva (HazOp ricorsiva) 25 3. FMEA (Failure Mode & Effect Analysis) 27 4. DSI (Diagramma delle sequenze accidentali) 27 5. Alberi dei Guasti 29 6. Alberi degli Eventi 30 7. Esercitazione di applicazione delle tecniche di analisi: Analisi di un serbatoio di raccolta di acqua 30 Analisi Ricorsiva per la deviazione Livello Alto 31 Diagramma delle Sequenze Incidentali 33 Albero dei Guasti per la Tracimazione 34 Albero degli Eventi Per la Valvola V1 Rotta chiusa 36 Esercitazioni 36 Affidabilità 37 1. Introduzione 37 2. Affidabilità fisica 37 Sollecitazioni 37 Carico e resistenza 38 3. Affidabilità statistica 39 Cenni di calcolo della probabilità e di statistica 39 Definizione di affidabilità e distribuzioni caratteristiche 44 4. Disponibilità 45 Eventi non riparabili 46 Eventi Riparabili Non Denuncianti il proprio stato di guasto 46 Eventi Riparabili Denuncianti il proprio stato di guasto 47 5. Manutenibilità 48 6. Misure di affidabilità 49 7. Valutazione di eventi complessi per sistemi multicomponenti 49 Serie, parallelo e logica maggioritaria 49 8. valutazione delle frequenze di accadimento 49 Pericolosità delle sostanze 50 1. Introduzione 50 2. Tossicità delle sostanze 50 Le vie di introduzione delle sostanze 50 Meccanismi di eliminazione della sostanza 51 Effetti 51 Studi di Tossicologia 52 Valutazione delle risposte in funzione delle dosi somministrate 53 3. Esplosioni (deflagrazioni e detonazioni) e incendi 54 Alcune definizioni 55 Limiti di infiammabilità e di detonalità di miscele gassose e di polveri, Temperature caratteristiche di combustibili liquidi e di polveri 56 Appendice 59 1. Criteri e tecniche di progetto 59 2. Direttiva Seveso 59 3. Aspetti economici 59

2

3

Rappresentazione grafica di un impianto tramite P&I
I P&I (Plant and Instrumentation) sono rappresentazioni grafiche del processo che evidenziano i flussi di informazione e di materia, le apparecchiature in cui si svolgono le operazioni unitarie e le strumentazioni presenti sull'impianto.

1. Elementi grafici Apparecchiature
Le apparecchiature rappresentano i nodi di un grafo, nelle apparecchiature avvengono tutte le trasformazioni e i trasferimenti di materia e di energia. Le apparecchiature sono caratterizzate da flussi entranti e uscenti di materia e talvolta di calore (spesso anche il calore viene considerato tramite flussi di materia dei fluidi riscaldanti e raffreddanti). Le apparecchiature possono venire descritte tramite modelli matematici che correlano le variabili caratterizzanti i flussi in ingresso e in uscita. Questi modelli sono basati su bilanci macroscopici di materia ed energia e su bilanci microscopici e equazioni di continuità. Generalmente le apparecchiature sono rappresentate graficamente tramite un simbolo che ricordi la forma effettiva dell'apparecchiatura reale, tuttavia esistono anche P&I con blocchi quadrati e rettangolari che rappresentano le apparecchiature. Ogni apparecchiatura è contraddistinta da un codice alfanumerico costituito generalmente da una lettera che indica il tipo di apparecchiatura e un numero (in genere di tre cifre) che indica il numero d'ordine dell'apparecchiatura (fra le apparecchiature dello stesso tipo). Le apparecchiature rappresentano modelli di trasformazioni e accolgono le operazioni unitarie legate alla trasformazione stessa.

Linee di Flusso
Materia Le linee di flusso che uniscono fra di loro le apparecchiature sono linee di flusso di materia caratterizzate da uno stato ben determinato, si suppone generalmente che tutte le variazioni di stato avvengano nelle apparecchiature (le linee di flusso non sono quindi in senso stretto le tubazioni di raccordo) anche se in alcuni casi vengono considerate delle perdite di energia nelle linee di flusso (perdite di carico e dissipazioni termiche) con conseguente variazione della temperatura e della pressione (le linee di flusso sono comunque sempre sistemi chiusi anche se non sempre isolati). In genere sono caratterizzate da equazioni di continuità o al limite da bilanci energetici. Ogni linea è contraddistinta da un codice numerico a volte preceduto da una lettera, talvolta sono riportate dei diametri e delle lunghezze che si riferiscono alle tubazioni che nella realtà costituiranno i raccordi fra le apparecchiature. Informazioni Le linee di flusso che uniscono fra loro le strumentazioni o che uniscono le strumentazioni con linee di flusso di materia o con apparecchiature, sono linee di flusso di informazioni. Generalmente sono rappresentate da linee più leggere, tratteggiate o con segni ripetuti lungo lo svolgimento della linea (pallini doppie o triple sbarre trasversali, tilde, etc.). Se sono presenti più rappresentazioni grafiche delle linne di flusso di informazione, generalmente indicano differenti mezzi di trasporto dell'informazione (elettrica, oleopneumatica, pneumatica, digitale). L'informazione trasportata può essere di diverso contenuto. La più comune è una informazione quantitativa proporzionale al valore di una variabile, spesso l'informazione è di tipo logico binario (il valore di una variabile è maggiore o minore di un certo valore di set point (taratura). Raramente sono

4

accompagnate da un codice o da una legenda; viene specificato il contenuto dell'informazione se la linea viene interrotta fra un foglio e l'altro del P&I.

Strumentazione
La strumentazione può avere diverse funzioni, rendere esplicito il valore di una variabile, segnalare il superamento di un certo valore di set point, comandare una apparecchiatura, etc. Le strumentazione sonogeneralmente rappresentate da dei circoli che riportano al loro interno un codice alfanumerico che identifica in modo univoco lo strumento e le sue funzioni. Il codice riporta il simbolo della variabile di riferimento, i simboli delle funzioni dello strumento, il codice di riconoscimento dello strumento (generalmente due numeri di più cifre) e nel caso di flussi in logica binaria un simbolo che indica lo stato di attivazione rispetto allo stato normale (h=alto(high) si attiva quando il valore della variabile è maggiore del valore di taratura; l=basso(low) si attiva quando il valore della variabile è inferiore del valore di taratura) alle volte viene riportato il valore di taratura (in termini assoluti o come percentuale del valore nominale o normale). Nel codice della funzione o nella rappresentazione del simbolo grafico si può a volte leggere la localizzazione dello strumento, a bordo macchina o in sala operativa a quadro. Le variabili più frequentemente incontrate sono: Portata F Pressione P Temperatura T Volumetrica Livello L Pressione Pd Rapporto fra due R Differenziale portate Le funzioni più comunemente incontrate sono: Deviatore (Switch) S Allarme A Registratore R Indicatore I Controllore C

2. Cenni di controllo e regolazione
Il controllo di un impianto serve a fissare i valori delle variabili indipendenti del sistema completo al fine di determinare univocamente lo stato di funzionamento dell'intero impianto. Le variabili controllate sono le variabili indipendenti del sistema, le variabili regolate sono le variabili dipendenti più direttamente legate alle indipendenti. Spesso la finalità del controllo è di regolare il sistema completo in steady state (stato stazionario). La seconda finalità della regolazione è quella di dividere l'impianto in sottosistemi sufficientemente indipendenti al fine di evitare complesse ridondanze nell'azione dei controllori. Le ridondanze potrebbero portare a situazioni di conflitto con conseguente fuoriuscita dal funzionamento normale del sistema. Tuttavia le ridondanze spesso irrobustiscono e stabilizzano il controllore, occorre comunque evitare ridondanze troppo estese. Il sistema di controllo di una variabile viene dimensionato per obbligare (in condizioni di normale funzionamento) i valori di una variabile ad oscillare all'interno di un intervallo considerato normale. La fuoriuscita dall'intervallo comporta l'esistenza di una deviazione dal funzionamento normale. Una deviazione dal funzionamento normale consiste in una fuoriuscita del valore di una variabile dall'intervallo considerato accettabile (sia per variabili indipendenti e controllate sia per variabili dipendenti). Il primo passo nell'individuazione delle variabili da controllare e da regolare è la valutazione dei gradi di libertà del sistema completo (numero di variabili meno numero di vincoli o equazioni). La scelta delle variabili deve essere effettuata fra le variabili osservabili presenti nel sistema con rilevanza rispetto ai fenomeni. Il concetto di osservabile dipende dai tempi di valutazione, dai costi di valutazione, dalla facilità di valutazione, etc.

5

5%). Pd = moli di Prodotto. (T=Toluene. La divisione in sottosistemi non sempre èsemplice. fogli a parte Materie prime: Gas di reforming (Idrogeno al 99. I criteri possono essere: Il sottosistema deve comprendere almeno una apparecchiatura di prima importanza Bisogna tagliare il minor numero possibile di linee di flusso È preferibile tagliare una line di flusso di materia che di informazione Il sottosistema dovrebbe poter essere descritto nel suo funzionamento in modo completo noto lo stato delle correnti di materia entranti nel sottosistema stesso Non sono gli unici criteri adottabili. etc) oppure una certa funzione specifica del processo globale (ricircolo. B=Benzene. x= .3. e una seconda colonna in cui si ottengono toluene che viene ricircolato e difenile. ma non esiste un’unica soluzione e nemmeno una soluzione definibile a priori come ottimale. D=Difenile.596 Per evitare il cocking del toluene il rapporto in moli fra idrogeno e aromatici all’ingresso del reattore deve essere almeno pari a 5. 0. Dalla corrente 1 entra toluene che si miscela con la corrente 2 di idrogeno e viene vaporizzato completamente in Mix-Exc. separazione. 4. immagazzinamento. riscaldamento. H=Idrogeno. Analisi di uno schema di flusso Uno diagramma di flusso strumentato e non per essere analizzato deve essere considerato nel suo complesso e anche valutato nel dettaglio dei suoi componenti. S= (Rg in − Rg out ) ν Rg Rg in Rg = moli di Reagente. Il gas viene separato ad alta pressione per raffreddamento in 2 stadi FLASH 1 e 2 e in parte ricircolato. etc). separazione.Toluene (100%) 2B → D + H Reazioni coinvolte: T + H → B + M . esistono delle regole patiche che aiutano a trovare una soluzione. Per passare dallacomplessità del sistema globale alla semplicità del singolo componente è possibile utilizzare dei sistemi (detti sottosistemi) che individuano certe parti funzionali dell’impianto in cui avviene un determinato processo unitario (reazione. Ogni componente ha un ruolo ben definito che si riflette sul comportamento dell’impianto globale. dopodichè entra nel reattore formando difenile e benzene. M=Metano) La Selettività (S) dipende dal grado di conversione (x) Rg in − Rg fin (Pd in − Pd out ) ν Pd . post e pre trattamento. 6 . Il liquido formato nel raffreddamento viene ulteriormente separato dai gas in una prima colonna e inviato a una seconda colonna i cui si separa il benzene. ν = Coefficiente stechiometrico S = rapporto fra moli di prodotto formato e moli di reagente trasformato x = rapporto fra moli di reagente trasformato e moli di reagente entrante nel reattore Se Rg = Toluene e Pd = Benzene (1150° 500psia) vale la relazione F. occorre comunque sempre adattare l’analisi alla situazione specifica e ritornare nell’approfondimento sulle scelte di suddivisione effettuate. recupero termico.0034 S = 1− (1 − x )1. Esercitazione di lettura di P&I complessi e suddivisione in sottosistemi Idrogenazione del Toluene a Benzene Descrizione Vedi File apposito.

H+M Mix Exc 8. T 5. viene compresso (P101). preriscaldato (E101) e miscelato con la corrente gassosa ricircolata.T+D 10.2 H+M Alta Pressione Flh2 2. Reazioni coinvolte: migliaia di reazioni di cracking. B Reattore 9. E106) e per miscelazione con altre correnti liquide (da P105) o gassose (da C101) con formazione di liquido bifasico che viene separato in D103 in Gas. i composti di partenza non sono completamente noti. integrato con miscela fresca. H+M+T+B+D Flh1 1. preriscaldato (E103. Liquido Organico.1 H+M Bassa Pressione Dis3 Dis2 Dis1 3. E102) e miscelato alla corrente di gasolio. E105. Una corrente di gasolio viene immessa nel serbatoio D101 (può provenire caldo dalla linea a monte o freddo da serbatoi intermedi di polmonazione). T 4. riduzioni in genere. La fase gassosa viene ulteriormente raffreddata con scambiatori (E104. D 11. il Liquido Acquoso viene scaricato come rifiuto.5%). Liquido Acquoso. ci sono alcuni inerti presenti nel gas che non partecipano alla reazione. Il lavaggio del gas consiste in un lavaggio con acqua (T102) e un lavaggio con MEA (Monoetanolammina) (T103) il gas viene depurato dal liquido trascinato in D106. Il Liquido Organico viene inviato alla separazione (T101). con formazione di H2S e altri prodotti acidi e formazione di metano. E103) per integrazione termica di preriscaldamento dei reagenti producendo la formazione di liquido che viene separato in D102 e inviato alla separazione (T101). H+M+T 7. La miscela viene completamente vaporizzata in F101 e immessa nei reattori catalitici (R101 A e B) interrefrigerati (E102). La corrente uscente dai reattori viene raffreddata (E101. gasolio leggero dalla raffinazione Il processo è simile al precedente. Nei reattori avviene una idrogenazione parziale del taglio di petrolio con rottura di alcune molecole.Comp 6. in parte viene spurgato (per allontanare gli inerti) e in parte viene ricircolato tramite il compressore (C101). il gas viene inviato alla sezione di lavaggio per essere ricircolato. 7 . si tratta di pseudocomponenti ovvero di tagli leggeri di petrolio con caratteristiche termodinamiche definibili empiricamente. desolforazione. T+B+D Divisione in sottosistemi Idro-cracking-desolforazione di un gasolio leggero Descrizione Vedi schemi del processo Materie prime: Gas di reforming (Idrogeno al 99. H+M Split 5.

Il prodotto di coda può essere in parte utilizzato per preriscaldare l’alimentazione fredda proveniente dai serbatoi di polmonazione che viene filtrata (F101) prima di essere inviata a D101.I Liquidi Organici provenienti da D102 e D103 vengono rettificati in corrente di vapore in T101 con la produzione di u prodotto pesante in coda e un prodotto leggero misto ad acqua in testa. Il prodotto di coda viene raffreddato (in un recuperatore di calore E109 che produce vapore e in E110 ed E112) e allontanato come prodotto pesante. Divisione in sottosistemi Come sottosistemi funzionali si possono individuare: Pretrattamento liquido Preriscaldamento e vaporizzazione della miscela Reazione e raffreddamenti Separazione gas-liquido Lavaggio e Ricircolo del gas Separazione prodotti Recupero termico 8 . E108) separato dalla fase acquosa in D104 e allontanato in parte come prodotto leggero e in parte riflussato in testa alla colonna T101. Il prodotto leggero viene condensato (E107.

Viene evidenziata la distinzione fra pericoli e rischi e viene effettuata una valutazione soggettiva del livello di pericolo e di rischio. sono finalizzate a far coincidere il pericolo al rischio. Il pericolo può quindi essere considerato come l percezione soggettiva del rischio.). La Sicurezza si occupa della prevenzione dai danni. Occorre valutare il rischio e quindi valutare le variabili da cui dipende per riuscire a stimare l’accettabilità o meno dela presenza di una possibilità di accadimento di un evento. La previsione dell’entità dei danni è quindi legata alla dannosità specifica dell’evento e al numero di volte che si prevede che l’evento si verifichi. La non desiderabilità degli eventi dipende dall’entità dei danni che essi provocano. che sono uno dei cardini della Gestione della Sicurezza. ma mentre il pericolo può essere indotto. il rischio è un valutazione oggettiva della possibilità di subire dei danni. ovvero il tempo di esistenza del sistema che viene considerato (tempo di vita del sistema) oppure a un tempo legato alle verifiche di sicurezza effettuate sul sistema (tempo di test) ovvero la manutenzione ordinaria e straordinaria. film del terrore. in buona sostanza la formazione e l’informazione. alcuni eventi peggiorano lo stato e sono considerati non desiderabili. racconti.Sicurezza: Gestione del rischio Ogni evento che accade comporta la modifica dello stato esistente.) il rischio diminuisce se l’informazione ricevuta è corretta. se chi è esposto al danno è tranquillo. effetti scenici. contesto suggestivo. terrorismo per scopi ludici (scherzi. la valutazione dell’entità del danno è molto soggettiva. Formarsi una corretta opinione basata su informazioni e formazione circostanziate e controllate (di cui sia accertata la fonte primaria) è l’unico modo per aumentare la propria Sicurezza e non restare in balia degli eventi. aumentato o diminuito dalla semplice suggestione (notizie sui giornali. La numerosità attesa di accadimento dell’evento dipende dalla probabilità di accadimento dell’evento e dal tempo di vita del sistema. etc. rumori. case delle streghe. L’entità dei danni che misura quanto non sia desiderabile un evento dipende dall’entità dei danni che si ottengono ogni volta che si verifica l’evento e dalle volte che l’evento si verifica. La 9 . In definitiva definendo il rischio come una misura della dannosità di un evento si può affermare che esso debba dipendere da: • Dannosità specifica • Tempo di riferimento (tempo di vita del sistema o tempo di test) • Numerosità attesa di accadimento dell’evento nel tempo di vita del sistema • Probabilità di accadimento dell’evento La riduzione o la limitazione del rischio sono le finalità della Sicurezza. Pericolo e rischio Pericolo e rischio sono valutazioni dei danni che si potrebbero subire a seguito dell’accadimento di un determinato evento. etc. il tempo di riferimento può corrispondere al periodo in cui l’evento può verificarsi. Molto spesso il pericolo viene gestito in modo da pilotare il comportamento delle persone (terrorismo). in modo da avere le sensazioni corrispondenti all’effettiva potenzialità del danno a cui si è esposti. se chi è esposto al danno è cosciente del rischio che sta correndo. Sia il pericolo che il rischio dipendono dallo stato d’animo di chi è esposto al danno. il pericolo è una sensazione soggettiva dell’imminenza di un danno. 1. Esercitazione Questa esercitazione è finalizzata a focalizzare l’attenzione dello studente sui pericoli e sui rischi con cui convive quotidianamente. terrorismo per scopi politici (gestione dell’informazione per pilotare il voto e l’opinione delle persone). Il numero di volte non può prescindere da un tempo di riferimento.

la frequenza di esposizione. etc. temporali. sentire il pericolo di menomazioni o di perdite finanziarie potrebbe portare a una valutazione meno elevata. La possibilità di accadimento dipende da molte variabili spaziali. viene valutata la frequenza di accadimento. 1 sicuramente possibile. Nel rischio viene coinvolto un aspetto meno emotivo. L’insieme di queste grandezze porta alla valutazione di un indice relativo. studio. se la temperatura è maggiore della temperatura di flame la fiamma può propagarsi. 0 sicuramente impossibile. tensione.) a ogni voce associare un valore da 1 a 10 di dimensione del rischio. chimiche e fisiche. la valutazione è relativa alla sensazione provata al momento al di là dell’effettiva probabilità che l’evento si verifichi o meno (una sensazione di pericolo può essere indotta virtualmente). la magnitudo dell’evento dannoso possibile. 10 . spavento.valutazione è completamente soggettiva e viene determinata dalla sensibilità dello studente. Rischio Il rischio può essere definito come la dannosità di un evento ovvero la quantità di danni che l'evento potrebbe arrecare nell'unità di tempo. divertimento. Ad esempio l'incendio di un liquido ha una possibilità di accadimento che dipende dalla temperatura ovvero se la temperatura è inferiore della temperatura di flash la fiamma non può propagarsi. presente o scampato) a ogni voce associare il nome della sensazione (paura. Le grandezze che influenzano il rischio di un evento sono la possibilità che avvenga. dormire. 2. • Fare un elenco dei rischi a cui si è esposti quotidianamente nello svolgimento della propria attività (sport. Una sensazione di pericolo elevata corrisponde ad una valutazione elevata.1]. La stima della possibilità di accadimento può essere effettuata tramite una funzione di appartenenza che definisce il grado di appartenenza (GM) dell'evento all'insieme degli eventi possibili (GM∈[0. • Fare un elenco dei maggiori pericoli corsi durante la propria vita (le situazioni in cui ha avuto coscienza di un possibile danno. spostamenti. in logica classica binaria solo i due valori estremi vengono considerati). Ad esempio sentire in pericolo la propria vita corrisponde ad una valutazione elevata. etc.) e un valore da 1 a 10 di intensità della sensazione. lavoro. mangiare. Viene richiamato il concetto di magnitudo. il periodo di esposizione. la probabilità che avvenga e la sua non desiderabilità.

La stima della non desiderabilità coincide quindi con la stima dei danni previsti. il verificarsi o meno di certe modalità di accadimento dell'evento indesiderato (esplosione di serbatoi a seguito di un precedente evento indesiderato che abbia provocato un incendio). ore lavorative perdute. Propagazione e Terminazione. Possibili interventi di limitazione del rischio possono essere indirizzati verso una delle due grandezze oppure ad entrambe.GM 1 0 Flash Flame Temperatura Possibilità di incendio di un combustibile liquido La valutazione della probabilità di accadimento di un evento possibile può essere affrontata in termini affidabilistici modellando il sistema dal punto di vista delle connessioni logiche e considerando l'evento indesiderato come combinazione logica di eventi elementari che coinvolgono i malfunzionamenti dei componenti del sistema considerato. La seconda è la magnitudo dell'evento ovvero la stima dei danni espressa come valore dei danni subiti a seguito dell'evento o come numero di fatalità (morti). R=f(E)M(E) Il tasso di accadimento riassume tutte le grandezze legate alla possibilità e alla probabilità di accadimento dell'evento mentre la magnitudo tiene conto della non desiderabilità dell'evento. Ad esempio: la presenza o meno di personale direttamente o indirettamente esposto al rischio. 11 . Anche in questo caso ci si può ricondurre a stime di possibilità e di probabilità di danno. L'aumento di disponibilità dei componenti agisce solo sul tasso di accadimento mentre la disposizione spaziale delle apparecchiature e la loro protezione con muri e vasche di contenimento modificano la magnitudo. Esistono quindi dei danni diretti coinvolti nell'accadimento dell'evento indesiderato e dei danni indiretti provocati dall'accadimento dell'evento indesiderato. eccetera. La scelta di determinate procedure di manutenzione o di materie prime o cammini di reazione possono agire su entrambe le grandezze. La probabilità di accadimento dell'evento indesiderato risulta quindi essere una funzione delle disponibilità dei singoli componenti. La non desiderabilità di un evento dipende essenzialmente dalla quantità di danni che l'evento potrebbe provocare nel momento in cui accadesse. numero di feriti. La prima grandezza è il tasso (anche detto frequenza) di accadimento dell'evento ovvero la probabilità di accadimento dell'evento nell'istante successivo all'istante considerato posto che non sia accaduto fino ad allora. Il rischio viene generalmente espresso come prodotto di 2 grandezze che tengono conto degli aspetti fondamentali legati ad esso.Un evento catastrofico può essere considerato suddiviso temporalmente in tre eventi: Inizio.

Vasche e e limitazione alla di contenimento. Impiego di materiali ignifughi Terminazion Aumento Sistemi di Antincendio. Riduzione degli immagazzinamenti di sostanze pericolose. propagazione delle Limitazione di conseguenze Immagazzinamento di sostanze pericolose. dischi di sistemi di sicurezza rottura. Sistemi di e spegnimento rilevamento. circuiti di Blow down Propagazion Diminuzion Organi di Muri di contenimento. sistema Procedure di manutenzione ordinaria e straordinaria rigorose Sistemi di controllo Sistemi di Shut down secondari Introduzione di Valvole di ritenzione. limitazione dei fattori umani coinvolti. protezione dagli agenti chimici pericolosi Aumento della Modifica e ridondanza di disponibilità del componenti e sottosistemi. Sistemi automatici di Shut off. Sistemi di Shut down Effetto Procedura desiderato Diminuzion Modifiche e processo Esemplificazione Metodologie di Prevenzione del rischio. Programmi di sicurezza Individuazione del Analisi logica cause conseguenze ed rischio individuazione degli eventi indesiderati possibili Valutazione del rischio Modellazione logica e stima delle frequenze e magnitudo degli eventi indesiderati Procedure normali Definizione delle modalità di comportamento durante il funzionamento normale del sistema Procedure di Definizione delle modalità di comportamento emergenza durante il funzionamento anormale del sistema Controllo Verifica del rispetto delle procedure Informazione Corsi di formazione del personale. Distribuzione spaziale delle apparecchiature (Layout).Metodi di Limitazione e Riduzione del rischio Evento Inizio di Eliminazione di sostanze pericolose. Cartelli informativi 12 . Riduzione della drasticità delle condizioni di processo Modifiche Impiego di linee e strumenti progettuali anti esplosione. Antincendio.

Ed. Crowl. non c'erano tutti gli impiegati nelle palazzine degli uffici Seveso. 1821 appartamenti danneggiati. J. cap 1. Gough. La sostituzione è stata effettuata con un tubo flessibile di sezione ridotta rispetto ai tubi di collegamento fra i reattori (20" contro 28") perchè disponibile a magazzino. pp 1-21 V.9bar). 1989. Gugger. Esempi ed analisi di incidenti rilevanti Flixborough.s. Shild. Milano. 70000 ton/anno. Weber. pp 187 IV. 155ºC. Prentice Hall. Rischi potenziali. sicurezza e protezione ambientale nell'industria chimica. cap 16. ibidem. 36 feriti. Chemical process safety: fundamentals with applications. Volkman. 1990. 7 m3 benzene. 1976 • Caratteristiche temporali: Sabato 10 Luglio 13 .9bar alle condizioni atmosferiche vaporizza completamente. Heering.F. M. 15 m3 nafta. Milano. • Aspetti conduttivi: Alcuni mesi prima il reattore No. De Kaan.Parametri di valutazione del rischio Indice Scal a OSHA Incident Rate Numero di menomazioni o 2⋅ (menomazioni e malattie) malattie per ore totali lavorate 105 OSHA Incident Rate (giorni Numero di giorni lavorativi perduti 2⋅ lavorativi perduti) per ore totali lavorate 105 FAR (Fatal Accident Rate) Numero di morti per ore totali 108 lavorate Fatality Rate Numero di morti per numero di 1 persone coinvolte su base annua Definizione OSHA = Occupational Safety and Health Association I. 6 reattori di ossidazione di cicloesano (20 ton ciascuno. dopo 45 secondi una causa ignota ha innescato la nube. Readings in risk. D. 1988.S. impianto distrutto. pp 9-17 III.. 1990. 10 giorni di incendio. Pasquon. 3 m3 toluene.. esplosione della nube.1 m3 benzina). Esterne: 53 feriti. 1961.5 ha iniziato a perdere a causa di una fessurazione longitudinale del vessel in acciaio inox. Resources for the Future. • Commenti: Scarsa attenzione alle caratteristiche di sicurezza nella progettazione dell'intervento Eccessivo immagazzinamento di materiale infiammabile Fortunatamente era sabato. Prahl. 167 negozi danneggiati. cap 1. • Incidente: Fuoriuscita di 30 ton di cicloesano. Inoltre non si è provveduto sufficientemente al sostegno statico del flessibile considerato autoportante. Müller. formazione di una nube di vapore. Immagazzinamento di infiammabili (100 m3 cicloesano. 7. T. la sostituzione del reattore con un tubo di by pass era stata decisa in base alla valutazione delle rese di reazione. • Conseguenze: Interne: 28 morti (18 in sala controllo). Ghersini. il cicloesano da 155ºC 7.1974 • Caratteristiche temporali: Sabato di Giugno • Caratteristiche di processo: Produzione di caprolattame. Englewood Cliffs NJ. La sicurezza nell'industria chimica. Washington II. Louvar. CLUP.A. 0. Glickman.

• Caratteristiche di processo: Produzione di esaclorofene da triclorofenolo. • Incidente: 1) per cause ignote si è verificato un inquinamento da acqua e altro in un serbatoio di MIC. Si consiglia tuttavia di trovare con i colleghi una armonizzazione che permetta di confrontare e di unire le informazioni ricavate da persone diverse. Inoltre si vuole costruire una banca dati (non esaustiva e ridotta) degli incidenti in modo da poter effettuale delle valutazioni statistiche sugli incidenti. La scelta delle informazioni e della loro struttura è libera. effetti: provoca cloroacne. TLW-TWA 0. 2000 persone ancora oggi sotto sorveglianza medica (verificate malformazioni di feti e effetti mutageni superiori alle medie). reazione esotermica con acqua. 600 persone evacuate. Particolare attenzione dovrà essere dedicata agli incidenti sul lavoro e agli incidenti rilevanti. l'informazione sia del personale. • Aspetti conduttivi: Il sistema si trovava in stato di non funzionamento per ragioni sindacali. Esercitazione Questa esercitazione è finalizzata a sensibilizzare lo studente verso gli incidenti che occorrono giornalmente. sottoprodotto di reazione TCDD(tetraclorodibenzoparadiossina. Il disco di rottura ha sfiatato all'esterno. bp 39ºC. • Incidente: Fuoriuscita di circa 2 kg di TCDD in forma di nube. 2) la reazione ha portato ad un aumento incontrollato del serbatoio con conseguente aumento di pressione. all'ultimo turno del venerdì la reazione è stata fermata. Po 0. In sostanza il processo non era da utilizzare e le procedure dovevano essere rispettate. dai quotidiani. • Commenti: Non esisteva nessun sistema di blow down. fuori dal controllo la reazione ha modificato le rese e ha comportato un aumento della pressione della temperatura. Bhopal. • Le informazioni devono essere strutturate in dati numerici e qualitativi in modo da identificare la tipologia di incidente e la sua rilevanza. malformazione dei feti) • Aspetti conduttivi: La reazione avveniva in discontinuo. più di 20000 intossicati • Commenti: Eccessivo immagazzinamento di MIC. 4) lo scrubber a umido di blow down non era in funzione. 1984 • Caratteristiche temporali: Lunedì 3 Dicembre • Caratteristiche di processo: Produzione di pesticidi. intermedio di reazione MIC (metilisocianato. 5) la torcia di blow down non era in funzione. 3) la valvola di sicurezza ha sfiatato nell'apposito sistema di blow down. sia delle autorità. non esistevano piani di evacuazione. la pioggia ha provocato la sua ricaduta al suolo su un'area di circa 25 km quadrati • Conseguenze: Interne: L'impianto e le zone limitrofe sono a tutt'oggi non utilizzabili Esterne: 250 intossicazioni gravi. dose letale 10-9 kg/kg 0.45 bar a 20ºC) serbatoi refrigerati con 25 ton di MIC. le informazioni riguardanti gli incidenti.1mg per un uomo di 100 kg. sia dei civili era praticamente nulla a riguardo dei rischi. 14 .02 ppm. per l’intero periodo del corso. ma soprattutto esistono schemi di reazione alternativi che evitano la formazione di composti così tossici. 6) 25 ton di MIC si sono riversate in atmosfera dal camino della torcia in forma vapore. • Raccogliere. • Conseguenze: Interne: Nessuna (perdita del prodotto intermedio) Esterne: circa 2000 morti. TC50 21 ppm. il sistema di blow down non funzionante. Sebbene nel 1963 ci fosse stato un incidente analogo a Dhufar in India (200 g) non è stato considerato il rischio di rilascio.

ecc. D. poco ricorrenti e di grande impatto. Crowl. J.A.. locale chiuso. i danni alle persone. tramite la valutazione di un esperto o di un gruppo. La frequenza può essere determinata seguendo due strade: una valutazione qualitativa ed euristica. Modarres. Conoscendo la probabilità di accadimento degli eventi semplici si può calcolare tramite un algoritmo (secondo l'algebra booleana o l'algebra sfumata o altra algebra decisionale) la probabilità di accadimento dell'evento indesiderato in un determinato periodo di tempo. Valutazione delle conseguenze La valutazione delle conseguenze deriva da una analisi dettagliata dell'evoluzione dell'evento indesiderato considerando tutti i sistemi di riduzione della magnitudo dell'evento. Ibidem. cap 7. stagione. montagna. Nel primo caso la valutazione della probabilità di accadimento dell'evento complesso consiste in una analisi di situazioni simili a quella in esame e a una deduzione in ragionamento approssimato di quella che potrebbe essere la frequenza di accadimento dell'evento. ecc. Louvar.. degli effetti cinetici e dei materiali coinvolti. 1993. Ibidem. Sono generalmente modelli molto complessi e scarsamente generalizzabili. • Il fattore umano legato all’incidente: il numero di persone coinvolte. orario. pp 308-402 15 . incidenti rilevanti. si procede a una analisi logica dettagliata dell'evento scomponendolo in eventi semplici connessi logicamente fra loro.Le informazioni in base alla classificazione che si vuole studiare devono riguardare (Lo stesso incidente può appartenere a diverse classi): • La localizzazione dell’incidente: località.. cap 10-13. Per questo tipo di analisi vengono costruiti dei modelli descrittivi che permettano di simulare questa evoluzione. I. e una valutazione che discende da una valutazione statistica della probabilità di accadimento di eventi semplici che formano l'evento complesso. pp 297-330 II. incidenti domestici. fattori ambientali (strada. Per situazioni semplici di elevata ricorrenza si utilizzano dati storici che permettano una valutazione approssimata tramite deduzioni euristiche della similitudine delle situazioni. incidenti sul lavoro. incidenti stradali. • I danni alle cose 3.F. Sono necessariamente modelli dinamici che tengono conto della geometria del sistema. ecc) .. Si usano solamente per situazioni particolari.. Valutazione delle frequenze di accadimento La frequenza di accadimento è un momento successivo all'individuazione delle situazioni possibili di pericolo. 1990. • La tipologia di incidente (Es. Nel secondo caso. • La temporizzazione dell’incidente: data. ecc). Molte tecniche sono state messe a punto per iniziare e approfondire questa analisi logica del comportamento dell'impianto. impianto chimico. M. Analisi del rischio Individuazione delle situazioni L'individuazione del riscio viene effettuata con una analisi approfondita del sistema sia da un punto di vista logico che da un punto di vista funzionale.

Molto utili anche per l'identificazione delle situazioni di rischio su cui possono essere applicate tecniche di analisi più sofisticate. Una ulteriore analisi può essere prevista per la verifica del raggiungimento degli obiettivi. Viene preferibilmente applicata ad un impianto esistente e coinvolge una ispezione (walking through) dell'impianto che varia dalla visita informale con valutazione visuale delle procedure a una valutazione formale tramite una squadra di esperti che può durare più di una settimana. 2) effettua le necessarie revisioni delle procedure. Loss Prevention Review. La SR è fortemente basata sulla cooperazione di tutti gli operatori. HazOp Analysis e FMEA) sono scelte eccellenti per analizzare un ampio spettro di rischi durante la fase di progetto e le operazioni di routine. PHA. o nuove issues di sicurezza). 4) valuta le basi di progetto del controllo e dei sistemi di sicurezza. Affidabilità Umana). Per processi non operativi può essere l'analisi deve essere limitata alla valutazione dei disegni di progetto (P&I). La SR è generalmente focalizzata sulle situazioni di rischio più rilevanti. e What-If Analysis) sono efficienti per una visione "broad brush" per grandi impianti o processi complessi. Relative Ranking. La responsabilità per implementare le azioni correttive resta ai manager dell'impianto Risorse necessarie 16 . Design Review. le operazioni e la manutenzione soddisfano gli intenti di progettazione e gli standard di realizzazione. Safety Review (SR. è anche chiamata Process Safety Review. Altre tecniche (What-If/Checklist Analysis. La SR deve generalmente essere affiancata ad altre tecniche di valutazione dell sicurezza (quanto meno ispezioni visuali delle routine). Ulteriori tecniche (Analisi tramite: Alberi dei Guasti e degli Eventi. Vengono presentate 12 tecniche con diverse peculiarità che possono essere appropriate in differenti circostanze di analisi. delle responsabilità di esecuzione e dei tempi di attuazione. e altro). manutentori. Valutazione di Sicurezza) Descrizione È la prima tecnica storicamente utilizzata.Center for Chemical Process Safety) ha pubblicato le linee guida per le procedure di valutazione del rischio. manager. Finalità La SR può essere usata per verificare se l'impianto. Il risultato consiste in un elenco di azioni raccomandabili. Checklist Analysis. Causa-Conseguenze. 3) cerca di identificare situazioni di rischio fuori dal normale comportamento del processo. ingegneri. responsabili della sicurezza. Il rapporto finale può includere anche deviazioni dalle intenzioni progettuali (procedure e tecnologie innovative. Una tipica SR prevede delle Interviste agli operatori (operai. della loro giustificazione. Utilizzando queste tecniche in un valutazione iniziale del processo (pre commissioning) incrementa notevolmente l'efficacia economica degli sforzi di incremento di sicurezza. Tipo di Risultati Sono descrizioni qualitative dei potenziali problemi di sicurezza e dele azioni correttive suggerite. 6) valuta l'adeguatezza della manutenzione e delle ispezioni di sicurezza. Tecniche di individuazione e di valutazione dei rischi L'AIChE (American Institute of Chemical Engineers .Analisi Logica del comportamento di un impianto 1. Inoltre 1) segnala al personale i rischi del processo. 5) valuta le conseguenze dell'applicazione di nuove tecnologie sui rischi esistenti. Alcune tecniche (Safety Review.

Analisi con Liste di Controllo) Descrizione Una CheckList Analysis usa una lista scritta di item o passi procedurali per verificare lo stato di un sistema. Il personale assegnato a una SR deve essere molto pratico delle procedure e degli standard di sicurezza. Molte organizzazione hanno sviluppato delle Checklist standard per il controllo dello sviluppo di un processo e hanno il duplice scopo di controllo e informativo. di manutenzione e di emergenza. Il tipo di valutazione può essere molto variabile da semplici valutazioni a profonde introspezioni. No. normali. Richiede Ulteriori Informazioni). I risultati qualitativi variano da situazione a situazione. rapporti di incidenti personali. Impianto piccolo semplice grande complesso Preparazione o 2-4 ore o 1-3 giorni Valutazione 6-12 ore 3-5 giorni Documentazione 4-8 ore 3-6 giorni CheckList Analysis (CLA. È spesso un metodo a basso costo per l'identificazione di rischi gia verificati in casi analoghi. test delle valvole di sicurezza. Può variare notevolmente il livello di dettaglio e sono generalmente utilizzate per indicare il raggiungimento di standard e pratiche di sicurezza. Non Applicabile. studi di sicurezza precedenti. Tipo di Risultati Vengono create dalla definizione di progettazioni standard o operazioni pratiche sulla base delle differenze o delle inadempienze vengono stilate delle domande alle quali viene accoppiata una risposta tipo (Si. rapporti suincidenti a rischio rilevante. La conoscenza di queste inadempienze porta ad una lista facilmente sviluppabile di possibili alternative che migliorino il grado di sicurezza. diagrammi di flusso quantificati).Devono essere disponibili: codici e standard applicabili. Sono semplici e possono essere utilizzate ad ogni stadio di realizzazione di un processo. caratteristiche delle sostanze e dei materiali coinvolti nel processo. Risorse necessarie È necessaria una checklist appropriata. descrizioni dettagliate dell'impianto (P&I. di fermata (shut down). rapporti di manutenzione (verifica di strumenti critici. ma generalmente portano a decisioni (Si o No) a proposito del raggiungimento degli standard. Spesso sono create come semplice riorganizzazione dei dati noti e devono essere costantemente aggiornate. Una checklist fornisce la base per una valutazione standard dei rischi di processo ed è generalmente accoppiata ad altre tecniche di valutazione del rischio. Impianto Preparazione Valutazione Documentazione piccolo o 2-4 ore 4-8 ore 4-8 ore semplice 17 . Finalità Il loro scopo primari è la verifica del rispetto delle procedure pratiche standard. Sela checklist non è disponibile da un lavoro precedente è necessario stilarne una. un manuale operativo e qualcuno che abbia conoscenze di base sul processo. L'analista deve essere un soggetto differente dallo stilatore della checklist. ispezione dei recipienti in pressione). Sono limitate dalla esperienza dei compilatori e necessitano quindi di una squadra con differenti background. procedure di avviamento (start up). Usate in unione con altre tecniche possono analizzare situazioni che la sola checklist non sarebbe in grado di individuare. una procedura di progettazione standard.

sulle condizioni di processo. Substance Hazard Index (SHI. Altri metodi: ICI Mond Index (per rischi chimici. Finalità La principale finalità dell'utilizzo del metodo di Relative Ranking è di determinare le aree o le operazioni di processo che hanno la maggiore rilevanza rispetto al rischio. sulla disposizione delle apparecchiature e localizzazione dell'impianto e su altri fattori. grafi. La base del metodo sono tre domande essenziali: 1) Cosa può andar male? 2) Come può avvenire? 3) Quali potrebbero essere gli effetti? La filosofia di approccio è di indirizzare queste domande alla determinazione dell'importanza relativa. Alcune standardizzazioni della metodologia sono state svluppate per differenti campi applicativi. Il CEI è basato su 5 fattori (tossicità. dipendono dalla tecnica impiegata per l'analisi. Tutto dipende dalle dimensioni del sistema. operazioni. Il Dow Fire and Explosion Index (F&EI) è stato sviluppato per la valutazione dei rischi di esplosione e incendio in molte zone in cui siano presenti facilities di processo. Impianto Preparazione Valutazione Documentazione 18 . esplosion e incendi). apparecchiature. EPA TPQI (Threshold Planning Quantity Index). etc. Il processo viene suddiviso in unità a cui vengono assegnati indici basati sulle caratteristiche chimiche fisiche dei materiali. in termini di rischio. variabili di processo). Risorse necessarie Sono necessarie conoscenze di base sui dati chimici e fisici delle sostanze coinvolte. Sono invece indispensabili inventari di massima dei materiali. Dow Chemical Exposour Index (CEI) (per valutare i rilasci potenziali di sostanze chimiche). Altri risultati come indici. OSHA occupational safety and health administration e API american petroleum institute). fattori di scala. Tipo di Risultati Il risultato è una lista ordinata di processi. L'analista fornisce delle valutazioni numeriche del livello di effettiva importanza associata ad ogni rischio. I differenti indici producono un punteggio per il F&EI e ogni unità di processo ottiene un valore finale del F&EI. Questa procedura può essere utilizzata anche per confrontare diverse opzioni per la localizzazione di un impianto. La strategia permette di confrontare gli attributi di processi e/o attività per determinare se posseggono caratteristiche di rischio che giustifichino ulteriori approfondimenti. materiale volatile disponibile. Il Relative Ranking dovrebbe essere applicato nei primi stadi di sviluppo di un processo prima del completamento il progetto di dettaglio e nelle prime parte di vita del processo. Una indagine di questo tipo può essere condotta anche da un singolo analista. tossicologici. attività.grande complesso o 1-3 giorni 3-5 giorni 2-4 giorni Relative Ranking (Classificazione Relativo) Descrizione È più una strategia di analisi che un singolo e ben definito metodo. Molte compagnie hanno elaborato i loro indici specifici. il posizionamento di una apparecchiatura o progetti di massima. Spesso è meglio avere un analista esperto interfacciato con personale esperto nei singoli campi o unità. dei processi e delle attività prima di implementare valutazioni addizionali e più costose del rischio. pesi molecolari. le condizioni di processo utilizzate nell'impianto. Questa lista potrebbe contenere alcuni livelli stratificati di rilevanza. non sempre sono necessari disegni dettagliati delle apparecchiature e del processo. punteggi. distanza di ogni area. la distribuzione geografica dell'immagazzinamento dei materiali. Questi risultati devono essere sempre accompagnati da una ulteriore valutazione che fornisca robustezza ai risultati.

Richiede all'analista di adattare i concetti di base della sicurezza al problema specifico. testing.. Interfacce fra i componenti del sistema). Impianto Preparazione Valutazione Documentazione piccolo o 4-8 ore 1-3 giorni 1-3 giorni semplice grande o 1-3 giorni 4-7 giorni 4-7 giorni complesso What-If Analysis (WIA. Normalmente viene utilizzata per la valutazione di processi in cui siano poche le informazioni riguardo la sicurezza. Tipo di Risultati Fornisce una descrizione qualitativa dei rischi relativi al progetto di un processo e una lista ordinata delle situazioni di rischio utilizzabile per dare priorità alle raccomandazioni per interventi mirati al miglioramento della sicurezza. Tutte le domande vengono riportate su supporto cartaceo. È anche comune utilizzarla per la revisione del progetto prima dell stesura del P&I. Una PHA formula una lista di rischi e situazioni generiche di rischio considerando sei caratteristiche di processo.. Risorse necessarie L'analista deve avere accesso ai criteri progettuali. (Materie prime e intermedie e prodotti finali caratteristiche specifiche e interazioni. Disposizione delle facilities. Analisi Preliminare di Rischio) Descrizione Deriva dalle procedure studiate dall'esercito americano. ma è spesso usata nei primi stadi di sviluppo del progetto e nelle prime parte di vita del processo. Apparecchiature. Uno o più analisti assegnano un livello di criticità ad ogni situazione ipotizzabile. Il valore del livello viene utilizzato per creare delle priorità fra le raccomandazioni di miglioramento della sicurezza. Utile nelle fasi iniziali dello sviluppo del processo quando le informazioni sono scarse. specifiche delle apparecchiature e dei materiali e altre fonti di informazione. protezione incendi. Le domande vengono classificate e ordinate in specifiche aree di interesse (sicurezza elettrica. Sono sufficienti una o due persone con una buona conoscenza dei problemi di sicurezza. Ogni area viene sviluppata da una 19 . Attività operative.?" (Cosa succederebbe se la pompa A si fermasse durante l'avviamento?) comunque ogni aspetto può essere proposto anche in forma non canonica (Vorrei discutere sull'introduzione di materie prime diverse da quelle prescritte). informatico o su una lavagna. è focalizzata genericamente sui materiali impiegati e sulle principali aree processuali dell'impianto. Finalità La PHA è spesso usata per valutare rischi nelle prime fasi di sviluppo di un processo ovvero durante il progetto concettuale e la fase di ricerca e sviluppo.. manutenzione. Ci sono poche notizie su questa metodologia. sicurezza personale). La What-If Analysis incoraggia la squadra a pensare a domande strutturate in "Cosa succederebbe se.piccolo semplice grande complesso o 2-4 ore o 1-3 giorni 4-8 ore 3-5 giorni 4-8 ore 3-5 giorni Preliminary Hazard Analysis (PHA. Ambiente operativo. Analisi Cosa Succederebbe Se) Descrizione È un approccio brainstorming (tempesta di cervelli) in cui un gruppo di persone esperte del processo a diverso titolo pone domande o riporta voci a proposito di possibili eventi indesiderati. etc.

Analisi Cosa Succederebbe Se/Liste di Controllo) Descrizione Combina la creatività dell'analisi WhatIf con la sistematicità dell'analisi a Checklist. La completezza dell'analisi è sufficientemente assicurata dalla duplice azione dei due componenti l'analisi ma è comunque affidata all'esperienza della squadra. la parte della WhatIf incoraggia alla considerazione di nuove possibili situazioni ed eventi accidentali mentre la Checklist procede in modo sistematico attraverso l'impianto. comprende inoltre una lista di controllo completa. dei rischi e di tutti gli eventi accidentali che possano produrre conseguenze indesiderate. Tipo di Risultati Una tabella di potenziali incidenti ed eventi non desiderati con relative conseguenze azioni protettive e azioni mirate al miglioramento della sicurezza. Le domande potranno riguardare ogni condizione anomale. Questa tecnica può essere utilizzata ad ogni punto dello sviluppo e della vita di un processo e viene generalmente utilizzata per analizzare i più comuni rischi che esistono in un processo. Una ulteriore finalità è la raccomandazione di azioni correttive e di riduzione del rischio (riduzione delle conseguenze e operazioni di emergenza). Una ulteriore finalità è la raccomandazione di azioni correttive e di riduzione del rischio (riduzione delle conseguenze e operazioni di emergenza). La ripetizione di una What If analisi riduce notevolmente i tempi. Il risultato di una checklist dipende fortemente dalla esperienza del compilatore. Risorse necessarie La WIA è molto flessibile e può essere effettuata in ogni periodo di vita del processo usando ogni informazione e conoscenza disponibile. Per sistemi operanti sono importanti le interviste unite all'analisi degli schemi di processo e dei flowsheet quantificati. Per processi complessi e di grandi dimensioni conviene avere un piccolo gruppo che coordina i gruppi assegnati alle singole aree del processo. non solo rotture di componenti e variazioni di processo. Finalità La finalità è l'individuazione di tutte le situazioni di rischio. dei rischi e di tutti gli eventi accidentali che possano produrre conseguenze indesiderate. Tipo di Risultati Un risultato è quindi una lista di domande e risposte a proposito del processo. Tuttavia tramite quesa metodologia è possibile raggiungere qualunque livello di dettaglio anche se generalmente si usa a livelli di dettaglio inferiori del FMEA e spesso è il primo metodo di analisi del processo. La completezza dell'analisi è affidata all'esperienza della squadra. Finalità La finalità è l'individuazione di tutte le situazioni di rischio. Per ogni area del processo 2 o 3 persone dovrebbero essere incaricati dell'analisi tuttavia un gruppo più numeroso è preferibile.squadra specifica. Impianto Preparazione Valutazione Documentazione piccolo o 4-8 ore 4-8 ore 1-2 giorni semplice grande o 1-3 giorni 3-5 giorni 1-3 settimana complesso What-If/Cecklist Analysis (WICA. Risorse necessarie 20 . eventi e rischi corredata da possibili azioni correttive e riduttive consigliate. Inoltre una lista situazioni di rischio.

In genere un analista è responsabile dell'intera analisi. Si verificano quindi le protezioni da eventi indesideratati e si identificano eventuali situazioni non note. le nuove scoperte della squadra (rischi. un minimo di 3-4 persone deve essere garantito. Risorse necessarie L'HaZop richiede la disponibilità del P&I o disegni equivalenti. Il numero di persone dipende dalla complessità del sistema e dallo stadio di vita del processo. molte informazioni dettagliate sui processi nelle singole apparecchiature. dell'impianto e delle procedure. problemi operativi). Esistono molte variazioni dell'HaZop sviluppate dalle singole compagnie. Basso) unite alle variabili di processo (Flusso Temperatura Pressione Livello). Ad esempio il metodo a parole guida prevede una combinazione fra le parole guida (No Poco Troppo. Finalità Una rivisitazione completa dell'impianto e delle operazioni normali. È un'ottima base per la stesura di manuali operativi delle singole parti dell'impianto e per la valutazione di procedure scritte. Molto. raccomandazioni per le modifiche del processo. manutenzione e sicurezza. Ogni linea della tabella che si viene a formare porta quindi una connessione logica fra eventi. 5-7 persone dovrebbero essere sufficienti per impianti complessi con esperienza differenziata. L'informazione dimensionale deve essere abbastanza dettagliata anche sulla tipologia di strumentazione impiegata. Impianto Preparazione Valutazione Documentazione piccolo o 6-12 ore 6-12 ore 4-8 ore semplice grande o 1-3 giorni 4-7 giorni 1-3 settimane complesso Hazard and Operability Analysis (HazOp. La sistematicità può essere raggiunta in molti modi.Generalmente la WICA viene condotta da personale interno esperto in progettazione . raccomandazioni per l'approfondimento dell'informazione su parti di impianto o di processo non valutate a sufficienza. A causa delle informazioni dettagliate necessarie può essere implementato solo durante o al termine della progettazione esecutiva. Analisi di Rischio e Operabilità) Descrizione La tecnica HAZOP è stato sviluppata per identificare e valutare i rischi in un impianto di processo e per identificare i problemi legati alle operazioni normali e alle procedure di sicurezza anche se pur non procurando situazioni effettive di rischio provocano indesiderate fermate di impianto o comunque eventi indesiderati fuori dal buon funzionamento dell'impianto. è coadiuvato da un addetto alla registrazione degli atti e delle tabelle (esistono programmi informatici dedicati che riducono notevolmente i tempi di registrazione dei risultati). Tipo di Risultati Una tabella di correlazioni logiche fra gli eventi. Una squadra interdisciplinare usa un approccio sistematico e creativo per percorrere l'impianto e correlare in modo logico i singoli eventi accidentali per identificare le interazioni di eventi che possono portare a conseguenze indesiderate. operazioni normali. di manutenzione e di emergenza. Impianto Preparazione Valutazione Documentazione 21 . Passando in analisi i singoli punti dell'impianto valutando tutte le variabili e le parole guida si possono individuare tutte le deviazioni possibili dalla normalità. L'analista si interfaccia di volta in volta con esperti dei singoli settori. Per ogni deviazione bisogna individuare le possibili cause e le possibili conseguenze. le condizioni operative e le procedure operative e manutentive.

Analisi degli Alberi di Guasto) Descrizione 22 . Impianto Preparazione Valutazione Documentazione 1-3 giorni 1-3 giorni piccolo o 2-6 ore semplice grande o 1-3 giorni 1-3 settimane 2-4 settimane complesso Fault Tree Analysis (FTA. aperto. La forma classica è una tabella. In generale da 2 a 4 apparecchiature strumentate possono essere valutate in circa un'ora. Analisi della Modalità e degli Effetti di Guasto) Descrizione Corrisponde ad una tabulazione dei componenti dell'impianto accoppiata alla tabulazione delle modalità di guasto di questi componenti. Gli errori umani non vengono generalmente considerati in questo tipo di analisi anche se possono essere considerate delle operazioni errate alla base della modalità di guasto.piccolo semplice grande complesso o 8-12 ore o 2-4 giorni 1-3 giorni 1-3 settimane 2-6 giorni 2-6 settimane Failure Mode and Effect Analysis (FMEA. del modo in cui possono guastarsi e degli effetti che possono produrre. accesa. perdita. conoscenze sul comportamento specifico dei singoli componenti riguardo allla foriuscita di servizio.). L'identificazione dell'effetto può essere effettuata tramite simulazioni del comportamento o per deduzioni logiche euristiche basate sull'esperienza e su conoscenze teoriche e pratiche. spenta. Tipo di Risultati Il risultato è generalmente una lista di riferimento qualitativa e sistematica dei componenti. La modalità descrive come il componente può uscire di servizio (Es. etc. ma per assicurare una sufficiente completezza è necessario che specifici esperti rivedano criticamente l'analisi. I risultati possono essere facilmente aggiornati in base a modificazioni dell'impianto. Una FMEA non è in genere esaustiva nella valutazione delle combinazioni di eventi di guasto. L'effetto del guasto in una certa modalità è determinato dalla risposta del sistema al guasto stesso. La tabella è corredata di suggerimenti dell'analista per il miglioramenti delle protezioni attive. conoscenze del comportamento del sistema fuori dalle condizioni normali di funzionamento. Esistono delle FMECA (dove la C sta per Critical) in cui ad ogni effetto viene associato un indice euristico di criticità che porta ad identificare le zone di impianto da esaminare più approfonditamente. agli eventi associa degli effetti potenziali che portano alla stesura di raccomandazioni sull'inserimento di protezioni. La conoscenza degli strumenti e delle apparecchiature è fondamentale. chiusa. Finalità L'identificazione degli eventi iniziatori possibili è la maggiore finalità di una FMEA. Risorse necessarie Le informazioni devono essere molto dettagliate (il livello di dettaglio influenza fortemente il risultato finale). La prima stesura dell'analisi può essere compiuta da un singolo analista. Sono necessari: Una lista dei componenti o un P&I.

Tramite l'algebra booleana è possibile scrivere l'albero sottoforma di una equazione riducibile a una sommatoria di combinazioni di eventi di guasto primari. sono necessari schemi dettagliati del processo e procedure normali. La forza della FTA come strumento qualitativo consiste nella sua possibilità di individuare le combinazioni di eventi che possono portare all'evento indesiderato rilevante. L'albero dei guasti è un modello grafico che esplicita le connessioni logiche fra gli eventi di guasto e di errore umano concomitanti che possono accadere in un sistema. Finalità Identificazione delle combinazioni di eventi di guasto che portano al Top Event. Inhibit). Impianto Preparazio Costruzione Valutazione Documentazio ne dei Modelli Qualitativa ne piccolo o 1-3 giorni 3-6 giorni 2-4 giorni 3-5 giorni semplice grande o 4-6 giorni 2-3 settimane 1-4 3-5 settimane complesso settimane Event Tree Analysis (ETA. Questi alberi descrivono le combinazioni come risultano dall'analisi logica dell'impianto. ma questo deve essere rivisto dal personale operativo e dagli ingegneri di processo delle singole unità coinvolte.È una tecnica deduttiva che focalizza su un particolare incidente rilevante (Top Event) e fornisce un metodo per individuarne le possibili cause. Risorse necessarie Una FTA richiede una conoscenza dettagliata di come il sistema funziona. la conoscenza dettagliata dei componenti (apparecchiature e strumentazione) e ruoli del personale operativo. Questa analisi è fortemente indicata per sistemi ad elevata ridondanza. Ogni sequenza di evnti successivi all'evento iniziatore portano a delle conseguenze finali di maggiore o minor rilievo. Insieme Minimo di Taglio. Valutando le probabilità dei guasti dei singoli componenti è possibile calcolare la probabilità di accadimento del Top Event e riducendo l'albero è possibile individuare i Minimal Cut Set (MCS. Le combinazioni con il minor numero di eventi di guasto sono detti Minimal Cut Sets (MCS). Evidenzia quali eventi di guasto sono poco protetti e dove conviene intervenire per ridurre la frequenza di accadimento dell'evento di Top Tipo di Risultati I risultati sono riportati come alberi di eventi di guasto combinati tramite porte logiche (And Or. la FTA può essere utilizzata per scendere nel dettaglio in alcuni sottosistemi. concetto derivante dalla teoria dei grafi) che generalmente corrispondono alle combinazioni sufficienti a provocare il Top Event con la massima probabilità di accadimento. Per sistemi a singolo MCS conviene utilizzare tecniche orientate alla valutazione dei singoli eventi di guasto (FMEA e HazOp). Una ETA viene generalmente condotta per la valutazione dei sistemi di protezione attiva (riduzione delle frequenze di accadimento) Finalità Individuazione degli eventi provocati da un singolo evento di guasto in base al comportamento dei sistemi di protezione attiva. di manutenzione e di emergenza. Un analista qualificato può sviluppare da sè l'albero. verifica del comportamento dei sistemi di 23 . Analisi degli Alberi degli Eventi) Descrizione Un albero degli eventi mostra graficamente i possibili risultati incidentali che derivano da un evento di guasto iniziatore (un guasto di un componente o un errore umano) a seconda del funzionamento dei sistemi di protezione attiva presenti nel sistema. Questa equazione corrisponde a un nuovo albero detto albero ridotto che esplicita tutte le combinazioni che producono l'evento indesiderato.

Può essere basato su differenti tipi di analisi delle procedure. È una tecnica di supporto alle precedenti. Queste analisi descrivono la fisicità delle procedure e le caratteristiche ambientali confrontandole con le capacità e le conoscenze richieste all'operatore che esegue le procedure. manutantori. 24 . Una HRA identifica situazioni incongruenti che possano portare a incidenti e traccia le cause dell'errore umano. quantificazione delle frequenze di accadimento dei differenti eventi indesiderati. Tipo di Risultati Liste di eventi finali e combinazioni dei sistemi di protezione attiva. Impianto Preparazio Costruzione Valutazione Documentazio ne dei Modelli Qualitativa ne piccolo o 1-2 giorni 1-3 giorni 1-2 giorni 3-5 giorni semplice grande o 4-6 giorni 1-2 settimane 1-2 3-5 settimane complesso settimane Cause-Consequence Analysis (CCA. Impianto Preparazio Costruzione Valutazione Documentazio ne dei Modelli Qualitativa ne piccolo o 1-2 giorni 1-3 giorni 1-3 giorni 3-5 giorni semplice grande o 4-6 giorni 1-2 settimane 1-2 3-5 settimane complesso settimane Human Reliability Analysis (HRA. Alberi di combinazione degli eventi di guasto dei sistemi protettivi. Serve ad identificare le cause degli eventi indesiderati e leconseguenze degli eventi di guasto. di tutti i possibili eventi indesiderati. Individuazione delle eventuali ridondanze dei sistemi protettivi che non aumentano la sicurezza del sistema. Analisi causa conseguenza) Descrizione È una miscela di FTA e ETA.protezione attiva. tecnici. Risorse necessarie Conoscenza dettagliata di tutti i componenti dell'impianto. Tipo di Risultati Diagrammi a grafo che uniscono gli eventi (nodi) tramite connessioni logiche a seconda del verificarsi o meno dell'evento. conoscenza delle procedure e dei sistemi di protezione attiva. Un singolo analista può sviluppare gli alberi ma almeno due persone sono preferibili. Analisi dell'Affidabilità Umana) Descrizione È una valutazione sistematica dei fattori che influenzano i comportamenti degli operatori. e ogni altro personale dell'impianto. Gli analisti utilizzano questi modelli per identificare errori procedurali e tarature degli strumenti di sicurezza. Risorse necessarie Conoscenza dettagliata dei possibili eventi di guasto iniziatori e del comportamento dei sistemi di protezione attiva. È necessario avere una squadra formata da poche persone di cui almeno uno sia esperto in CCA e gli altri esperti del processo. Funziona bene per sistemi semplici e permette una migliore comunicazione dei risultati grazie alla forma di presentazione dei diagrammi. Finalità Unire tramite connessioni logiche gli eventi che possono accadere in un impianto con il verificarsi o meno dei singoli eventi di guasto.

Deviazione Causa Conseguenza Segnalazione Intervento TE No. Nota). le loro cause e i loro effetti. la terza che contraddistingue la conseguenza con un eventuale numero (se la conseguenza è identificata come evento indesiderato) e riporta il numero della nota descrittiva che permette un approfondimento. La seguente è una possibile intestazione di una tabella di HazOp. Segnalazione. Le righe della tabella non sono ordinate e possono essere riportate in un qualsiasi ordine. Tipo di Risultati Una lista sistematica e ordinata (in base alla criticità dell'errore) degli errori umani che possono essere incontrati nelle procedure normali o di emergenza. tuttavia esistono dei criteri che migliorano la leggibilità dell'analisi. Risorse necessarie Conoscenza delle procedure.Finalità Identificare i possibili errori umani. I risultati sono qualitativi ma è possibile avere dei dati quantitativi. A questa lista viengono associati i fattori che contribuiscono ad aumentare o diminuire la probabilità di errore e le proposte di modifiche delle procedure e dei sistemi di protezione. Conseguenza. la seconda che associa alla deviazione le segnalazioni che si attivano e gli interventi automatici o manuali che devono avvenire (i sistemi di sicurezza attivati direttamante dalla deviazione o tramite la segnalazione). Inoltre la conoscenza dell'impiando dal punto di vista tecnico risulta indispensabile. Nella tabella devono essere riportati gli evento correlati fra loro partendo da una deviazione (Deviazione. Uno o due analisti sono sufficienti ma devono avere una buona conoscenza dell'uso delle interviste come metodologie di indagine e dei fattori di influenza. Causa. conoscenza della distribuzione territoriale dell'impianto. Top Event. Impianto Preparazio Costruzione Valutazione Documentazio ne dei Modelli Qualitativa ne piccolo o 4-8 ore 1-3 giorni 1-2 giorni 3-5 giorni semplice grande o 1-3 giorni 1-2 settimane 1-2 1-3 settimane complesso settimane 2. Nota No. Si definiscono: Evento primario un evento semplice di cui si conosca la probabilità di accadimento Evento primario un evento semplice o complesso che agisca sul sistema in esame esterno provocandone una deviazione. Analisi di operabilità ricorsiva (HazOp ricorsiva) L'analisi di operabilità consiste nella compilazione di una tabella che correla in modo logico gli eventi citati nelle colonne di una stessa riga. ma che non avvenga all'interno del sistema (o sottosistema) considerato Top Event Evento complesso causato da un evento primario o intermedio indesiderato poichè produce direttamente effetti dannosi Evento Evento semplice o complesso causato da un evento intermedio o intermedio primario 25 . La tabella è divisa in tre zone: la prima che correla fra loro gli eventi principali che producono deviazioni dal funzionamento normale dell'impianto. conoscenza dei pannelli di controllo e della strumentazione (essenzialmente l'interfaccia utente) e dei sistemi di allarme. Intervento. conoscenza specifica del personale dell'impianto (tramite interviste).

1 avviene se avviene D1 (provocato dagli eventi Ca1.2 (su segnalazione S1.2 I1.1 Co1. l'approfondimento descrive le connessioni logiche fra causa.1 (su segnalazione S1. luminoso.2) non va a buon fine.1.La Deviazione è un evento intermedio provocato da un evento Causa e che provoca un evento Conseguenza. La Nota No.3 (i primi due contemporanei oppure dal terzo).3) e se l'intervento I1. La Deviazione può provocare un evento Conseguenza diverso a seconda degli eventi Causa che l'hanno generata. nella colonna Causa possono essere riportati più eventi collegati fra loro logicamente con connessioni OR o AND (alcuni o tutti gli eventi sono necessari affinchè avvenga la Deviazione). Una segnalazione o un intervento possono servire da protezione ad un solo evento Conseguenza.3 TE No.2 I.2 avviene se avviene D1 (provocato dall'evento Ca1. Analogo discorso per i TE No. L'Intervento è un evento semplice o complesso che viene provocato dalla Deviazione (Intervento automatico) o dall'azione di un operatore umano allertato dalla Segnalazione (Intervento Manuale).2 Co1. particolarmente complicata.1. Deviazione Causa TE No.).1 Ca1. Nota Conseguenza Segnalazione Intervento 26 . Deviazione D1 Causa Ca1. la riga viene così suddivisa in sottorighe.2. descrivono inoltre le conseguenze dovute alla corretta esecuzione dell'intervento (spesso la corretta esecuzione dell'intervento può comportare un evento indesiderato anche se di dannosità inferiore della conseguenza). La Conseguenza è un evento intermedio o di Top provocato dalla deviazione se l'Intervento non è andato a buon fine. ipotesi effettuate e riferimenti al materiale utilizzato.1 S1. etc.3 Segnalazione Intervento S1. Ogni Deviazione consiste di un unico evento. Nella tabella seguente è riportato un esempio di ricorsività. è il numero progressivo dato a ciascuna conseguenza considerata come indesiderata e di cui si voglia valutare la frequenza di accadimento.2) non va a buon fine. anche in questo caso la riga viene suddivisa in sottorighe facenti capo ad un'unica Deviazione. L'evento Co1. L'evento Co1. e i Nota No. Si può notare come le Segnalazioni e gli interventi non siano coinvolti direttamente. L'evento Co1. deviazione e conseguenza considerando eventuali procedure di calcolo. Ca1. L'evento Co1. è il numero progressivo dato a ciascun approfondimento.3 avviene se avviene D1 (provocato dall'evento Ca1.3) e se l'intervento I1.2 è considerato un evento di Top.3 (automatico) non va a buon fine.1 e Ca1. Nella tabella è riportato una riga di esempio. nella colonna Conseguenze possono essere riportati più eventi collegati fra loro logicamente con connessioni AND (la Deviazione provoca tutti gli eventi).2 Conseguenza Co1. Il TE No. in cui la Deviazione D1 è provocata dagli eventi Ca1. La causa è un evento anche primario che provoca la Deviazione. Nota No.2) e se l'intervento I1. che possono riferirsi ad un solo evento Conseguenza. Ca1.3 Legenda: Connessione AND Connessione OR L'HazOp ricorsiva comporta una connessione logica fra le righe riportando l'evento Deviazione in ulteriori righe nella colonna Causa o nella colonna Conseguenza.1 I1. La Segnalazione è un evento (generalmente semplice) che viene provocato dalla Deviazione e che produce un segnale (acustico. §1 1 §2 §3 Ca1.

§1 §2 §3 3. La FMEA è utilizzata anche in altri ambiti relativi alla valutazione della qualità di gestione. cioè la riparazione. Criticità Componente Modalità di Effetti guasto Processo Identificativo Descrizione Locali Generali V1 Valvola di Rotta No Portata Cresce il 7 Regolazion Chiusa in 2 livello in 1 e Rotta Alta portata Si svuota il 4 aperta in 2 serbatoio 1 4. La connessione AND viene rappresentata con una porta (esistono molte simbologie. Per la sua costruzione si parte in genere dagli eventi primari ed esterni presenti nella colonna cause della HazOp. delle connessioni logiche degli eventi e degli stati di un sottosistema. La FMEA (o FMECA C= Critical) viene applicata a piccole parti di sistemi per l'analisi del comportamento in presenza di singoli guasti. Queste connessioni sono 27 .D1 D2(=Ca1) D3(=Co1) Ca1 Ca2 Ca3(=D1) Co1 Co2(=D1) Co3 S1 S2 S3 I1 I2 I3 1 No. La connessione OR viene rappresentata con una porta (esistono molte simbologie. Viene utilizzata in congiunzione con la HazOp ricorsiva e ha lo stesso contenuto informativo della HazOp. La deviazione è collegata alle conseguenze direttamente se non ci sono protezioni che vengono attivate dalla deviazione per proteggere dalla conseguenza tramite la messa in sicurezza del sistema (la messa in sicurezza può anche prevedere il ripristino a nuovo del sistema. Le connessioni fra cause e deviazione possono essere di tipo OR oppure AND. quella qui adottata è una porta con il simbolo "x") che viene attivata quando tutte le cause si verificano. prosegue verso la conseguenza per mancato intervento della protezione o verso la messa in sicurezza in caso di intervento riuscito. Fornisce una buona rappresentazione di una parte dei risultati di una What-If analysis. In una riga della HazHop ci sono delle connessioni logiche fra le cause e la deviazione. con una struttura ad albero a sviluppo orizzontale. Tipico è l'utilizzo per la verifica del comportamento di sistemi di pompaggio con più pompe in parallelo. fra la deviazione e le conseguenze e le protezioni verso le conseguenze attivate dalla deviazione. DSI (Diagramma delle sequenze accidentali) Il Diagramma delle sequenze accidentali (DSI) è una rappresentazione grafica. quella qui adottata è una porta con il simbolo "+") che viene attivata anche da una sola delle cause. In presenza di protezioni la connessione logica è rappresentata da una porta di tipo INHIBIT. La porta INHIBIT si attiva in presenza della deviazione. FMEA (Failure Mode & Effect Analysis) La Failure Mode & Effect Analysis (FMEA) è una analisi delle fuoriuscite dal servizio processi. quando i tempi caratteristici del ripristino e delle conseguenze sono compatibili). in questo caso si analizzano i processi produttivi e amministrativi. localmente sul punto di applicazione e in generale sul sistema o sotto sistema in esame. Serve a verificare le conseguenze di eventi primari o esterni.

1 Ca 1. Nota No.3 §3 Note §1 Messa in sicurezza 1 §3 Messa in sicurezza 2 Legenda: Connessione AND Connessione OR 28 . Le rappresentazioni forniscono gli stessi risultati di connessione logica.3 Co 1. §1 Ca 1.riportate qui di seguito in due esempi di riga HazOp e conseguente rappresentazione ad albero in DSI. ma evidenziano aspetti differenti del sistema.1 Segnalazione Intervento S1.1 I.1. §1 §2 Causa 3 Note: §2 Messa in sicurezza 1 Legenda: Connessione AND Connessione OR Causa 1 Causa 2 Causa 3 Protezione 1 Deviazione D1 Conseguenza 1 Messa in Sicurezza 1 Conseguenza 2 + Deviazion e Causa Ca 1. Deviazione Deviazione Causa Causa 1 Causa 2 Conseguenza Conseguenza 1 Conseguenza 2 Protezione 1 Segnalazione Intervento TE No.2 Conseguenza Co 1. Ovviamente la stessa riga potrebbe essere rappresentata graficamente in modi differenti con piccole variazioni della distribuzione delle porte.1 TE No.2 I1. Nota No.

Nella figura seguente è EP 1 2 3 riportato l'albero ridotto corrispondente all'equazione.1 I 1. Permettono quindi di modellare logicamente la dipendenza della probabilità di accadimento dell'evento di top con le probabilità di accadimento degli eventi primari.3 5. rimane solo il significato di connessione logica e hanno lo stesso operatore AND.2 Deviazion e Deviazion e I 1. All'equazione ridotta corrisponde l'albero x ridotto in cui sono presenti solo eventi primari o x esterni collegati al top eventi tramite una porta EP S1 EP S1 AND e una porta OR.3 + S 1. In figura è riportato un albero dei guasti e la sua rappresentazione in termini di equazioni logiche. 29 .1 + Co 1.1 Messa in Sicurezza 1 Messa in Sicurezza 2 Co 1. Rispetto al DSI ha uno sviluppo verticale e non contiene sdoppiamenti delle uscite dalle deviazioni. Le porte INHIBIT scompaiono nell'albero ridotto in quanto perdono il loro significato di rappresentare un intervento di protezione.Ca 1. L'albero dei guasti fornisce la rappresentazione grafica della logica di collegamento fra gli eventi primari (di cui si conosce la probabilità di accadimento) dell'evento di Top.2 Ca 1. L'albero è la rappresentazione grafica di un sistema di equazioni logiche fra gli eventi. Alberi dei Guasti Gli alberi dei guasti sono rappresentazioni grafiche delle connessioni logiche fra un singolo evento di Top indesiderato e gli eventi primari ed esterni che lo possono generare.1 x Ca 1. Viene infatti costruito a partire dall'evento indesiderato (Top Event) passando logicamente alle cause dirette dell'evento e via via verso gli eventi primari (cause primarie dell'evento di Top). Top EI2 + EI1 x EP1 EP2 EP3 S1 Top = EI 2 ⊗ S1  EI 2 = EI1 ⊕ EP3 EI1 = EP1 ⊗ EP2  Il sistema di equazioni può essere risolto come: Top = ((EP1 ⊗ EP2) ⊕ EP3) ⊗ S1 Rielaborando l'equazione si ottiene: Top = (EP1 ⊗ EP 2 ⊗ S1) ⊕ (EP3 ⊗ S1) Questa viene Top detta equazione ridotta in quanto è formata da somme di prodotti di eventi (unioni di intersezioni di + eventi).

Esercitazione di applicazione delle tecniche di analisi: Analisi di un serbatoio di raccolta di acqua Dato lo schema semplificato e strumentato di un serbatoio di raccolta di acque a valle di una condotta e con una condotta successiva. Advances on fault tree and event tree analysis. Contini. A. M. In: A. 6. I set point sul livello sono in ordine crescente da hLA1 a hLAS2 a TP1.. S.Bibliografia I. pp 127-190 II. Alberi degli Eventi L’albero degli eventi è una rappresentazione grafica delle catene di eventi che derivano dall’accadimento di un evento iniziatore e dalle risposte dei sistemi di sicurezza attivati dall’evento iniziatore stesso. III. A. Colombo. Prima Seconda Terza Quarta protezion protezion protezion protezion e e e e Messa in sicurezza 1 si Messa in sicurezza 2 si Evento iniziatore si Messa in sicurezza 3 Messa in sicurezza 4 si no no Evento indesiderato no Top event no 7. In: A. System reliability assessment. Si individuano pertanto tre valori alti per la variabile livello Livello Valore della Strumento Attivato dalla Protegge dalla variabile di deviazione: conseguenza: Sicurezza Tracimazione Altissimo HHH TP1 L=HHH Tracimazione Molto Alto HH hLSA2 L=HH L=HHH Alto H hLA1 L=H L=HH Normale N 30 . 1993. Poucet. Poucet. 1990. Mette in evidenza il risultato degli interventi di sicurezza e la loro efficacia. Reliability engineering. 1988.. Il sistema è dotato di allarmi e di sistemi di intervento automatico per evitare tracimazioni del serbatoio stesso. Il livello nel bacino è controllato ad un certo valore normale tramite il controllore LC1.. Modarres. Kluver Academic publishers. A. Ibidem. cap 4.. Saiz de Bustamante. Amendola. Fault tree and event tree analysis. Kluver Academic publishers. Saiz de Bustamante.. A..G.

L'aumento può derivare dal condotto 3 oppure da fenomeni 31 . procedendo con la stessa metodologia is riesce a compilare l'intera tabella. La rottura della catena di controllo è esplicitata in deu componenti. Le frecce sulla tabella indicano la ricorsività derivata dalla prima riga. tuttavia il malfunzionamento può essere dovuto a rotture sulla catena di controllo oppure a deviazioni di altre variabili che abbiano deviato il sistema in condizioni tali per cui il controllore non può funzionare in quanto non progettato per quella situazione anormale. ovvero una variabile controllata. in questo caso il livello L. L'unica causa possibile per una deviazione di una variabile controllata è il malfunzionamento del sistema di controllo. La situazione di fuori progetto è legata a fenomeni che comportino un aumento del volume tale da non poter essere smaltito dal sistema di controllo (ovvero dalla condotta in uscita con la valvola v1 completamente aperta).TP1 Sotto Sistema III V2 3 1 Y LC1 lLA1 hLA hLSA 2 V3 2 V1 Sotto Sistema II Y Legenda: L livello C controllore A allarme S switch V valvola h alto l basso TP troppo pieno Y scarico Analisi Ricorsiva per la deviazione Livello Alto Si individua una variabile indipendente o ritenuta tale. allora la variabile è completamente indipendente. e l'analisi (per quanto riguarda le cause) rimane circoscritta al sottosistema e si riduce la complessità della descrizione delle correlazioni logiche. tuttavia una deviazione potrebbe fare venire meno le condizioni gestibili da controllore o apparecchiatura. oppure ad una ridotta capacità di evacuazione nel condotto 2. Le condizioni di Fuori Progetto sono quelle che fanno della variabile controllata una variabile dipendente da altre deviazioni. Si inizia da una deviazione fra quelle possibili (Livello alto o basso). Se non si individuano condizioni tali da impedire il funzionamento del controllore in stato di efficienza. il controllore (che contiene il misuratore e il sistema di confronto fra i valori e la trasduzione di un segnale all'attuatore in base alla logica di controllo) e l'attuatore (in questo caso una valvola di regolazione). Si considerano sempre il controllore e tutte le apparecchiature ben progettate per funzionare in condizioni normali.

Nel caso di riuscita dell'intervento il sistema è ripristinato in condizioni normali. e una frana. La riduzione in 2 o l'aumento in 3 delle portate di acqua può essere legato solo a fenomeni esterni al sottosistema che arrivano da altri sotto sistemi che si interfacciano tramite le correnti di materia al sottosistema in esame.esterni. hLA1 §1 HL in 1 MF LC1 HHL in 1 §2 MF LC1 RH LC1 HL in 1 FP LC1 RH LC1 LC1 RH* MF LC1 §3 V1 RC* Fmin verso ss II FP LC1 Pioggia ** MF LC1 §4 Frana ** F max verso ss II** §5 Onda di piena 1 HF in 3 MF LC1 §6 F max verso ss II** §7 LF in 2 MF LC1 §8 HF in 3 HF da ss III** FP LC1 §9 LF in 2 LF da ss II** FP LC1 §10 HHL in 1 HL in 1 HHHL in 1 hLA2 HLS2 §11 HHHL in 1 HHL in 1 Tracimazione TP1 2 §12 Allagamento hLA2 TP1 3 strumenti Legenda: H = alto L = Basso MF = MalFunzionamento R = Rotto L = Livello F = Portata Volumetrica ss = Sotto Sistema '*' = Evento Primario '**' = Evento esterno Note: §1 hLA1 richiama l' operatore O1 che: 0. 3. che può assumere importanza per serbatoi aperti con un'area sufficientemente vasta. RH LC1 non è considerato evento primario. a titolo di esempio si riporta la pioggia. Deviazione Causa Segnalazion Intervento TE No. verifica le condizioni del bacino (già allertato in condizioni di pioggia particolare) 1. lo potrebbe essere conoscendone la frequenza di accadimento Fmin è calcolato considerando l'apertura minima della valcola e il battente in §2 §3 32 . Nota Conseguenza e No. 2. verifica e ripristina la funzionalità di LC1 e V1. se il livello è alto apre parzialmente V3. verifica la funzionalità dell'allarme e la misura del livello. fenomeno osservato per il bacino del Vajont con le note conseguenze. Per la parte delle conseguenze alla deviazione è stato seguito il criterio esemplificato nella tabella precedente.

§6 Vedi nota §4 §7 Nessun commento §8 Valutare i valori massimi derivabili dal sottosistema III e confrontarli con la portata in uscita con V1 tutta aperta e un battente normale [F=Cvf(s)RadQ(∆P/ρ)]. §11 TP1 è in grado di scaricare fino a una portata Fmax1 l'eccedente strariperà §12 Vedi Note §10 e §11 §4 Le note e la legenda sono strumenti fondamentali per la comprensione dell'HazOp e per la successiva stesura del DSI (Diagramma delle sequenze indidentali). dalle porte escono. tutti hanno in comune il fuori progetto del controllore ma si differenziano in base al tempo caratteristico con cui l'uscita dalle condizioni di normale funzionamento si verifica o per le posizioni delle valvole al momento dell'uscita dalla normalità). La A è un simbolo di collegamento per poter spezzare in due il diagramma. La Deviazione può essere ripetuta se provoca differenti conseguenze a seconda delle cause che l'hanno generata. Se l'intervento riesce la situazione viene normalizzata.condizioni normali [F=Cvf(s)RadQ(∆P/ρ)] Fmax è calcolato considerando l'apertura massima della valcola e il battente in condizioni di straripamento [F=Cvf(s)RadQ(∆P/ρ)] §5 Il valore dell'onda di piena può essere valutato in base alle tempistiche di auneto del volume del bacino. la conseguenza indesiderata e la situazione controllata (descritta nella nota). §9 Valutare i valori minimi derivabili dal sottosistema II. Si ipotizza che i tempi caratteristici dell'onda non permetterebbero l'intervento di alcun sistema di sicurezza (in caso contrario questo evento non si differenzierebbe da un aumento anomalo di livello). in più ripristina V2 e hLS2 e allontana gli strumenti che si potrebbero allagare. Il fuori progetto è sempre in genere un evento complesso che può essere generato da molte cause e pur avendo alcune conseguenze comuni a tutte le cause ne può avere alcune non comuni. in pratica si tratta di eventi simili (ad esempio. Nelle porte Inhibit entrano gli eventi che chiamano l'intervento di una sicurezza (segnalazione o intervento automatico) e il Mancato Intervento (MI) della sicurezza. Applicando le correlazioni logiche di ogni singola riga della tabella HazOp si costruisce l'intero DSI. Probabilmente F=0 §10 hLA2 richiama l'operatore O2 che esegue le stesse operazioni della nota §1. Diagramma delle Sequenze Incidentali Si individuano gli eventi primari e gli eventi esterni presenti nella colonna Cause della tabella dell'analisi HazOp ricorsiva. Si uniscono tramite le corrette porte OR o AND alle relative Deviazioni e Conseguenze. 33 . Le deviazioni fanno parte di tre triplette una volta come deviazione una volta come causa e una volta come conseguenza. Si generano quindi delle triplette logiche Causa/e-Deviazione-Conseguenza/e. Se la portata massima ottenibile da ssIII risulta maggione della massima evacuabile sussistono le condizioni di fuori progetto.

si procede a ritroso sul DSI riportando le porte e gli eventi intermedi esterni o primari con uno sviluppo verticale dell'albero.Pioggia ** FP LC1' Onda di piena Frana ** + + + + FP LC1'' FP LC1''' F max verso ss II** HF da III** ss HF in 3 LF da ss II** LF in 2 + MF LC1 A LC1 RH* + V1 RC* RH LC1 F min verso ss II** §1 §10 MI TP1 Tracimazione §11 A HL in 1 HHL in 1 HHHL in 1 §12 MI hLS2 MI hLA1 MI hLA2 MI hLA2 x MI TP1 Allagamento strumenti x Albero dei Guasti per la Tracimazione Scelto un evento di Top. I mancati interventi delle Tracimazione HHHL in 1 MI TP1 x MI hLA2 HHL in 1 MI hLS2 + V3 RC* MI O2* hLA2 R* MI hLA1 HL in 1 MF LC1 V3 RC* V2 RA* + HLS2 R* + MI O1* hLA1 R* + FP LC1 RH LC1 + + Pioggia ** Frana ** HF in 3 HF da ss III** + LF in 2 LF da ss II** + LC1 RH* V1 RC* 34 .

TE2 G11 EP11 x G8 EP6 G6 G5 EP3 G9 G10 + EP7 EP8 G7 EP9 + EP10 + EP4 G4 EP5 + G3 + EE1 EE2 + G1 EE3 + + G2 EE4 EP1 EP2 Si possono esprimere le correlazioni logiche in algebra booleana qui riportate: TE2 = G11 ⊗ EP11 G11 = G8 ⊗ G9 ⊗ G10  G9 = EP6 ⊗ EP7 ⊗ EP8  G10 = EP9 ⊗ EP10 G8 = G6 ⊗ G7  G7 = EP3 ⊗ EP4 ⊗ EP5  G6 = G5 G5 = G3 ⊕ G4  G3 = EE1 ⊕ EE2 ⊕ G1 ⊕ G2 G1 = EE3  G2 = EE4 G4 = EP1 ⊕ EP2  TE2 = G8 ⊗ EP6 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11  G8 = (EE1 ⊕ EE2 ⊕ EE3 ⊕ EE4 ⊕ EP1 ⊕ EP2 ) ⊗ EP3 ⊗ EP4 ⊗ EP5 TE2 = (EE1 ⊕ EE2 ⊕ EE3 ⊕ EE4 ⊕ EP1 ⊕ EP2 ) ⊗ ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP6 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 V3 RC corrisponde sia a EP6 che a EP3 per cui EP3 ⊗ EP6 = EP3 35 .sicurezze vengono sviluppati negli eventi primari che possono portare al mancato intervento.

Albero degli Eventi Per la Valvola V1 Rotta chiusa Scelto un evento primario riportato nella colonna Cause della tabella dell'analisi HazOp. EP1-EP11) comporta un'unica equazione algebrica in algebra booleana. si elencano tutte le sicurezze che si possono incontrare avanzando dall'evento lungo i diversi rami del DSI (in questo caso le sicurezze sono su un unico ramo a protezione degli eventi di top 2 e 3. Ogni intervento di sicurezza (segnalazione o intervento automatico) può andare o meno a buon fine provocando effetti diversi (prosecuzione oltre la porta Inhibit sul DSI o entrata nella nota) A B hLA1 Si V1 RC* C hLA2 Si Si No Si No No No Tracimazion e ABCDE Perdita Acqua ABCDE D hLS2 E TP1 Conseguenz Calcolo a evento Normale Normale Flusso interrotto AB ABC ABCD Esercitazioni Omologazione di un oggetto Analisi dell’uscita di servizio di un componente 36 .TE2 = EE1 ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 + ⊕ EE2 ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 + ⊕ EE3 ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 + ⊕ EE4 ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 + ⊕ EP1 ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 + ⊕ EP2 ⊗ EP3 ⊗ EP4 ⊗ EP5 ⊗ EP7 ⊗ EP8 ⊗ EP9 ⊗ EP10 ⊗ EP11 La soluzione del sistema di correlazione esplicitando TE2=f(EE1-EE4.

L’affidabilità risulta quindi essere la probabilità che la sollecitazione a cui il componente è sottoposto superi la resistenza del componente stesso. Il primo passo dell'analisi affidabilistica di un sistema consiste nella sua frammentazione in componenti semplici per i quali possa essere effettuata una generalizzazione delle valutazioni ottenute. 37 . Sollecitazioni La sollecitazione considera gli effetti legati a due classi di cause: il carico (una misura del compito che il componente deve svolgere. i fattori di influenza elettrici derivano principalmente dalle interferenze elettromagnetiche che il componente potrebbe subire. i componenti sono quindi gli elementi su cui si basa qualunque analisi di affidabilità. ad esempio la corrente elettrica che attraversa il componente. acidità. carichi statici e dinamici (ad esempio un componente che viene fissato su un telaio subisce delle sollecitazioni derivanti dal telaio estranee alla sua funzione). eccetera. I fattori di influenza possono essere di diversa origine: ambientale. la portata d'acqua o il carico dinamico o statico) e i fattori di influenza (che derivano dalle condizioni a cui il componente è sottoposto durante il funzionamento).Affidabilità 1. pressione. L’affidabilità in quanto probabilità è un numero adimensionale compreso fra 0 e 1. per sollecitazione si intende un insieme di misure quantitative che caratterizzino la funzione che il componente deve svolgere. ad esempio urti (prevalentemente in fase di trasporto e messa in opera). F=Failabiliy=Inaffidabilità=1-R) può essere definita come la probabilità di un dispositivo di svolgere determinate funzioni. In termini di progetto la valutazione della affidabilità di un sistema (sottosistema o componente) consiste nella previsione del comportamento del sistema (sottosistema o componente) durante la fase lavorativa. umidità. I modelli (fisici o statistici) elaborati sui componenti saranno poi riversati sul sistema completo tramite la modellazione logica del sistema che individua le relazioni fra gli eventi di guasto dei componenti e gli eventi di guasto del sistema completo. Introduzione L'affidabilità (R=Reliability=Affidabilità. immersione in liquidi. elettrica. I fattori di influenza ambientali tengono conto di tutto ciò che circonda il componente: temperatura. Affidabilità fisica L'analisi strutturale è indirizzata all'individuazione dei meccanismi di guasto del sistema e all'individuazione del punto di rottura correlato a quella modalità di guasto. Il punto di rottura corrisponde alla sollecitazione limite non sopportabile dal sistema. 2. meccanica. presenza polveri. La previsione del comportamento si basa su analisi strutturali (affidabilità fisica) sul sistema che portano a modelli descrittivi della struttura fisica del sistema parametrati in base allle sollecitazioni a cui il sistema è sottoposto oppure su analisi storiche statistiche (affidabilità statistica) che portano a modelli di previsione del comportamento del sistema in base alla distribuzione di comportamento osservato per sistemi simili o per il sistema stesso. I fattori di influenza meccanici considerano tutte le interazioni di tipo meccanico estranee alla funzione che il componente deve svolgere. per un periodo assegnato ovvero di svolgere il compito assegnatogli ovvero di compiere una missione. in condizioni assegnate.

si fa riferimento al margine di sicurezza al termine della missione che il componente deve svolgere. Il confronto fra questi valori fornisce informazioni utili alla previsione di affidabilità.9995 che esprime la probabilità che il componente svolga le sue funzioni per il tempo al quale il test di resistenza è stato svolto. La raccolta di questo tipo di dati comporta una campagna di esperimenti molto onerosa sia in termini di tempo che di spesa.Carico e resistenza Il carico misura la sollecitazione a cui il componente viene sottoposto.99865) sono dette intrinsicamente affidabili Probabilità. Situazioni con margini di sicurezza superiori a 3 (R>0. ne deriva una distribuzione statistica dei valori generalmente di tipo normale. La valutazione di questo tempo è spesso problematica per cui generalmente si fa uso di caratteristiche temporali del componente più facilmente disponibili quali: il tempo di vita del componente (ovvero il tempo intercorso fra la costruzione o la messa in opera del componente e la fine della missione) e del tempo cumulativo di lavoro del componente (la somma dei periodi di tempo durante i quali il componente ha lavorato). 38 . L'affidabilità può essere considerata come la probabilità che il carico sia maggiore della resistenza ovvero che ci sia sovrapposizione fra le loro distribuzioni. Ad esempio una resistenza che resiste ad una corrente di 2000±100 A sottoposta ad una corrente di 1400±150 A ha un margine di sicurezza MS=3. essendo una differenza fra distribuzioni normali è anch'esso distribuito normalmente.32 che corrisponde a una affidabilità R=0. L'effetto dei fattori di influenza modifica quindi il margine di sicurezza al quale il componente lavora. Gli effetti dei fattori di influenza sono funzione del tempo cumulativo durante il quale il componente è stato sottoposto all'azione del fattore di influenza considerato. la resistenza misura la sollecitazione al di sopra della quale il componente smette di funzionare. L'affidabilità risulta quindi essere la funzione cumulativa di distribuzione da meno infinito fino al margine di sicurezza espresso come differenza ridotta fra i valori medi delle distribusioni normali: Re sistenza − Carico MS = 2 σ 2 sistenza + σ Carico Re Il valore della affidabilità viene ricavato dal valore tabellato F(z) della normale ridotta. La conoscenza del comportamento del componente nel tempo sotto l'azione dei diversi fattori di influenza rimane comunque un dato poco disponibile se non in condizioni particolari.. La quantificazione di queste due misure viene effettuata con sistemi differenti e per entrambe esiste una variabilità legata sia al componente (principalmente per la resistenza) sia al sistema in cui il componente è inserito (principalmente per il carico). Resistenza Carico Sollecitazione I fattori di influenza agiscono sulle caratteristiche di resistenza del componente modificandone sia il valore medio sia la varianza della distribuzione del valore (in alcuni casi anche sul tipo di distribuzione. Formalmente si può esprimere il margine di sicurezza come la differenza fra resistenza e carico.

L'uso formale dei concetti probabilistici è largamente diffuso in tutti i rami delle scienze applicate dalla biologia all'ingegneria. Tutti i giochi legati a scommesse (Totocalcio. l'insieme di tutti gli 39 . Affidabilità statistica Cenni di calcolo della probabilità e di statistica Il concetto di probabilità viene utilizzato in modo casuale dalla gente comune praticamente tutti i giorni per la rappresentazione di sensazioni legate al verificarsi o meno di un evento. La valutazione a posteriori della probabilità si basa sul concetto di limite della frequenza di accadimento dell'evento tramite l'analisi di un numero "sufficientemente elevato" di situazioni. Pr ( E ) = lim N E N N→∞ La valutazione a priori della probabilità di un evento deriva da definizioni differenti e da valutazioni teoriche sul comportamento del sistema come rapporto fra il numero di stati equivalenti del sistema che portano all'evento e il numero totale degli stati possibili del sistema (un dado ha sei facce di cui solo una ha il numero 2 per cui la probabilità che esca il 2 è pari a 1/6. Totogoal.3+1]). La probabilità rimane in ogni caso condizionata dalla possibilità di accadimento dell'evento. lotterie varie. Totip.Sollecitazione Evoluzione della resistenza Evoluzione del carico Tempo di esposizione 3. in quanto un evento impossibile ha una probabilità nulla di accadere (La teoria della possibilità sarà soltanto accennata brevemente in questo corso). con due dadi la probabilità che esca una somma pari a 4 è pari a 3/36 [1+3. 1/3 del campione è morto e il terzo topo è scappato). etc. Lotto. Un insieme (set) è l'unione di singoli elementi accomunati da almeno una caratteristica comune. In alcuni casi viene fatto un abuso dei concetti probabilistici. Questa definizione è la più vicina alla sensazione che permette una sua rappresentazione tangibile (se noi lanciamo un dado n volte la probabilità che esca il 2 corrisponde al numero di volte che il dado si è fermato sul 2 fratto n. soprattutto in campo medico (Il 33% del campione ha reagito bene alla somministrazione del farmaco. Giochi di carte.2+2. Insiemi e calcolo booleano L'impiego dell'insiemistica e del calcolo booleano diventa praticamente necessario per presentare le operazioni legate al calcolo delle probabilità. se n è "sufficientemente" grande). La probabilità potrebbe essere definita come il limite del rapporto fra numero di volte che un evento risulta verificato e il numero di volte in cui sia stato valutato il verificarsi dell'evento per il secondo numero che tende a infinito.) sono basati sul calcolo delle probabilità.

Le operazioni di unione e intersezione sono definite internamente agli insiemi (operano sugli insiemi generando degli insiemi). Un sottoinsieme è un insieme che contiene solo una parte degli elementi dell'insieme. dell'insieme negato di A (tutto ciò che non è A ma che fa parte dell'universo del discorso Ω). B A A B Rappresentazione dell'intersezione di due insiemi 40 . La negazione di un insieme E si indica con lo stesso nome dell'insieme sopralineato (o sottolineato) E e contiene tutti gli elementi di Ω che non appartengono all'insieme E. L'uso dei diagrammi di Venn permette una esemplificazione grafica dei concetti insiemistici molto utile alla comprensione delle operazioni sugli insiemi. ogni insieme considerabile E sarà quindi un sottoinsieme di Ω ( E ⊂ Ω ). l'unione di più insiemi è un insieme contenente tutti gli elementi di tutti gli insiemi sottoposti a unione (contati una sola volta).elementi di interesse (gli Stati di funzionamento che il sistema in esame può assumere nel nostro caso) si indica generalmente con la lettera omega maiuscola Ω. l'insieme vuoto ovvero privo di elementi si indica con la lettera fi minuscola φ. l'intersezione di più insiemi è un insieme contenente tutti gli elementi comuni a tutti gli insiemi sottoposti a intersezione (contati una sola volta). Ω A A Rappresentazione di un insieme A. anche la negazione è un sottoinsieme di Ω ( E ⊂ Ω ).

la probabilità dell’insieme vuoto φ equivale alla probabilità che il sistema considerato non abbia un suo stato. () 41 . In modo analogo possiamo definire la probabilità dell’insieme vuoto φ. le unioni di eventi (insiemi) e le negazioni di eventi (insiemi) hanno una probabilità che può essere calcolata a partire dalle probabilità di accadimento dei singoli eventi. Anche questa è una probabilità condizionata all’esistenza del sistema considerato. La probabilità dell’universo del discorso Ω equivale alla probabilità che il sistema considerato abbia un suo stato. se il sistema esiste deve avere uno stato quindi la probabilità che un sistema esistente esista è unitaria P(Ω)=1. È quindi una probabilità condizionata all’esistenza del sistema considerato. se il sistema esiste deve avere uno stato quindi la probabilità che un sistema esistente non esista è nulla P(φ)=0.B A A B Rappresentazione dell'unione di due insiemi Le operazioni di unione e intersezione posseggono alcune proprietà: Proprietà Commutativa A∩B=B∩A A∪B=B∪A Proprietà Associativa A∪(B∪C)=(A∪B)∪C=A∪B∪C A∩(B∩C)=(A∩B)∩C=A∩B∩C Proprietà Distributivativa A∪(B∩C)=(A∪B)∩(A∪C) A∩(B∪C)=(A∩B)∪(A∩C) Legge di Idempotenza A∩A=A A∪A=A Legge di Assorbimento A∪(A∩B)=A A∩(A∪B)=A Legge di Complementarietà A∩A = ∅ A∪A = Ω A=A Teorema di De Morgan A∩B= A∪B A∪B= A∩B Probabilità degli eventi L’universo del discorso Ω nel caso della probabilità legata al rischio è l’insieme di tutti gli stati possibili che il sistema in esame assume. ne deriva che l’intersezione fra eventi mutuamente esclusivi sia l’insieme vuoto a cui è associata la probabilità nulla. P( A ∩ B ) = P( A)P(B A) = P(B )P( A B ) P ( A ∪ B ) = P ( A) + P (B ) − P( A ∩ B ) P A = 1 − P ( A) Due eventi A e B si dicono mutuamente esclusivi se non hanno stati di funzionamento del sistema (elementi) in comune. Tutte le probabilità degli eventi associati a un determinato sistema sono quindi condizionati all’esistenza del sistema stesso. A ogni stato è legata una probabilità che lo stato si verifichi. Le intersezioni di eventi (insiemi). Un evento è quindi l’insieme degli stati del sistema (elementi dell’insieme) tali per cui l’evento sia verificato (proprietà/caratteristica dell’insieme).

nello stesso periodo il fornitore b ha consegnato 9900 di cui 148 si sono guastati. l’intersezione avrà una probabilità di ameno tre ordini di grandezza (in base 10) inferiore della probabilità dell’altro evento (B). Il fornitore a fornisce il 67% dei pezzi il fornitore b il 33%. Se uno degli eventi -3 -3 (A) ha una probabilità inferiore a 10 (P(A)<10 ). ovvero comporta il trascurare in una somma la probabilità dell’intersezione rispetto alle probabilità dei singoli eventi. Negli ultimi tre anni il fornitore a ha consegnato 20100 pezzi di cui 201 si sono Guastati. Per eventi indipendenti si può quindi scrivere: P( A ∩ B ) = P( A)P(B ) L’ipotesi di indipendenza è una semplificazione di cui non si può valutare facilmente la portata.A∩ B =φ P( A ∩ B ) = P(φ ) = 0 P( A ∪ B ) = P( A) + P(B ) − P(φ ) = P( A) + P(B ) Considerare l’ipotesi di eventi mutuamente esclusivi comporta la semplificazione del calcolo della probabilità dell’unione. Pr( E ) = lim N E N T N T →∞ La probabilità condizionata si calcola tenendo conto delle numerosità in cui l’evento condizionatore sia verificato Pr( E A) = lim N E A N T A N T →∞ Esercizio Un componente viene fornito da due fornitori indipendenti a e b. la probabilità che un componente trovato guasto sia fornito dal fornitore a 3. In genere la numerosità degli eventi testati deriva da considerazioni di tipo economico (costo in termini di tempo e denaro dei test). l’errore legato alla semplificazione sarà quindi inferiore allo 0. Il concetto di “sufficientemente” è legato alla accuratezza con cui si desidera conoscere la probabilità. Il condizionamento di un evento a un altro può comportare un aumento o una diminuzione della probabilità dell’evento dipendente. la probabilità che un componente montato sia guasto 2. Probabilità condizionate e Teorema di Bayes Il calcolo delle probabilità condizionate a partire dalla conoscenza delle probabilità dei singoli eventi semplici e dei condizionamenti inversi può essere effettuato tramite il teorema di Bayes che deriva direttamente dalla definizione della probabilità dell’intersezione di eventi: P( A ∩ B ) = P( A)P(B A) = P(B )P( A B ) P(B )P( A B ) P (B A ) = Teorema di Bayes P ( A) Valutazione statistica della probabilità degli eventi La valutazione statistica della probabilità di un evento si può calcolare dalla numerosità delle situazioni testate NT e dalla numerosità delle situazioni testate in cui l’eventi si sia verificato NE. Per sistemi complessi il valore vero della probabilità non è conosciuto e la numerosità minima non è valutabile dalla precisione richiesta.1%. Due eventi A e B si dicono indipendenti se la probabilità assoluta di accadimento dell’evento A è uguale alla probabilità condizionata all’altro evento B ( P( A) = P( A B ) ). Calcolare: 1. la probabilità che prendendo due componenti a caso siano a) entrambi guasti e b) almeno uno sano 42 . La numerosità delle situazioni testate deve essere sufficientemente elevata.

entrambi guasti G1 ∩ G2.67. NFb = 9900.9998643 Si può arrivare alla stessa soluzione dal calcolo combinatorio: 43 . N= NFa + NFb = 30000 P(Fa) = NFa/N = 0. NG|Fb = 148.01165 Non deve stupire che la somma sia 1 perché. la frequenza di guasto dei componenti venduti (guasti all’anno di componenti montati.5759 La differenza dei valori deriva dagli arrotondamenti dei risultati dei calcoli 3. Fa e Fb sono eventi mutuamente esclusivi per cui: Fa ∩ Fb = φ P(φ)=0 P(G ) = P(G Fa )P(Fa ) + P(G Fb )P(Fb ) = . S 1 ∩ G2 U G1 ∩ S 2 U G1 ∩ G2 Considerando i due componenti uguali e gli eventi di guasto indipendenti.01 * . il primo guasto il secondo sano G1 ∩ S2. P(G1) = P(G2) = P(G) = 1-P(S).01163 La differenza dei valori deriva dagli arrotondamenti dei risultati dei calcoli 2.67 * 0.5751 P(G ) 0.01. P(almeno uno sano) = 2P(G)P(S)+P(S)2 = 1.01165) = 0. P(G|Fb) = NG|Fb/NFb = 0. la probabilità che un componente trovato guasto sia fornito dal fornitore a P(Fa|G) Applicando direttamente il teorema di Bayes si ottiene: P(Fa )P(G Fa ) 0.4.33 * 0.P(G)2 =1-0. P(S1) = P(S2) = P(S) = 1-P(G).0001357 = 0.33 Probabilità che un componente proveniente dai fornitori a o b si guasto: NG|Fa = 201.33 = 0.015 P(Fb G ) = = = 0. Calcolando direttamente dalle numerosità degli eventi si ottiene: P(Fa|G) = NG|Fa/(NG|Fa+ NG|Fb) = 201/(201+148)= 0. P(Fb) = NFb/N = 0. P(G|Fa) = NG|Fa/NFa = 0.01 P(Fa G ) = = = 0. il primo sano il secondo guasto S1 ∩ G2.4249 P(G ) 0. malgrado il condizionamento.015 1.01165 P(Fb )P(G Fb ) 0. il componente deve arrivare da uno dei due fornitori per cui P[(FaUFb)|G]=1.0001357 2 2 ( ) b) Almeno uno sia sano S prendendo due componenti tutti gli stati possibili sono: entrambi sani S1 ∩ S2.67 + .015 * . P(G) = probabilità che un componente preso a caso sia guasto L’evento G componente guasto può essere considerato come l’unione di due eventi: 1 un componente guasto che arrivi dal fornitore a e 2 un componente guasto che arrivi dal fornitore b G = G ∩ (Fa ∪ Fb ) = (G ∩ Fa ) ∪ (G ∩ Fb ) P(G ) = P[(G ∩ Fa ) ∪ (G ∩ Fb )] = P(G ∩ Fa ) + P(G ∩ Fb ) − P[(G ∩ Fa ) ∩ (G ∩ Fb )] = P(G ) = P(G Fa )P(Fa ) + P(G Fb )P(Fb ) − P[G ∩ (Fa ∩ Fb )] Poiché il componente può arrivare da uno solo dei fornitori. ovvero necessità di interventi in garanzia) Soluzioni Probabilità che un componente provenga dai fornitori a e b: NFa = 20100. la probabilità che prendendo due componenti a caso siano a) entrambi siano guasti G2 P G 2 = P(G1 ∩ G 2 ) = P(G )P(G ) = P(G ) = (0.01165 Calcolando direttamente dalle numerosità degli eventi si ottiene: P(G)= (NG|Fa+ NG|Fb)/N = (201+148)/30000= 0.

weibul e altre ancora). R (t m ) = P(T > t m ) L’istante T è una variabile casuale. 44 . Il tasso di guasto di un componente posto in un ambiente non particolarmente aggressivo e sottoposto a sollecitazioni molto lontane dal limite di rottura ha un andamento detto a “vasca da bagno” nel corso della vita del componente stesso. Se noi consideriamo un componente che venga posto in opera e lasciato. probabilità di guasto P(G) = 0./a Definizione di affidabilità e distribuzioni caratteristiche L’affidabilità viene in questo caso definita come la probabilità che l’istante del guasto T sia successivo alla fine della missione tm. logaritmica. indisturbato.1 = P(Ω) = P(Ω) = [P(G)+P(S)] = P(G) +2P(G)P(S)+P(S) P(almeno uno sano) = 1. funzionare nel tempo si nota che il tasso di guasto diminuisce in un primo periodo. cambia la distribuzione dei guasti nel tempo e h(t) Periodo infantile Usura. esponenziale. A seconda della tipologia di componente e dell’ambiente in cui il componente opera e delle sollecitazioni che il componente subisce in campo. Un andamento qualitativo è riportato in figura.01165 Pezzi guasti previsti in un anno P(G)V/3=116. Il tasso di guasto [h(t)] rappresenta la stessa grandezza riferita al solo insieme di componenti in cui il guasto non si sia ancora verificato al tempo t. F(t m ) = 1 − R (t m ) = tm ∫ f (t )dt 0 La densità di probabilità di guasto o la frequenza di guasto rappresenta una probabilità di guasto su un intevallo di tempo infinitesimo f(t)dt è la probabilità che T sia compreso fra t e t+dt. vetustà Periodo di Vita utile t l’affidabilità potrà essere descritta con modelli differenti.9998643 4. la sua derivata prima è la densità di probabilità di guasto f. L’affidabilità è quindi una probabilità e possiamo modellarla secondo le distribuzioni conosciute (gaussiana.5 Comp. h(t)dt è la probabilità che un componente giunto sano all’istante t si guasti prima di t+dt. in un secondo periodo si mantiene costante e in un terzo e ultimo periodo cresce nuovamente. tm è una variabile operativa che scegliamo in sede di progetto della manutenzione del sistema. la frequenza di guasto dei componenti venduti 2 2 2 2 Pezzi venduti in tre anni V=30000 Comp.P(G)2 =2P(G)P(S)+P(S)2 = 0. L’inaffidabilità F è il complemento a 1 dell’affidabilità./a.

F(t ) = λt la semplificazione diventa utile quando si hanno centinaia di eventi da calcolare per risolvere un albero dei guasti o degli eventi. La ruota forata di per sé potrebbe essere completamente danneggiata e non più recuperabile quindi non "riparabile" tuttavia la riparabilità dell'evento non cambierebbe. Dipende infatti dal tempo previsto per eventuali ritardi. Durante il periodo di vita utile il tesso di guasto di un componente non stressato è quindi costante. la probabilità che all'istante t il componente sia funzionante. Per una distribuzione a tasso costante si può scrivere: F(t m ) = 1 − R (t m ) = tm ∫ f (t )dt = ∫ λe 0 0 tm − λt dt = 1 − e −λtm . 45 . Per tempi molto piccoli rispetto a 1/λ. Gli eventi Riparabili li abbiamo ulteriormente classificati in Denuncianti e Non Denuncianti il proprio stato di guasto. Come si può constatare dall'esempio. R (t m ) = e − λtm Un tass di guasto costante significa che a intervalli di tempo uguali corrisponde la stessa frazione di componenti che si guastano fra quelli che erano sani all'inizio dell'intervallo. senza terminare la missione prima del tempo. dalla disponibilità della ruota di scorta. La capacità fa parte della formazione.Se il tasso di guasto è costante nel tempo la distribuzione dei guasti si può descrivere con un modello di distribuzione esponenziale. Si indica con A (availability) e il suo complemento a 1 è la inaffidabilità U (unavailability). Il periodo infantile viene notevolmente ridotto con un collaudo dei componenti che elimina i componenti che presentano difetti di fabbricazione o danni nel corso del trasporto o della messa in opera. la differenza fra le due consiste nell'evidenza del guasto della ruota in uso non appena il guasto si verifica durante la missione. Abbiamo quindi diviso gli eventi in: Riparabili e Non Riparabili. Tuttavia esistono molte situazioni in cui si può riparare il guasto senza per questo terminare la missione. se avessi previsto di lasciare del tempo per eventuali inconvenienti il sistema sarebbe riparabile. se la missione consiste nel raggiungere in un dato tempo una destinazione. l'affidabilità è molto elevata. se avessi verificato prima di partire che la ruota di scorta ci fosse e fosse gonfia avrei modificato la probabilità di avere la ruota di scorta disponibile. L'inverso del tasso di guasto corrisponde a un tempo aspettato per avere il guasto da quando è verificato che il componente è funzionante. Un esempio semplice di evento riparabile potrebbe essere la foratura di una gomma. in caso di foratura posso avere il tempo di sostituire la ruota con la ruota di scorta e arrivare in tempo a destinazione. la ruota di scorta potrebbe essere guasta da tempo e nessuno se ne accorge. la riparabilità dipende da molto fattori a prescindere dalle caratteristiche intrinseche del componente. e come abbiamo visto ha un comportamento differente dalla ruota in uso. 4. Per ovviare al problema della descrizione di eventi riparabili è stata definita la disponibilità. il veicolo funziona esattamente allo stesso modo. La funzione esponenziale può essere sviluppata in serie di Taylor intorno al tempo 0 e approssimata come: R (t ) = 1 − λt . Il tempo fa parte della progettazione. il tempo di calcolo risulta notevolmente minore. La disponibilità della ruota di scorta fa parte della manutenzione. dalla capacità di sostituire la ruota. Disponibilità In termini di affidabilità si possono trattare solamente quei componenti (quegli eventi) che non possono essere risolti senza mandare a monte la missione. Il tasso di guasto costante è l'inverso del tempo medio al guasto (MTTF=mean time to fail). se ci fosse una persona capace il sistema sarebbe riparabile. Anche la ruota di scorta è di per sé riparabile. L'affidabilità è infatti la probabilità che non avvenga un guasto durante il tempo di missione.

interruzione delle normali operazioni. ecc.Eventi non riparabili Per gli eventi non riparabili è sufficiente considerare la disponibilità a fine missione. in altri casi è necessario un banco di prova del componente. Si esegue quindi un test di funzionalità del componente ogni intervallo di tempo detto tempo di test τ. Un evento non riparabile sarà funzionante a fine missione se e solo se non ha subito guasti durante la missione. Nel caso di distribuzione esponenziale si ha quindi A (t ) = e − λt Eventi Riparabili Non Denuncianti il proprio stato di guasto Gli eventi che non denunciano il proprio stato di guasto non possono essere riparati fintanto che qualcuno non si è accorto del guasto. Se il tempo per eseguire il test è lungo o se l'operazione è complessa e si può evitare il test in linea (on line).). Deve essere quindi previsto un intervento di manutenzione per verificare lo stato di questi componenti e riscontrare l'avvenuto o meno evento. Al momento del test si può operare in molti modi a seconda del tipo di componente delle caratteristiche del test da effettuare (tempo necessario. quindi il valore della disponibilità al tempo t corrisponde al valore della affidabilità del componente per un tempo di missione pari a t: A(t)=R(t). 46 . Il sistema non devia dal suo funzionamento normale. In alcuni casi la verifica è solamente visiva. Al A 1 e-λτ tm t termine del test se il componente non è funzionante viene comunque sostituito ripristinando a nuovo il sistema. il componente può essere sostituito con un altro sicuramente funzionante (testato) e il test verrà eseguito a parte (off line).

dopo il tempo necessario al test la disponibilità sarà di nuovo pari a 1. Al momento del test la probabilità di trovarlo sano e funzionante sarà quindi espressa dalla disponibilità al tempo τ. La disponibilità al termine del test sarà quindi pari a 1.A 1 e -λτ τ 2τ 3τ 4τ 5τ t Al termine del test se la distribuzione dei guasti è esponenziale. m(t)dt è la probabilità che un componente guasto al tempo t venga riparato entro il tempo t+dt. Durante il funzionamento non c'è controllo e la probabilità di guasto segue esattamente l'andamento di un componente non riparabile fino alla verifica al tempo τ. 2) attivare le procedure di intervento. La variazione della disponibilità dovrà essere molto limitata si può quindi considerare un valore medio o minimo sull'intervallo come valore dell'affidabilità. pari alla affidabilità per il periodo di non controllo τ. La funzione risultante sarà quindi una funzione periodica di periodo τ. Il tasso di ripristino dipende dal meccanismo di ripristino. L'andamento della disponibilità in questo caso può essere determinato come la soluzione di un sistema di equazioni differenziali:  dA(t ) = m(t )U (t ) − h(t ) A(t )   dt U (t ) = 1 − A(t )  dove m(t) è il tasso di ripristino definito in analogia con il tasso di guasto. nel caso di una distribuzione esponenziale se τ<<1/λ è possibile considerare solo un valore valido per tutto l'intervallo . il sistema è rimesso a nuovo in quanto è verificata la funzionalità del componente e il tasso di guasto è costante. per ripristinare un componente guasto occorre 1) accorgersi del guasto. A (τ ) = e − λτ se la distribuzione dei guasti è esponenziale. Il valore medio sull'intervallo per una distribuzione generica si calcola come: ∫ tA(t )dt A (τ ) = 0 τ ∫ dt 0 τ in particolare per una distribuzione esponenziale A = e − λτ 2 Eventi Riparabili Denuncianti il proprio stato di guasto Gli eventi che denunciano il proprio stato di guasto provocano una deviazione dal funzionamento normale del sistema tramite la quale denunciano lo stato di guasto. 3) eseguire 47 . In presenza di un osservatore capace di intervenire o di un sistema automatico di intervento l'evento è autodenunciante. Solamente se il sistema è monitorato ci si può accorgere della deviazione.

pp 1-296 48 . Bendell. pp /1-10 III. Milano. Manutenibilità I. pp 87-124. Alla stessa soluzione si può giungere con un ragionamento approssimato sui tempi al guasto e alla riparazione. cap 1-6. 1993. Reliability data banks. Bendell. m(t)=µ.Tecniche Nuove.1991. 1988. cap 1. Analogamente m(t)U(t) esprime la probabilità di passaggio dallo stato di guasto allo stato sano sullo stesso intervallo Considerando una distribuzione esponenziale degli eventi di guasto e degli eventi di ripristino i tassi risultano essere costanti h(t)=λ. Reliability. What every engineer should know about: Reliability and risk analysis. Ghersini. cap 7-9.. M. Qualità e affidabilità nella Pratica industriale. Dekker.le procedure di ripristino (la disponibilità dei pezzi di ricambio e altre variabili modificano il tempo di ripristino). i componenti sani hanno una probabilità di esistenza al tempo t pari alla disponibilità A e la probabilità assoluta del passaggio dallo stato sano allo stato guasto nell'intervallo dt è espressa da h(t)A(t).159-186 II. Modarres.G. Il tasso di ripristino dipende quindi dalle modalità di manutenzione straordinaria. Il MTTF corrisponde al tempo medio in cui il componente è funzionante. Il significato della prima equazione rappresenta un bilancio della variazione di disponibilità. Elsevier. Per un numero sufficientemente elevato di eventi di guasto il tempo medio fra due guasti è rappresentativo del tempo fra due guasti. Il sistema si riduce a:  dA(t ) = µU (t ) − λA(t )   dt U (t ) = 1 − A(t )  Questo sistema ha una soluzione asintotica per t → ∞ pari a A∞ = µ λ+µ . In: A. Amsterdam. Se il tempo di missione è sufficientemente lungo ( t m → ∞ ) il numero di guasti è sufficientemente alto e il rapporto fra i tempi equivale alla probabilità di trovare il componente funzionante all'istante t generico. A. Il numero di guasti è sufficientemente elevato se il tempo di missione è molto superiore al tempo medio al guasto (MTTF=1/λ=mean time to fail) e al tempo medio alla riparazione (MTTR=1/µ=mean time to repair). New York. Cannon. il MTTR equivale al tempo medio in cui il componente è non funzionante. La somma dei due tempi equivale al tempo medio fra due guasti (MTBF=mean time between fails=MTTF+MTTR). 1991.13-15. λµ 1 1 µ MTTF MTTF A∞ = = = λ = λ = λ = MTBF MTTF + MTTR 1 1 µ + λ µ + λ λ + µ + λ µ λµ 5. M.

valutazione delle frequenze di accadimento 49 . Valutazione di eventi complessi per sistemi multicomponenti Serie. Misure di affidabilità 7.6. parallelo e logica maggioritaria 8.

presente solo in organismi sufficientemente evoluti • Iniezione. Le vie di introduzione delle sostanze Le principali vie di introduzione di una sostanza all'interno di un organismo vivente sono essenzialmente quattro: • Ingestione. radiazioni. ovvero introduzione tramite l'apparato orale presente solamente in organismi sufficientemente evoluti • Inalazione. il parametro di discriminazione per valutare le interazioni è la dose di sostanza che viene introdotta nell'organismo. etc. introduzione tramite le membrane protettive esterne Le quattro vie di introduzione comportano. Gli agenti chimici (CO. non esistono sostanze che non lo siano. Gli agenti fisici (fibre di amianto. • Vie di eliminazione. Infatti il sangue rapprenta l'unico anello comune per tutte le vie di penetrazione dell'organismo. le interazioni possono essere positive o negative.) interagiscono tramite meccanismi propri della chimica reazioni di ossido-riduzione. 50 . In pratica però. introduzione attraverso l'apparato respiratorio. caratteristiche di ricaduta differenti sia in termini di tempo che in termini di concentrazioni massime raggiunte nel sangue.". a parità di dose. non esistono sostanze che non interagiscano con gli organismi viventi. • Un primo aspetto riguarda le vie di introduzione delle sostanze negli organismi viventi. introduzione per intimo contatto dovuto al superamento delle membrane protettive esterne (ferite o tramite ago ipodermico) • Assorbimento cutaneo. CN-. degradazione e inertizzazione delle sostanze introdotte • Effetti delle sostanze sugli organismi • Metodi di prevenzione I primi tre sono analizzati all'interno della tossicologia.Pericolosità delle sostanze 1. vibrazioni) interagiscono secondo meccanismi propri della fisica come ostruzioni eccitazione atomica e molecolare. rumore. Tossicità delle sostanze Gli aspetti fondamentali delle interazioni fra le sostanze chimiche e gli organismi biologici possono essere stigmatizzati in quattro categorie di problematiche. Ovvero: nessuna sostanza è di per se stessa innocua. polveri. esistono solamente modi innocui di utilizzare le sostanze. Citando Paracelsus possiamo dire che: "tutte le sostanze sono veleni. etc. Le concentrazioni nel sangue. As. tuttavia la conoscenza dei veleni risale agli albori dell'umanità. Le sostanze possono essere inizialmente classificate in base al loro modo di interagire con gli organismi viventi. acido-base. sfondamenti. principale sistema di trasporto negli organismi superiori. La giusta dose distingue un veleno da un rimedio. il quarto aspetto viene analizzato nell'ambito delle discipline di igiene. rappresenta un parametro fondamentale per le comparazioni fra i sistemi. Introduzione 2. La tossicologia è nata come scienza che studia le sostanze catalogabili come veleni e si è sviluppata dal sedicesimo secolo in avanti in forma strutturata.

L'inertizzazione consiste nell'immagazzinare la sostanza in modo da renderla inattiva seppure presente nell'organsmo.20 litri al minuto di anidride carbonica. gli animali testati vengono completamente rasati e cosparsi con la sostanza (o una soluzione della sostanza). Meccanismi di eliminazione della sostanza I meccanismi di eliminazione dell'organismo sono principalmente tre: • Escrezione. l'immagazzinamento avviene principalmente nei tessuti adiposi. Per l'inalazione gli animali vengono esposti ad una atmosfera in cui è presente la sostanza ad una concentrazione nota per un tempo stabilito (in genere 15 minuti). secondariamente attraverso la pelle (sudore come fluido ditrasporto) e i capelli. Per l'ingestione e l'iniezione la sostanza viene introdotta attraverso il cibo degli animali da testare o per iniezione ipodermica tramite siringa con ago e la dose viene valutata come quantità per peso corporeo. • Detossificazione. Per quanto concerne l'assorbimento cutaneo. immagazzinamento nei tessuti adiposi L'escrezione consiste nell'espulsione della sostanza senza modificazioni chimiche si verifica principalmente tramite l'intestino retto.Concentrazione nel sangue Ingestione Inalazione Iniezione Assorbimento cutaneo tempo dalla somministrazione Le caratteristiche principali dell'apparato respiratorio sono legate al volume che il sistema riesce ad esprimere in fase di espansione. La detossificazione consiste nella degradazione per via biochimica o chimica della sostanza introdotta e avviene principalmente nel fegato. alle quantità di ossigeno e anidride carbonica scambiate e alla velocità di emissione e immissione dell'aria. 51 . L'area di scambio è di circa 70 metri quadri ed è costituita da circa 300 milioni di alveoli. i reni e i polmoni. la dose considera la quantità di sostanza per peso corporeo dell'animale. la dose viene valutata in termini di concentrazione riferita al tempo di esposizione (ovvero per rapportare i dati di esposizione e dose bisogna confrontare le dosi a parità di tempo di esposizione). Effetti Gli effetti possono avere un grado più o meno elevato di reversibilità che può dipendere o meno dalla dose. I test per la valutazione degli effetti tengono conto delle differenti metodologie di introduzione nell'organismo.25 litri al minuto di ossigeno e la produzione di 0. il fegato. • Inertizzazione. Il valore medio di volume inspirato è di circa 8 litri al minuto con un consumo di 0.

mentre • Individuazione degli effetti da valutare 52 . L'individuazione di queste procedure richiede un protocollo abbastanza accurato che potrebbe essere schematizzato in una successione di passaggi logici: • Caratterizzazione della sostanza. Classificazione Carcinogeni Studi di Tossicologia L'analisi tossicologica dei rischi legati alla presenza di una sostanza in un determinato ambiente porta alla formulazione di alcune procedura sperimentali per la valutazione della pericolosità della sostanza. Sono stati definiti alcuni parametri che caratterizzano il comportamento dell'apparato: • FVC. che misura la capacità dell'apparato ovvero la quantità di aria interessata in fase di immissione ed emissione di aria. reattività verso sostanze specifiche • Individuazione dell'organismo utilizzabile per i test in base alle finalità dell'analisi. ovvero la velocità media fra l'espulsione del 25% e del 75% del FVC. che rappresenta la velocità massima di emissione di aria. Un aumento del RV corrisponde ad una menomazione degli alveoli polmonari (Enfisemi tipici delle affezioni dovute ad amianto in fibra e silice in polvere ovvero asbestosi e silicosi) con riduzione dell'area di scambio ariasangue. danni alle mucose Emotossici Modificazioni delle caratteristiche sanguigne Epatotossici Danni a livello epatico con riduzione delle funzioni Nefrotossici Danni a livello renale Neurotossici Danni al sistema nervoso Pulmonotossici Danni all'apparato respiratorio profondo Per valutare i danni subiti per esposizione ad una determinata sostanza esistono prove mirate alla quantificazione del probabile danno individuato. • FEV. Come esempi si riporta una metodologia di analisi per danno all'apparato respiratorio. • il rapporto fra i due parametri precedenti. • RV. La riduzione del FVC è un chiaro sintomo di una alterazione a livello polmonare che modifica le capacità di deformazione. • la velocità mediana. ovvero la quantità di aria residua nell'apparato al temine dell'espulsione. valutazione dei parametri chimico-fisici che influenzano il comportamento della sostanza (stato di aggregazione.Caratteristica Irreversibili Effetti Generano degenerazioni dell'attività a livello cellulare (cancro) Mutageni Modificano le caratteristiche genetiche delle cellule Teratogeni Provocano difetti legati allo sviluppo del feto Rischi Provocano difetti genetici nelle Riproduttivi gonadi Parzialmente Dermatotossici Danni a livello epiteliale con reversibili irritazioni o escoriazioni. La riduzione del FEV è sintomatica di un danno a livello dei bronchi e di tutto l'apparato superiore. per la valutazione di danni di tipo genetico o per la valutazione di meccanismi di azione specifici sono indicati microorganismi di tipo unicellulari.

In definitiva si ricava il valore medio e la varianza della percentuale di individui interessati agli effetti (ovvero che abbiano superato una certa soglia di intensità dell'effetto considerato.) si può individuare una scala di intensità dell'effetto stesso riportabile su un intervallo 0-1 (oppure 0-10). da cui si ricava una distribuzione di probabilità che un dato individuo superi una soglia di intensità degli effetti. etc. Si ottiene una sigmoide per ciascun effetto considerato. Lesione di un organo o apparato. 53 . la dose letale è funzione della probabilità di morte dell'individuo o della frequenza di morte nel campione considerato sperimentalmente. dell'organismo testato e degli effetti valutati Valutazione delle risposte in funzione delle dosi somministrate L'effetto che una singola dose esplica sul singolo individuo è funzione sia della dose che dell'individuo e può essere valutata in base all'effetto che si intende studiare. Si ottiene quindi una sigmoide riferita alla dose letale. si possono individuare effetti differenti per ogni sostanza. Si individuano quindi dei limiti di riferimento DL50. Numero Affetti Numerosità del Campione µ−σ µ µ+σ Intensità dell'effetto È quindi possibile riportare la percentuale di campione affetto (considerato come la risposta dell'organismo) in funzione della dose somministrata. tuttavia un effetto di riferimento comune può essere considerata la morte degli individui.• Individuazione della metodologia di test più opportuna in base al tipo di esposizione e di rischio • Individuazione del campo di valori di dose interessanti ai fini dell'analisi e della caratterizzazione della sostanza • Valutazione del tempo di test in base alle caratteristiche della sostanza. Questi valori sono stati utilizzati come valori guida per la classificazione delle sostanze in base alla tossicità. Fissata la dose si può valutare la distribuzione di intensità di tipo gaussiano sulla popolazione esaminata. In pratica per ogni effetto che si intende analizzare (Astenia. DL10 che esprimono la dose letale (DL) per il 50% o il 10%.

54 . 1989. R. J. Esplosioni (deflagrazioni e detonazioni) e incendi La pericolosità delle sostanze riguarda anche la loro capacità di essere costituenti fondamentali per la combustione cioè di fungere da attivatori do elettron accettori o elettrondonatori. GU 127 01/06/88 VII. M.F. DC(82/501/CEE) 24/06/82. DPR 547 27/04/55 e successivi aggiornamenti 0% 3. Ibidem. pp 22-155 IV. Binetti. Pasquon.. cap 8. Ragno Editore. l'assorbimento cutaneo (mg/kg) e l'inalazione in termini di concentrazione nella fase gassosa. Valutazione dei rischi delle sostanze chimiche. la natura dei processi di incendio ed esplosione. 1990. D. cap 2-5. Sampaolo. GU 305 30/12/85 V. pp 107-137 III. ibidem. 05/08/82 VI. RD 147 09/01/27 e successivi aggiornamenti VIII. DPR 175 17/05/88.230/1. Roma II.5l) Tossico Poco Tossico 5000-15000 un quarto (≈1l) Molto Poco Tossico > 15000 più che un quarto Questa classificazione è stata sostanzialmente recepita dalla Comunità Europea con una direttiva comunitaria del 1982 e dalla legge Italiana con il DPR175/88 che introducono una differenziazione fra le differenti vie di introduzione nell'organismo.. Le perdite negli Stati Uniti d'America per il 1979 dovuti ad esplosioni ammontano a circa 300 Milioni di dollari suddivisi equamente fra perdite direttamente correlate agli eventi (danni materiali) e perdite indirettamente legate agli eventi esplosivi derivanti da mancato guadagno o oneri contrattuali.100% Response Effective Dose Curve Letal Dose Curve 50% 10% ED10 ED50 LD10 LD50 Dose Una classificazione è stata stilata da Hodge e Sterner che hanno suddiviso le sostanze in sei classi sulla base del LD50(Letal Dose): Classe LD50. infatti considerano l'ingestione. Il rischio di esplosioni ed incendi è legato a tre fattori principali: le caratteristiche delle sostanze. GUCE L. mg/kg Quantità Tossico Pericoloso >1 un assaggio Seriamente Tossico 1-50 Un cucchiaino da the Altamente Tossico 50-500 un oncia (32g) Moderatamente 500-5000 una pinta (≈0. Louvar. 1990. I. Crowl. le procedure di prevenzione e contenimento messe in funzione. DM 109 3/12/85.A.

Cloro. Monossido di carbonio. Petrolio Gas Comburenti Solidi Liquidi Gas Inneschi Idrocarburi leggeri. ad elevata temperatura (Superiore alla temperatura di autoaccensione della miscela) Esplosione 55 . Particelle metalliche Liquidi Alcoli. Fiamme. Carta. Farina di grano. Fluoro Scintille. Combustibili Solidi Legna. Calore La contemporanea presenza dei tre agenti è assolutamente necessaria per potere iniziare una situazione esplosiva o incendiaria. Carbone. soffitti) che bloccano la propagazione delle onde di pressione Esplosione non Esplosione che avviene in un ambiente non delimitato confinata Deflagrazione Esplosione con onda di pressione che si propaga con velocità inferiore a quella del suono Detonazione Esplosione con onda di pressione che si propaga con velocità superiore a quella del suono Esplosione Esplosione legata all'espansione di gas compressi per meccanica cedimento meccanico di una apparecchiatura Esplosione Esplosione legata all'espansione di gas dovuta chimica all'aumento di temperatura e di moli gassose in relazione ad una reazione chimica non controllata Eslosione da Esplosione chimica dovuta all'intima miscelazione di polveri polveri combustibili e comburenti gassosi BLEVE Boiling Liquid Expanding Vapor Esplosion.La base dell'analisi del rischio di incendio o esplosione di tipo chimico è la valutazione della possibilità e della probabilità della contemporanea presenza di un combustibile e di un comburente posti a contatto sufficientemente intimo in quantità relative adeguate in concomitanza con una causa di innesco. Plastica. Esplosione legata alla rapida formazione di vapori per rapida caduta di pressione per un liquido oltre la temperatura di ebollizione alla pressione ambiente (solitamente accompagnato dalla esplosione chimica della nuvola di vapore formato) Combustione Reazione di ossidazione di un combustibile tramite un ossidante (il comburente) con produzione di energia Incendio Combustione non controllata Innesco Creazione di una zona spazialmente ridotta. interessata dalla presenza di una miscela combustibilecomburente. Idrogeno Perossidi metallici. Idrocarburi pesanti. Acido Nitrico. Nitrato d'Ammonio Acqua ossigenata. Alcune definizioni Espansione rapida di gas con formazione di un'onda di pressione che provoca i danni rilevanti Onda di Onda longitudinale di pressione che trasporta quantità Pressione di moto Esplosione Esplosione che avviene in un ambiente delimitato da confinata barriere (pareti. Acido perclorico Ossigeno. Elettricità statica. Benzina.

56 . l'impiego di aria o di ossigeno puro comporta una forte variazione del limite superiore ed una modesta variazione del limite inferiore. analogamente la presenza di un inerte modifica maggiormente il limite superiore di quello inferiore. 100% inerte (vertice in basso a destra). 100% combustibile (vertice in alto). la seconda condizione dipende dalla presenza relativa delle sostanze. Esempio: Per il metano la reazione di ossidazione può essere espressa come: CH 4 + 2 O 2 → CO 2 + 2 H 2 O ogni mole di metano reagiscono due moli di ossigeno che corrispondono a 10 moli di aria. Esistono quindi dei limiti minimi di concentrazione di combustibile e di comburente al di sotto dei quali il numero di molecole di combustibile o di comburente in grado di eccitarsi (cioè sufficientemente vicine alle molecole che reagiscono) è inferiore al numero delle molecole in grado di reagire. Questi limiti possono essere espressi in termini di concentrazione volumica di combustibile minima e massima fra cui è sicuramente compresa la concentrazione stechiometrica. inoltre l'energia liberata dalla reazione delle molecole attivate deve essere in grado di attivare un numero di molecole almeno pari a quello delle molecole reagite. Si deduce quindi che sul lato verticale si individuano i limiti di infiammabilità delle miscele aria combustibile. Nel caso di combustibili e comburenti entrambe gassosi l'intimo contatto è quasi sempre garantito. Per il metano i limiti inferiore e superiore in aria sono rispettivamente 5% e 15%. I lati del triangolo rappresentano miscele binarie fra i componenti la miscela rappresentati dai vertici interessati dai lati. La presenza di un inerte viene rappresentata tramite diagrammi triangolari di composizione i cui vertici rappresentano: 100% di aria (vertice in basso a sinistra).Temperatura di Temperatura al di sopra della quale il numero di autoaccensione molecole sufficientemente eccitate da poter reagire è tale da produrre una energia sufficiente al proseguimento della reazione Flash Point Temperatura minima alla quale i vapori di una sostanza (Temperatura di in equilibrio con il liquido in presenza di aria si innesco) incendiano a contatto con un innesco Fire Point Temperatura minima alla quale i vapori di un (Temperatura di combustibile liquido posti a contatto con un innesco si fiamma) incendiano mantenendo la fiamma per un tempo prederminato (5 secondi) Limiti di Limiti di concentrazione in volume di combustibile infiammabilità gassoso o vapore miscelato con aria all'interno dei quali la combustione può avvenire (Limite Inferiore e Limite Superiore) Limiti di infiammabilità e di detonalità di miscele gassose e di polveri. la concentrazione stechiometrica del metano in aria è quindi 1/11=9. Temperature caratteristiche di combustibili liquidi e di polveri Per potere avvenire una combustione devono essere presenti un combustibile e un comburente posti in intimo contatto fra loro.1%. I limiti di infiammabilità (che coincidono con i limiti di esplosività) della miscela dipendono anche dal tipo di comburente.

ibidem. 1985.Combustibile C L. London 57 . Le condizioni di infiammabilità della miscela gassosa formata devono rispettare le condizioni suddette e quindi esiste un limite inferiore di infiammabilità. Aggiungendo una quantità di inerte tale da superare il punto S si entra in una zona di sicurezza tale per cui una infiltrazione di aria nel sistema non comporta il raggiungimento della penisola di infiammabilità in nessun caso.Sup.2 % di aria. cap 2-6. Butterworths. Bretheric. le condizioni di intimo contatto con un comburente gassoso (come potrebbe essere l'aria) si raggiungono solamente tramite la vaporizzazione del combustibile. cioè il rapporto in volume fra la miscela M e l'inerte I da aggiungere è numericamente pari al rapporto fra IS e MS. la tensione di vapore dipende dalla sola temperatura ed è caratteristica del liquido. La concentrazione volumica di un vapore in equilibrio con il suo liquido è pari al rapporto fra la tensione di vapore del liquido e la pressione totale. questo comporta una maggiore quantità di combustibile presente all'equilibrio nella fase gassosa.3%C M S L. La quantità di inerte può essere calcolata con la regola della leva sul segmento MI. questa temperatura è detta temperatura di flash (Flash Point). I.3% combustibile. Le misure dei Fire e Flash Point sono molto delicate e a seconda dei metodi possono portare a risultati abbastanza diversi. 3rd ed. Per potere continuare la combustione i vapori che reagiscono devono essere in grado di fornire l'energia sufficiente a fare evaporare una quantità di combustibile almeno pari a quella reagita. Handbook of reactive chemical hazards. per aggiunta di ulteriore combustibile ci si muove sulla linea MC. 23. Per quanto riguarda i combustibili liquidi. la combustione dei vapori produce una maggiore quantità di energia e la forza spingente per l'evaporazione aumenta tutto questo risulta in un più rapido rifornimento di combustibile alla fase gassosa. per ulteriore aggiunta di aria ci si muove sulla linea MA. pp 19-96 II. Si deduce che esiste una temperatura minima al di sotto della quale la concentrazione volumica dei vapori è minore del Limite Inferiore di Infiammabilità. 33.5% Inerte e 31. T I A 23. Aumentando la temperatura aumenta la tensione di vapore del liquido.Inf. Pasquon. Generalmente alla temperatura di Flash questo non si verifica anche a causa della bassa forza spingente in termini di scostamento dall'equilibrio termodinamico. per ulteriore aggiunta di inerte ci si muove sulla linea MI. Esiste una temperatura al di sopra della quale la fiamma è in grado di autosostenersi sul pelo libero del liquido questa temperatura è detta temperatura di fiamma (Fire Point).5%I Inerte Aria Supponendo che il punto M rappresenti una miscela 33.

. pp 156-307 58 . Ibidem. D.F. 1990.III. cap 6-9.A. Crowl. Louvar.. J.

cap 9. 1988. cap 17. Ghersini. 3. ibidem. GU 127 01/06/88 3. Pasquon. Ghersini. ibidem. III. II. Serbatoio soluzione ammoniacale Serbatoio acido fosforico Reattore DiAmmonioFosfato (DAP) Serbatoio DAP E = Dalle stazione di scarico merci o alle stazioni di carico merci V = valvola VS = valvola di sicurezza 59 . GUCE L.230/1. pp 125-158 Direttiva Seveso I. IV. cap 10-12. 05/08/82 DC(87/216/CEE) 19/03/87. ibidem. 1988. 4. 28/03/87 DPR 175 17/05/88.Appendice 1. GUCE L. pp 139-148 DC(82/501/CEE) 24/06/82.85/36. pp 195-204 E4 VS1 E5 E6 VS2 VS3 1 LI 1 FI 1 FI 2 E1 E2 2 LI 2 VA 3 VB Area di lavoro VC 4 VD Area esterna E3 1. Aspetti economici I. 2. 2. Criteri e tecniche di progetto I.

Sign up to vote on this title
UsefulNot useful