Articolo scaricabile gratuitamente in PDF

Tecnica
dicembre 2014
LA TERMOTECNICA
Sicurezza & Impianti
di V. De Lisio, F. P. Nigri
57
Utilizzo di sistemi strumentali di sicurezza
nell’esercizio di impianti di processo
L’articolo si propone di evidenziare gli strumenti messi a disposizione dalla sicurezza funzionale nella risoluzione di problemi che di solito si verificano
nella conduzione di un impianto tecnologico: il controllo delle variabili di processo in uno stabilimento contenente recipienti a pressione di grandi
dimensioni. Per fissare le idee, l’attenzione è focalizzata su un deposito di GPL. I criteri di progettazione del deposito prevedono, per ogni possibile
scostamento dalle normali condizioni di funzionamento, sistemi correttivi automatici e manuali che possono essere riassunti come descritto nel seguito.
USE OF SAFETY INSTRUMENTED SYSTEMS IN PROCESS PLANTS
The article aims to highlight the potential tools which come from the use of the functional safety in the resolution of problems that usually occur in an
industrial plant: the control of process variables in a factory containing large pressure vessels. For simplicity, attention is focused on a LPG deposit. The
standard design of the deposit provides, for each possible deviation from the normal conditions of operation, manual and automatic corrective systems
which can be summarized as described below.
MISURE DI PREVENZIONE E DI MITIGAZIONE ADOTTATE
Nel seguito si preferisce operare una netta distinzione fra misure di prevenzione e misure di mitigazione. Un’ulteriore distinzione riguarda le misure
“propriamente impiantistiche” e quelle approntate ai fini antincendio. Gli
obblighi che scaturiscono dall’applicazione del DLGS 334/99 contribuiscono efficacemente a una corretta gestione del deposito attraverso la
formazione e l’addestramento del personale “in situ”, in accordo al dettato
del decreto del Ministero dell’Ambiente 16 marzo 1998. Il personale addetto all’emergenza è periodicamente addestrato con prove di estinzione
incendi e di evacuazione. Il manuale contenente le procedure operative è
parte integrante del documento della politica aziendale di prevenzione degli
incidenti rilevanti, oggetto di approvazione da parte di una commissione
ministeriale nel corso delle ispezioni condotte in stabilimento ai sensi dell’art.
25 del DLGS 334/99.
Le contromisure da adottare per minimizzare il rischio rappresentato da un
grande serbatoio di GPL sono direttamente proporzionali alla gravità del
pericolo per persone, ambiente o beni. La riduzione del rischio richiesta è
in genere ottenuta abbinando tutte le misure di prevenzione e mitigazione
conosciute. Si richiede ovviamente che il rischio residuo non superi il rischio
tollerabile.
Il settore del GPL ha sempre avuto una grande importanza in Italia dato il
numero dei grandi depositi che da soli rappresentano più di un quinto degli
stabilimenti soggetti agli obblighi del DLGS 334/99. Si tratta di un settore
molto standardizzato da un punto di vista tecnologico che può contare su
regole tecniche molto ben dettagliate, anche per la valutazione del rischio. Il
metodo a indici, per esempio, reso obbligatorio dal DM 15 maggio 1996,
stabilisce i criteri di analisi dei rapporti di sicurezza dei depositi di GPL. Di
recente, però, vi è un altro standard tecnico a disposizione di chi si appresta alla valutazione del rischio di un grande deposito di GPL e allo studio
della sua compatibilità con il territorio circostante. Tale standard tecnico è
rappresentato dalla nuova edizione della norma UNI 10617, pubblicata nel
2009, relativa ai requisiti dei sistemi di gestione della sicurezza ai fini della
prevenzione degli incidenti rilevanti, che consente di definire nei dettagli le
misure di prevenzione da adottare per gli stabilimenti caratterizzati da un
rischio potenziale rilevante.
Alcuni dei principali punti qualificanti della norma UNI 10617-2009 sono
di seguito riportati:
1. individuazione dei parametri operativi critici connessi con gli scenari
incidentali di processo (top events) con l’utilizzo del metodo Hazop;
2. adozione dei principi di sicurezza intrinseca, quali ad esempio la sostituzione di sostanze pericolose con altre meno pericolose e la riduzione
delle quantità presenti;
3. adozione di matrici di rischio per la valutazione della accettabilità dei
rischi e per la definizione di eventuali piani di riduzione degli stessi attraverso modifiche dell’impianto o delle condizioni di processo;
4. definizione delle attività di ispezione e dei controlli periodici delle linee
e delle apparecchiature critiche basate sulla tecnica RBI (Risk Based
Inspection);
5. analisi di affidabilità per i sistemi di allarme e blocco automatico e conseguente definizione del SIL (Safety Integrity Level ) secondo le norme CEI
EN 61508 e CEI EN 61511.
Per conseguire il livello di sicurezza richiesto nei depositi di GPL che ricadono
nel campo di applicazione del DLGS 334/99, si può utilizzare anche lo
standard tecnico EN 61508, il cui obiettivo è controllare i sistemi strumentali
di sicurezza limitandone la probabilità di guasti pericolosi in un modo ben
definito. Ciò equivale a dire che, in uno stabilimento a rischio di incidente
rilevante, i componenti dei sistemi di protezione devono funzionare in modo
Prof. Vincenzo De Lisio - TPALL (Tecnici per la Prevenzione in Ambienti e Luoghi di Lavoro) dell’Università del Molise
Ing. Francesco Paolo Nigri - Direzione Regionale INAIL - Bari
Tecnica
58
Sicurezza & Impianti
tale che il sistema si mantenga sempre in uno stato di sicurezza o si porti
verso uno stato di sicurezza in caso di guasto.
Ai fini della prevenzione degli incidenti rilevanti, l’approccio gestionale della
sicurezza culmina nell’adozione dei piani di emergenza, interno ed esterno,
che rientrano negli obblighi che il DLGS 334/99 pone in capo al gestore
di uno stabilimento a rischio di incidente rilevante al quale si applicano le
disposizioni contenute nell’art. 8 del decreto.
Poiché lo scopo principale di questo lavoro è aiutare il gestore a dimostrare
l’allineamento fra le valutazioni teoriche di sicurezza e la realtà tecnica e
gestionale del suo impianto, si ritiene sufficiente concentrare l’attenzione sui
punti 1) e 5) sopra evidenziati.
APPLICAZIONE DEL METODO HAZOP PER LA DETERMINAZIONE DELLO SCENARIO INCIDENTALE PIÙ GRAVOSO
Il metodo Hazop è uno dei più adottati per identificare i rischi di un
impianto. Consente di rivedere in modo sistematico il processo al
fine di identificare le potenziali deviazioni rispetto all’intento progettuale, esaminando le possibili cause e valutando le conseguenze di tali deviazioni. Il metodo prevede una suddivisione logica
dell’impianto in “nodi”. Le potenziali deviazioni sono individuate
considerando i parametri caratteristici del componente, combinati
con “parole guida” in grado di descrivere le deviazioni stesse, e
cioè gli scostamenti dell’impianto dalle condizioni di progetto.
L’analisi storica relativa a grandi depositi di GPL evidenzia la
probabilità dei seguenti scenari incidentali:
-- collasso termico del serbatoio (BLEVE);
-- flash fire dovuto a rilasci e perdite di contenimento durante le operazioni
di carico/scarico;
-- cedimento catastrofico a freddo del serbatoio.
Le misure impiantistiche e gestionali del deposito consentono di
rendere remoti i primi due scenari incidentali. Risulta credibile il solo
cedimento a freddo del serbatoio dovuto a un aumento incontrollato
della sua pressione interna poiché il blocco in apertura dello stelo
della valvola pneumatica di regolazione del flusso di GPL è un guasto
pericoloso che può rimanere non rilevato.
Nodo: serbatoio di GPL (200m3) contenente all’incirca 90 t di GPL.
Anomalia: blocco in apertura dello stelo della valvola pneumatica di regolazione del flusso di GPL.
Conseguenza: aumento del livello del GPL all’interno del serbatoio; aumento
di pressione all’interno del serbatoio.
Parola guida: alto livello.
Per questa possibile deviazione dalle condizioni normali di funzionamento,
sono previsti i seguenti strati (layers) di protezione indipendenti IPL (Indipendent Protection Layer):
-- livellostato, parte integrante del Basic Process Control System (BPCS);
-- sistema di allarme collegato alla sala controllo;
-- n° 2 valvole di sicurezza installate su cassetto di disimpegno, con scarico
in candela (PSV-1, PSV-2).
Scenario incidentale maggiormente probabile: cedimento a freddo
del serbatoio.
Consideriamo la probabilità dell’evento iniziale (sovrappressione per blocco
in apertura dello stelo della valvola di regolazione del flusso di GPL): probabilità dell’evento iniziale = 1/yr (un solo evento in un anno).
Occorre calcolare la probabilità che ogni strato di protezione in-
dicembre 2014
LA TERMOTECNICA
dipendente (IPL) intervenga correttamente impedendo il verificarsi
dello scenario incidentale.
Come si determina tale probabilità?
È possibile fare riferimento alle probabilità di guasto su richiesta
(PFD) dei vari strati di protezione:
--IPL1- loop di controllo del Basic Process Control System (BPCS):
PFD1 = 0,01;
--IPL2 - risposta dell’operatore alle condizioni di emergenza:
PFD2 = 0,1;
--IPL3 - valvola di sicurezza: PFD3 = 0,1.
Poiché le valvole di sicurezza installate sul cassetto di disimpegno
sono due (ridondanza), si può ritenere PFD3 = 0,01.
La teoria dell’affidabilità ci ricorda che, solo se i vari strati di protezione sono indipendenti, la probabilità che si verifichi lo scenario
incidentale prospettato è data dal prodotto delle probabilità di
fallimento dei singoli strati.
APPLICAZIONE DELLE TEORIE AFFIDABILISTICHE IN ACCORDO
ALLO STANDARD EN 61508
La capacità di un sistema strumentale di consentire il rilevamento
dei guasti riveste un ruolo molto importante ai fini della sicurezza
impiantistica. Nella prima parte della trattazione, si è già operata
una distinzione fra guasti sicuri e guasti pericolosi. In particolare,
si è visto che i “guasti pericolosi non rilevabili” determinano un
perdita inaccettabile della funzione di sicurezza (SIF) e pertanto
devono essere ridotti al minimo adottando misure adeguate. Contro i “guasti pericolosi non rilevabili”, il gestore dello stabilimento
può mettere in campo l’esecuzione di test funzionali. In altri termini,
è buona norma che la funzione di sicurezza (SIF) di un sistema
strumentale di sicurezza (SIS) sia adeguatamente verificata con
cadenze appropriate. Il gestore dello stabilimento è responsabile
della scelta del tipo di test e della frequenza di esecuzione dei
test, che devono essere condotti in modo da dimostrare la piena
funzionalità del sistema strumentale di sicurezza in relazione a
tutti i dispositivi che lo compongono. Fatta questa ulteriore precisazione, riprendiamo il filo del discorso facendo osservare che
l’introduzione del “fattore di riduzione del rischio” consente di
semplificare la trattazione.
Risk Reduction Factor (RRF) = 1/(PFD).
Tecnica
dicembre 2014
LA TERMOTECNICA
L’introduzione del “fattore di riduzione del rischio” consente, infatti, di abbinare a ogni layer, del quale sia nota la PFD, il corrispondente valore di
RRF, indicativo della capacità di quel dato layer di contribuire più o meno
efficacemente alla riduzione globale del rischio.
Il complesso degli strati di protezione indipendenti IPL installati garantisce
un fattore totale di riduzione del rischio “RRF totale” = 1,0 x 105. Si intuisce
che il gestore dello stabilimento raggiunge il suo obiettivo prioritario di prevenzione e controllo degli incidenti rilevanti se la riduzione totale del rischio
comporta un rischio residuo in ogni caso non superiore al rischio tollerabile.
Il valore del rischio tollerabile dipende dalla policy aziendale ed è specificato
nel “documento della politica”.
In tale documento il gestore si impegna, infatti, a perseguire costantemente
la riduzione degli incidenti rilevanti conservando l’efficacia e l’efficienza dei
sistemi di sicurezza, anche attraverso attività di formazione e addestramento
del personale, sensibilizzazione delle ditte appaltatrici operanti nell’ambito
aziendale e programmi mirati di manutenzione. Per semplicità di trattazione,
supponiamo che la policy aziendale ritenga accettabile un solo decesso ogni
dieci milioni di “eventi indesiderati” per anno, laddove per “evento indesiderato” si intende lo scenario incidentale ipotizzato: cedimento a freddo del
serbatoio conseguente a una sovrappressione interna.
Si ha bisogno di introdurre, intorno al processo, un ulteriore “layer” di
protezione in grado di assicurare un fattore di riduzione del rischio “RRF”
dato dal seguente rapporto:
RRFlayer addizionale = (1,0 x 107) / (1,0 x 105) = 102
Il “layer addizionale” deve essere in grado di garantire l’effettuazione di una
funzione di sicurezza “SIF” caratterizzata da SIL2.
Layer addizionale: blocco automatico del flusso di GPL per altissimo livello
della fase liquida nel serbatoio e simultaneo arresto del motore elettrico della
pompa di alimentazione del serbatoio.
Sicurezza & Impianti
37
59
Naturalmente, il gestore è tenuto ad adottare misure supplementari per
assicurare che il SIL richiesto sia mantenuto nel tempo. Come si è detto,
un’eccellente misura supplementare è costituita dai test di verifica che il
gestore intende inizialmente effettuare con cadenza annuale.
DTI (Diagnostic Test Interval) = 1 anno = 1 yr (year)
PFDaverage = λDU DTI/2
dove λDU = Dangerous Undetected failure rate (rateo dei guasti pericolosi
non rilevabili).
Rateo dei guasti pericolosi non rilevati dei diversi componenti del SIS:
-- valvola: λDU = 1/10 yr = 0.1 yr-1
-- PLC: λDU = 1/1.000 yr = 0,001 yr-1
-- sensore: λDU = 1/100 yr = 0,01 yr-1
Calcolo della PFDaverage dei singoli componenti del SIS:
-- PFDave = λDU x DTI/2
-- PFDave = 0,1 x (1/2) = 0,05 (valvola)
-- PFDave = 0,001 x (1/2) = 0,0005 (PLC)
-- PFDave = 0,01 x (1/2) = 0,005 (sensore)
-- Total PFDave = 0,05 + 0,0005 + 0,005 = 0,0555
-- SILcalculated = 1 corrispondente a un PFDave range = 0,01 ÷ 0,1
-- SILrequired = 2 > SILcalculated = 1
Soluzione inaccettabile!
Come si può risolvere il problema?
Riducendo sensibilmente l’intervallo dei test diagnostici (DTI)
-- Intervallo dei test diagnostici DTI = 2 mesi
-- Rateo dei guasti pericolosi non rilevati dei diversi componenti del SIS:
-- valvola: λDU = 1/10y = 0,1 yr -1
-- PLC: λDU = 1/1000y = 0,001 yr -1
-- sensore: λDU = 1/100y = 0,01 yr -1
-- PFDave = λDU x DTI/2
-- PFDave = 0,1 x [(2/12)/2] = 0,008 (valvola)
-- PFDave = 0,001 x [(2/12)/2] = 0,00008 (PLC)
-- PFDave = 0,01 x [(2/12)/2] = 0,0008 (sensore)
-- Total PFDave = 0,008 + 0.00008 + 0,0008 = 0,00888
-- SILcalculated = 2 corrispondente a un PFDave range = 0,001 ÷ 0,01
-- SILrequired = 2 = SILcalculated Soluzione positiva!
Le operazioni di test devono essere condotte una volta al bimestre. Se ciò
non fosse possibile per problemi organizzativi oppure di costo, non resta che
duplicare la valvola di blocco, e cioè non resta che utilizzarne due in parallelo, riportando l’intervallo di test dei componenti del SIS a un intero anno.
Tecnica
60
Sicurezza & Impianti
-- Intervallo di test = 12 mesi = 1 anno
-- Rateo dei guasti pericolosi non rilevati dei diversi componenti del SIS:
-- valvola: λDU = 1/10y = 0,1 yr-1
-- PLC: λDU = 1/1000y = 0,001 yr-1
-- sensore: λDU = 1/100y = 0,01 yr-1
-- n° 2 valvole in parallelo realizzano di fatto un’architettura definita “1oo2”:
-- PFDave = (0,1 x 1/2)2 (valvole in parallelo)
-- PFDave = 0,0025 (valvole in parallelo)
-- PFDave = 0,001 x (1/2) = 0,0005 (PLC)
-- PFDave = 0,01 x (1/2) = 0,005 (sensore)
-- Total PFDave = 0,0025 + 0,0005 + 0,005 = 0,0080
-- SILcalculated = 2 corrispondent a un PFDave range = 0,001 - 0,01
-- SILrequired = 2 = SILcalculated Soluzione positiva!
CONCLUSIONI
Il presente lavoro ha inteso sottolineare l’importanza dell’applicazione della “sicurezza funzionale nell’industria di processo”. Normalmente, in un
impianto di processo la riduzione del rischio è ottenuta abbinando tutte le
misure di prevenzione e protezione conosciute. L’applicazione di tali misure
si rivela efficace quando il rischio residuo non supera il rischio tollerabile.
L’esigenza di una gestione diversa della sicurezza nell’industria di processo
nasce dopo l’incidente di Seveso, avvenuto nel 1976, che provocò la fuoriuscita di una quantità di gas tossico assai nociva per l’ambiente e la popolazione. Da allora, la Direttiva 96/82/CE ha definito in maniera puntuale gli
obblighi previsti per gli stabilimenti caratterizzati da un rischio potenziale
rilevante (Direttiva Seveso II). In Italia, la direttiva Seveso II è stata recepita
con il DLGS 334/99. In questo contesto, abbiamo pensato di operare una
distinzione tra accessori di sicurezza in senso generale, così come definiti
dalla direttiva PED per esempio, e sistemi di sicurezza sviluppati e progettati
specificamente per funzioni di sicurezza. In quest’ultimo caso si parla di
sistemi strumentali di sicurezza (SIS) ed è indispensabile fare riferimento alla
EN 61508 che è diventata un punto di riferimento imprescindibile per la definizione di tecnologie all’avanguardia nel campo della sicurezza funzionale.
Nello standard EN 61508 i requisiti relativi ai sistemi strumentali di sicurezza sono classificati in base al SIL. Per il calcolo del SIL occorre considerare
l’intero sistema di sicurezza strumentale, con tutti i relativi componenti.
Mentre in passato si ricorreva a considerazioni puramente qualitative per la
classificazione relativa alla sicurezza, la norma EN 61508 impone adesso
una valutazione quantitativa dell’intero sistema strumentale di sicurezza. La
EN 61508 è uno standard generico, indipendente cioè dall’applicazione. Si
tratta di uno standard di base, applicato in generale a tutti i sistemi strumentali
di sicurezza ed è la prima raccolta di regole tecniche universalmente riconosciute per lo sviluppo di funzioni di sicurezza in applicazioni caratterizzate
da intrinseca pericolosità.
I sistemi strumentali di sicurezza sono da tempo utilizzati in alcuni settori
caratterizzati da elevata pericolosità intrinseca, come per esempio quello
aerospaziale. Per l’industria di processo è stato recentemente introdotto
lo standard EN 61511. Più precisamente, lo standard EN 61511 è stato
derivato dalla EN 61508 proprio per l’industria di processo. Nell’industria
di processo si utilizzano sempre più sistemi strumentali di sicurezza, e cioè
sistemi basati sul concetto di sicurezza funzionale, laddove in passato si
utilizzavano unicamente sistemi di sicurezza basati sulla tecnica “fail safe”.
La norma EN 61508 prevede fasi specifiche:
-- analisi dei rischi basata sulle probabilità di guasto dei singoli componenti
dicembre 2014
LA TERMOTECNICA
del sistema di sicurezza, dal sensore all’elemento finale (attuatore), durante
tutto il ciclo di vita del sistema stesso (in merito, occorre tenere conto dei
valori di PFD, probabilità di guasto su richiesta);
-- implementazione delle misure di sicurezza (gestione della sicurezza funzionale attraverso l’adozione di procedure);
-- uso di apparecchiature idonee (apparecchiature certificate).
Affinché un sistema di sicurezza risulti effettivamente conforme ai requisiti
previsti dalla EN 61508, occorre evitare i guasti avvalendosi di strategie
diverse, che vanno dalla progettazione del sistema all’effettuazione di test
funzionali in campo. Normalmente, durante la progettazione del sistema di
sicurezza non si può prescindere dall’architettura del sistema stesso. Occorre
cioè stabilire se il sistema di sicurezza debba essere “a singolo canale” o
multicanale.
Stabilita l’architettura del sistema, si utilizzano i seguenti dati caratteristici:
-- tolleranza ai guasti hardware (Hardware fault tolerance, HFT);
-- percentuale di guasti sicuri (Safe failure fraction, SFF).
La tolleranza ai guasti hardware rappresenta la capacità di un sistema di
continuare a svolgere correttamente la propria funzione di sicurezza qualora
si verifichino dei guasti. Una HFT pari a N significa che (N+1) guasti possono
determinare la perdita della funzione di sicurezza del sistema.
La SFF è la percentuale di guasti non pericolosi. Più è alto il livello SIL richiesto,
tanto maggiore dovrà essere SFF. La SFF di un sistema viene determinato
sulla base dei tassi di guasto individuali (lamda) dei singoli componenti.
Il tasso di guasto gioca un ruolo molto importante. Viene operata una
distinzione tra guasti pericolosi e sicuri, tenendo conto della possibilità di
rilevare tali guasti. Il tasso di guasto, indicato dal simbolo λ, prevede una
classificazione in quattro gruppi:
λ SD = tasso di guasti sicuri rilevabili;
λ SU = tasso di guasti sicuri non rilevabili;
λ DD = tasso di guasti pericolosi rilevabili;
λ DU = tasso di guasti pericolosi non rilevabili.
I guasti pericolosi non rilevabili (λDU) determinano una perdita inaccettabile
della funzione di sicurezza e, pertanto, devono essere ridotti al minimo
adottando misure adeguate.
Per ridurre i guasti pericolosi non rilevabili si utilizzano test funzionali con
cadenza ricorrente. La funzione di sicurezza di un dispositivo deve essere
verificata a intervalli appropriati. Il gestore dell’impianto è responsabile della
scelta del tipo di ispezione e della frequenza degli intervalli. I test di ispezione
devono essere condotti in modo tale da dimostrare la perfetta funzionalità
del sistema strumentale di sicurezza in relazione a tutti i suoi componenti.
Durante la vita operativa di un sistema di sicurezza, si individua un intervallo di tempo nel quale i tassi di guasto dei componenti del sistema si
mantengono approssimativamente costanti. Alla fine di tale periodo, i tassi
di guasto possono aumentare a causa dell’usura e dell’invecchiamento, per
cui i valori delle probabilità di guasto calcolate non sono più utilizzabili. A
questo punto al gestore di uno stabilimento non resta che adottare misure
supplementari, ad esempio, intensificare i test di verifica oppure sostituire il
componente di sicurezza, al fine di assicurare che il livello SIL richiesto sia
mantenuto nel tempo.
L’obiettivo della IEC EN 61508 è, in definitiva, limitare la probabilità di guasti
pericolosi dei componenti di sicurezza in un modo sistematico e ben definito.
BIBLIOGRAFIA
1. Functional Safety - Endress + Hauser