La sicurezza sul lavoro è un costo per l’azienda?

Spesso chi si occupa di sicurezza sul lavoro e di processo si scontra con quelli che vengono percepiti dalla proprietà solo ed esclusivamente come costi.

Perché fare sicurezza sul lavoro “fatta bene” è un vantaggio per l’organizzazione? Potrei elencare una serie di motivi che, nel corso del tempo, mi hanno convinto dell’importanza dell’investimento in sicurezza.

Non lo faccio.

Vorrei invece raccontare una storia di leadership innovativa e, per certi versi, anomala che dimostra con i fatti ciò che intendo.

È la storia di Paul H. O’Neill che guidò ALCOA tra il 1987 e il 1999.

L’insediamento del manager, di idee repubblicane e che nel 1989 Bush padre candidò a Segretario alla difesa, ruolo che fu poi di Dick Cheney, fu quantomeno anomalo.

O’Neill, che proveniva da un ruolo decennale di vertice in una delle più grandi industrie del settore cartario statunitense, iniziò la prima affollatissima conferenza stampa in qualità CEO di ALCOA con le seguenti parole:

“Voglio parlarvi della sicurezza dei lavoratori. Ogni anno numerosi lavoratori di ALCOA subiscono infortuni con prognosi superiore ad una giornata di lavoro. Il nostro standard di sicurezza è comunque migliore rispetto alla forza lavoro generale americana, soprattutto se si considera che i nostri dipendenti lavorano con metalli ad oltre 1500°C e con macchine e impianti che possono letteralmente strappare le braccia ad un uomo. Ma questo non è abbastanza. Intendo fare di ALCOA l’azienda più sicura d’America. Voglio che si arrivi a zero infortuni”.

Poi proseguì:

“Ora, prima di andare oltre, vorrei segnalare le uscite di sicurezza presenti in sala. Ci sono un paio di porte sul retro, e nell’improbabile eventualità di un incendio o di un’altra emergenza, dovreste uscire con calma, scendere le scale fino all’atrio e lasciare l’edificio”.

Ovviamente la platea, composta per lo più dalla miglior/peggior intellighenzia di Wall Street, stette per un po’ in silenzio, attonita e basita rispetto all’argomentare del nuovo amministratore della più grande società del mondo dell’alluminio.

“Sicurezza sul lavoro?”

“Uscite di emergenza??”

“Infortuni zero???”

Cominciarono le domande, via via più concitate, le più frequenti tra le quali furono relative ai bilanci, agli obiettivi finanziari, ai target da raggiungere.

O’Neill stette in silenzio, ascoltò per un po’ le domande/obiezioni e poi, senza alterarsi, rispose:

“Non sono sicuro che mi abbiate compreso. Se volete capire come sta andando ALCOA è necessario diate uno sguardo ai nostri dati in tema di sicurezza sul lavoro. Se riusciremo ad abbassare il tasso infortunistico non sarà a causa delle sciocchezze che, a volte, si sentono dire nel corso di conferenza stampa come questa da altri CEO. Sarà perché le persone di questa azienda avranno accettato di diventare parte di qualcosa di importante: si saranno dedicate a creare un’abitudine all’eccellenza. La sicurezza sarà un indicatore del fatto che staremo facendo progressi nel cambiare le nostre abitudini in tutta la società. Ed è rispetto a questo che dovremmo essere giudicati”.

Nel 1987 ALCOA non navigava peraltro in buone acque. I processi di lavoro erano largamente inefficienti e la qualità dei prodotti in fase progressivamente calante. Quello che fece la nuova gestione, a differenza delle precedenti, fu innanzi tutto comprendere che l’intero “sistema sociale” di ALCOA non si poteva dirigere imponendo dall’alto obiettivi di qualità in opposizione al percepito dei lavoratori bensì creando una “condivisione di senso” su ciò che veniva fatto negli stabilimenti.

Avere come primo obiettivo la sicurezza sul lavoro significava, inoltre, poter discutere con le controparti sociali non secondo le precedenti logiche oppositive bensì collaborative.

E, soprattutto, comprendere alla radice i motivi infortunistici dell’azienda conduceva, inevitabilmente, ad una maggior efficienza nella produzione. Gli infortuni sul lavoro trovano terreno fertile nel malfunzionamento complessivo del sistema di produzione e nella sua disorganizzazione.

Le analisi di rischio condotte permisero di razionalizzare i processi di produzione e di modificare le abitudini al rischio presenti nei vari stabilimenti.

Per raggiungere gli obiettivi che si era proposto O’Neill introdusse una nuova e radicale procedura: in caso di infortunio il direttore di stabilimento avrebbe dovuto relazionare in forma scritta al CEO entro 24 ore dall’accadimento. La relazione doveva includere l’analisi dell’incidente e le misure di prevenzione e protezione atte a scongiurare altri eventi in futuro. Con una ciliegina sulla torta: solo i dirigenti che si adeguavano a questa procedura potevano ambire a successive promozioni.

Ovviamente questa nuova modalità era difficilissima da introdurre e mantenere. Il poter relazionare ad O’Neill in sole 24 ore presupponeva che i responsabili di stabilimento fossero costantemente in contatto con le loro funzioni gerarchicamente dipendenti. Non solo. I vari responsabili di area dovevano, a loro volta, essere connessi ai capireparto i quali dovevano presidiare costantemente le aree di produzione richiedendo un’atteggiamento proattivo ai lavoratori. Ogni anomalia doveva essere velocemente segnalata e forme standard di prevenzione e protezione dovevano essere codificate e implementate in tempo reale così da essere prontamente comunicate.

Questo determinò un rapidissimo smagrimento della burocrazia interna di ALCOA, con l’introduzione di agili forme di comunicazione che presto si radicarono in tutta l’organizzazione e in tutti i settori fondamentali della multinazionale.

Il cambiamento, pervicacemente perseguito in un solo settore, si propagò a macchia d’olio negli anfratti operativi dell’azienda, velocizzando a cascata tutti i processi strategici.

Ad un anno dal discorso di insediamento i profitti di ALCOA avrebbero segnato un record e nel 2000, quando O’Neill se ne andò dall’azienda, gli utili netti erano quintuplicati rispetto al 1987.

L’aumento di sicurezza sul lavoro si trasformò in uno straordinario aumento di redditività.

Bibliografia minima

Charles Duhigg (2012), La dittatura delle abitudini, Corbaccio editore

Rod Wagner, Have We Learned The Alcoa ‘Keystone Habit’ Lesson?, Forbes

Spear, S. J. (1999). Workplace Safety at Alcoa (B). Harvard Business School Case

PS – Questo è l’ottantesimo post di questo blog. Numero, peraltro, divisibile per 20, anno entrante.

Corso di formazione: CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Share

Dell’energia e delle “soluzioni semplici”

Ogni tanto qualche politico di grido si spinge a declamare la soluzione del problema energetico italiano con brevi slogan: soggetto, predicato e complemento. A volte nemmeno questi.

In fondo la soluzione di problemi complessi passa da soluzioni semplici, no?

Approfondiamo un po’ l’argomento, se vi va, in questi primi giorni del terzo decennio del 2000.

Nella tabellina che riporto qui sotto, della statunitense EIA,si leggono un po’ di cose interessanti.

La prima: se leggiamo la colonna “Total system LCOE” in assoluto le fonti energetiche meno costose sono l’idroelettrico, il ciclo combinato gas-vapore (a metano) ad alta efficienza e il geotermoelettrico. Tutte attorno ai 40 dollari per MWh (megawattora) prodotto.

La seconda: l’eolico onshore e il fotovoltaico costano il 50% di più rispetto alle fonti più economiche.

La terza: nucleare e carbone con sequestro della CO2 costano il doppio dell’idroelettrico.

La quarta: la disponibilità della fonte energetica è molto varia. Su 24 ore le fonti fossili, il nucleare e il geotermoelettrico garantiscono una presenza del 90% (il 10% sono fermi impianto riconducibili a manutenzione programmata), l’idroelettrico il 75%, l’eolico onshore il 40% e il fotovoltaico il 30% (quando c’è il sole…)

È fatta, quindi! La decarbonizzazione passa da geotermoelettrico, fotovoltaico ed eolico. Non siamo forse il paese del mare e del sole?

…più o meno, diciamo…

I vincoli insuperabili delle risorse rinnovabili sono la possibilità di sfruttarle e la loro disponibilità. Nostro Signore dell’Energia non è stato affatto democratico nell’assegnare ai popoli le varie risorse.

All’Islanda ha garantito geotermoelettrico e idroelettrico totale.

Alla Danimarca l’eolico.

Il resto delle nazioni devono barcamenarsi tra risorse fossili [magari con giacimenti di proprietà, come, per esempio, il carbone in Germania e il gas naturale (in esaurimento) in Norvegia e, ancora per pochissimo, in UK] e rinnovabili.

Peraltro anche nella florida (si fa per dire) Islanda, le automobili e i trasporti su gomma bruciano energia fossile.

E in Danimarca il fossile serve pure a riscaldare le case.

In linea di massima una nazione ha tre grandi utilizzi energetici (al netto delle perdite):

  1. industria;
  2. trasporti;
  3. civile ed agricoltura.

suddivisi, in fonti primarie, al 30% ciascuna (circhissima). Considerando le perdite per cause varie, avremmo un 25% ciascuno. L’energia elettrica, come fonte primaria, è pari invece al 30% (circhissima) e si redistribuisce per metà nell’industria e per l’altra metà nel civile e agricoltura (al netto delle perdite).

Anche nell’ipotesi che una nazione converta la propria produzione elettrica in fonti rinnovabili avrebbe risolto solo il 30% del problema. Il resto dell’energia si ottiene bruciando (tranne sempre la straordinaria Islanda che riscalda pure le case con il geotermico. Un po’ di puzza di uova marce è il pegno che gli islandesi devono pagare. Poca cosa).

E l’Italia?

L’Italia è un “casino”, perdonate il francesismo.

E poteva essere altrimenti?

Nucleare: no, non si può. A parte i referendum (si sa che possono essere disapplicati) il problema risiede nella lunghezza dei progetti. Per costruire una centrale elettronucleare di generazione III+ ci vogliono, butto lì, 20 anni, a partire dall’ideazione fino alla prima criticità del reattore. E 20 anni, in Italia, sono un’enormità se teniamo in conto le dinamiche della politica. Per 20 anni tutte le forze dell’arco costituzionale che prevedibilmente andranno al potere dovranno essere favorevoli al progetto. Poiché la cosa è semplicemente impossibile, il nucleare in Italia non potrà mai vedere la luce. Poi c’è il problemino dei rifiuti nucleari di Saluggia. Ma di quelli ne parleremo quando la Dora Baltea esonderà contaminando parte del nord Italia. Nel lungo periodo accadrà. Basta attendere.

Fotovoltaico: si, va bene. Contribuisce a ridurre l’emissione di CO2 in atmosfera. Ma non è disponibile sempre. Lo è per il 20-30% (siamo generosi). Con enormi problemi di dispacciamento stante la diffusa produzione grid-connected. E per il rimanente 70% del tempo? Utilizziamo gli impianti elettrotermici convenzionali (che devono essere in perfetto backup con la risorsa rinnovabile) e importiamo energia nucleare dal Francia, Svizzera e Slovenia. Non ditemi che non lo sapevate. Esistono un equivalente di quattro-cinque centrali elettronucleari che lavorano solo per l’Italia, fuori dall’Italia (diamo un’occhiata qui se non siamo convinti). Anche in questo caso l’importante è avere il vantaggio dell’energia senza pagarne le conseguenze. Siamo denuclearizzati ma utilizziamo 4-5.000 MW di potenza prodotta con barre di U238 arricchito con U235. I vantaggi della tecnologia senza la responsabilità di doverla gestire e rischi ad essa connessi. Va bene così, giusto?

Eolico: straordinaria fonte. Quando funziona. Ho visto personalmente bellissimi parchi eolici in Puglia. In altre parti d’Italia la situazione è forse migliorabile. Teniamo in ogni caso conto del fatto che in pianura padana non sarebbe buona cosa installare aerogeneratori. Verrebbero nascosti dalla nebbia (ah, non c’è più nemmeno quella?).

Idroelettrico: rappresenta circa il 30% dell’intera energia elettrica prodotta in Italia. Ce n’è da andare particolarmente fieri (non scherzo). Teniamocelo stretto. Annotazione: non è espandibile. Di bacini e di invasi sfruttabili non ce ne sono davvero più.

Geotermoelettrico: a Larderello c’è uno straordinario sfruttamento di questa risorsa che è un regalo che è stato fatto all’Italia (l’unico). Anche lì abbiamo lavorato bene. Siamo i principali produttori in Europa (prima anche dell’Islanda). Ma nel quadro complessivo la produzione data dal calore della terra è poco. Molto poco se raffrontato alle esigenze italiane.

Termoelettrico convenzionale ed avanzato: brucia prevalentemente gas naturale e sostiene il 70% dei consumi elettrici nazionali. È stato messo in crisi, economicamente, dal fotovoltaico che costa meno (grazie agli incentivi) ma che ha bisogno del backup. Se non c’è sole come illuminiamo la casa della signora Maria? Bruciando metano in centrali turbogas che vengono spesso tenute sostanzialmente “spente”, causando non pochi problemi di sostenibilità economica della filiera.

Fino ad adesso abbiamo però discusso del solo 30% dei consumi, quelli elettrici. Poi ci sono i trasporti, che vanno a gasolio e benzina, e i servizi (come riscaldiamo la casa della signora Maria?).

Cioè buona parte del consumo energetico italiano proviene ancora da fonte fossile. Il 70% dell’elettrico e la totalità del rimanente.

Esiste una soluzione semplice ad un problema complesso come quello energetico italiano, quindi?

A ciascuno di noi la risposta, ben sapendo che viviamo in un paese ormai incrollabilmente tecnofobico[1].

[1] Ricordo ancora cosa accadde nella mia regione, il FVG, quando nel 2015 si volle ammodernare la rete di trasmissione ad alta tensione. Ci fu chi, confusamente, immaginò di dover interrare linee da 380 kV per centinaia e centinaia di km. Comitati Nimby locali e politici regionali. Poi la linea si fece con buona pace di tutti. Ma la cascata di mail “poco amichevoli” ricevute in conseguenza di questo mio unico intervento sulla stampa locale la rammento ancora.

Corso di formazione: CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Share

Manutenzione e sicurezza sul lavoro: quali implicazioni?

L’attività di manutenzione, nell’ambito della sicurezza sul lavoro (in generale) e in relazione al rischio di esplosione (in particolare) rappresenta, di certo, uno tra i più importanti fattori di stabilizzazione del rischio.

Purtroppo viviamo in un Paese in cui:

  • una parte significativa del tessuto industriale opera nel 2019 in totale assenza di reali politiche di manutenzione;
  • il concetto di “manutenzione” viene inteso solamente come “riparazione”. La manutenzione è considerata, quindi, una misura tecnica esclusivamente reattiva, correttiva.

E, come illustra lo schema seguente, tali sistemi produttivi, pur operando in mercati ormai proiettati oltre il 2020, lavorano con logiche tipiche degli anni ’40 (“Fix it when it broke” ovvero “Aggiusta quando si rompe”).

La manutenzione, così come classificata in forma linneiana nella recente norma UNI EN 13306:2018 (e da intendersi come la “combinazione di tutte le azioni tecniche, amministrative e gestionali, durante il ciclo di vita di un’apparecchio, destinate a mantenerlo o riportarlo in uno stato in cui possa eseguire la funzione richiesta”) non è un’attività derogabile. In altri termini l’esercizio in sicurezza di ambienti, macchine, processi e persone necessita di un piano strutturato di manutenzione. 

Nessun dubbio su questo.

E, sempre rifacendosi al dizionario della manutenzione citato (cfr. UNI EN 13306:2018), la riparazione di un guasto (la cosiddetta manutenzione correttiva), è solo una frazione minimale delle circa venti strategie manutentive potenzialmente attuabili.

Vorrei essere esplicito:

La manutenzione non è (solo) riparazione di guasti: è molto altro

Adottare concrete politiche di manutenzione preventiva consente, ad un tempo, di limitare i fermi produttivi ed aumentare in modo sostanziale i livelli di sicurezza aziendali.

  • Domanda: “L’adozione in azienda di un piano strutturato di manutenzione necessita di investimenti economici?”
  • Risposta: “Si, certamente”

L’idea di introdurre misure benefiche a costo zero fa parte del solo mondo delle fiabe o dell’attuale dibattito politico. Non esistono pasti gratis, avrebbe detto Milton Friedman, e questo vale anche in ambito manutentivo. Con una postilla, tuttavia: la manutenzione, se correttamente esercita, evita fermi di produzione. E se una linea produce “X” kEuro/h, evitarne la fermata per diecine di ore l’anno si traduce in costi evitati esattamente proporzionali.

Vorrei essere, ancora una volta, esplicito:

La manutenzione, quella vera, si ripaga da sé e genera ricadute benefiche in tutti gli ambiti dell’agire produttivo di stabilimento

L’incremento di sicurezza è uno tra gli addentellati più importanti tra le ricadute manutentive. Di più: quanto più l’attività è a rischio tanto più ha da guadagnarci con l’adozione sistematica di piani di manutenzione preventiva.

La sicurezza sul lavoro e di processo si nutre di manutenzione

Senza la barriera affidabile data da un piano strutturato di manutenzione non vi è, infatti, la reale possibilità di intercettare e/o prevenire il “primo guasto” alla macchina/impianto/processo. E se non si possiedono gli strumenti tecnici e culturali necessari a leggere e interpretare i segnali deboli che un guasto incipiente produce, nulla può impedire ad un secondo/terzo/…/”n” guasto di sovrapporsi al primo con un’autentica esplosione di scenari di rischio potenzialmente catastrofici.

Ci siamo quindi? Non si può fare reale sicurezza sul lavoro e/o sicurezza di processo senza lo straordinario volano stabilizzatore fornitoci da un piano manutenzione strutturato e realmente implementato in stabilimento. A questo si aggiunga il fatto che:

  • le normative tecniche armonizzate che attualmente consentono al costruttore di assolvere agli obblighi imposti dalle direttive di prodotto (direttiva macchine, ped, atex, ecc.), e quindi marcare CE il proprio manufatto, sono concepite come strumento per garantire la sicurezza del prodotto nuovo. Nella maggioranza dei casi, quindi, le norme armonizzate, le tipo “C” in particolare, non si pronunciano in modo approfondito sulle tematiche connesse al mantenimento delle caratteristiche di sicurezza del prodotto nell’arco del tempo di missione progettato. Nonostante questo sono ormai trascorsi ormai più di 23 anni dall’entrata in vigore della Direttiva Macchine in Italia. E anche le macchine invecchiano;
  • a causa della problematica precedentemente esposta, le istruzioni d’uso delle macchine sono spesso, per la parte di utilizzo e manutentiva, o lacunose oppure, al contrario, ridondanti e costringono l’utilizzatore a tediosi e soventemente inutili controlli spesso molto ravvicinati nel tempo;
  • il Titolo III, Capo I, D.Lgs. n. 81/2008 ha introdotto il concetto di controllo sulle attrezzature di lavoro, da effettuarsi a cura del datore di lavoro, che si affianca alle verifiche di legge svolte da ente terzo. Tuttavia, mancano chiari riferimenti sulle modalità concrete attraverso cui tali controlli possano essere svolti. Tale obbligo di controllo e manutenzione richiede infatti, da parte dell’utilizzatore, uno sforzo di omogeneizzazione delle prescrizioni indicate dai manuali di uso, soprattutto nei casi di impianti complessi.

Focalizzandoci ora sul rischio di esplosione, l’assenza di adeguate politiche di manutenzione può rendere nel tempo inefficaci anche plurime barriere indipendenti atte ad evitare l’emissione di ATEX e, come alcuni accadimenti incidentali dimostrano (qui e qui, per esempio), tale criticità può essere posta alla radice di incidenti catastrofici del recente passato.

Non è un caso, quindi, che nell’ambito della norma di classificazione CEI EN 60079-10-1:2016 i termini “manutenzione”, “monitoraggio” e “verifica”, nel senso manutentivo dato dalla UNI EN 13306:2018, siano presenti almeno 25 volte all’interno del documento.

La norma CEI EN 60079-10-1:2016 specifica altresì che: “[…] La classificazione dei luoghi non dovrebbe essere una scusa per giustificare un’attività di manutenzione scarsa, ma l’utilizzatore deve essere avvertito che attività scarse potrebbero compromettere le basi su cui si fonda la classificazione del luogo […]”.

L’inderogabilità delle attività di manutenzione si evince, peraltro, dall’art. 3.1.4 delle linee guida di buona pratica relative alla direttiva 1999/92/CE che recitano quanto segue: “Gli impianti devono essere concepiti in modo che non si generino considerevoli perdite (di atmosfere esplosive, ndr) nelle previste condizioni di funzionamento […] mediante una regolare manutenzione”.

A questo, per i luoghi a rischio di esplosione, si sono aggiunti sistemi di certificazione molto interessanti quali l’Ism-ATEX, dei quali discuteremo a Milano nel corso del workshop.

La presenza di politiche di manutenzione strutturate non è dunque un optional, nella valutazione del rischio di esplosione, ma un suo presupposto ineludibile.

In conclusione, la classificazione delle zone a rischio di esplosione, e la conseguente valutazione del rischio deve presupporre l’implementazione di un ragionevole piano di manutenzione preventiva e correttiva proporzionato al rischio dell’impianto valutato. A titolo indicativo, le frequenze e le modalità di controllo delle sorgenti di emissione derivanti da gas naturale sono rinvenibili in IGEM/SR/25 Ed 2 mentre, più in generale, si può fare riferimento all’integrità meccanica (Mechanical Integrity) proposta dal CCPS, alla manutenzione orientata all’affidabilità (RCM, Reliability Centered Maintenance declinata secondo SAE JA1011:2009) contestualizzata in ambito industriale oppure alle ispezione basate sul rischio (RBI, Risk-Based inspection) di cui allo standard UNI EN 16991:2018.

Ovviamente anche questo argomento sarà parte del programma del seminario che si terrà a Milano il 7 febbraio 2020. Che ve lo dico a fare?

Dimenticavo: auguri di buone festività ai miei tre lettori. Di cuore.

Corso di formazione: CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Share

CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Il cuore dell’ingegneria non sono calcoli ma la soluzione dei problemi [John Kuprenas]

INTRODUZIONE

L’entrata in vigore definitiva, a partire dal 13 ottobre 2018, della norma tecnica di classificazione delle zone a rischio di esplosione CEI EN 60079-10-1:2016 ha determinato una serie di incertezze applicative che non hanno ancora trovato interpretazioni ufficiali definitive. Tali difficoltà sono state accentuate dalla contestuale abrogazione, senza sostituzione, della linea guida CEI 31-35 che rappresentava lo standard di riferimento in Italia.

L’applicazione della nuova norma di classificazione, inoltre, pare non sia ancora stata metabolizzata completamente dagli operatori del settore, lasciando ai singoli professionisti la responsabilità della sua interpretazione e contestualizzazione.

Avendo ricevuto molte richieste interpretative e di confronto su queste problematiche, affrontate peraltro anche nei miei due manuali editi da IPSOA-WKI (nel 2017 e 2019), ho ritenuto importante organizzare un workshop in cui saranno presentate le principali novità introdotte dallo standard nonché la proposizione di possibili soluzioni ai numerosi problemi applicativi che mi sono trovato ad affrontare insieme con il mio gruppo di lavoro.

Nel workshop saranno inoltre proposti, per la prima volta in Italia, esempi di calcolo specifici del contesto industriale nazionale, nonché verranno descritte le principali novità in tema di prevenzione incendi, attraverso il commento della nuova revisione della Regola Tecnica Verticale n. 2 (RTV.2) contenuta nel Nuovo Codice di Prevenzione Incendi.

“IN BREVE”

Cosa si imparerà: si tratterà il rischio di esplosione cercando, per quanto possibile, di fornire chiavi di lettura che consentano una “narrazione” unificante delle problematiche frequentemente riscontrabili nei luoghi di lavoro ed emerse nel corso dell’applicazione concreta dei nuovi standard normativi.

Cosa non è: un corso base di classificazione e rischio dovuto ad atmosfere esplosive.

Prerequisiti (consigliati): per poter fruire compiutamente dei contenuti del corso è consigliabile il possesso di conoscenze base in tema di direttive di prodotto “meccaniche” (2006/42/CE, 2014/34/UE), di legislazione specifica sulla sicurezza del lavoro (Titolo XI, D.Lgs. n. 81/2008) e, possibilmente, anche “un’infarinatura” di rischi di incidente rilevante (Seveso III, D.Lgs. n. 105/2015).

CONTENUTI

Lo studio degli incidenti industriali come base conoscitiva per il rischio di esplosione

Parametri di esplosione (gas, vapori): approfondimento e correlazione tra specifiche variabili di sicurezza ATEX

Il nuovo approccio alla classificazione delle zone a rischio di esplosione (gas, vapori) secondo la vigente CEI EN 60079-10-1:2016: descrizione e sintesi della norma

Le problematiche sul campo (gas, vapori), trattazione, soluzioni:

  • La “Non Estensione” è da considerarsi costante al variare della sostanza di rilascio (gas, vapore, liquido) oppure no? Un approccio tecnico al problema.
  • I fori di guasto ovvero, del “così è se vi pare”
  • Come trattare le PSV?
  • La ventilazione naturale dei grandi ambienti industriali: che dato assumere?
  • I liquidi ad alta viscosità (resine, ecc.): fattori di correzione delle portate di emissione e conseguente classificazione delle zone
  • Spray, nebbie e classificazione ATEX
  • L’affidabilità dei nomogrammi proposti negli allegati alla norma tecnica
  • La sicurezza funzionale, l’ALARP e il problema del controllo di esplodibilità (SIF, SIS, SIL): una proposta di soluzione
  • In quali casi la CEI 31-35 appare “non in contrasto” con la seconda edizione della 60079-10-1? Ovvero, cosa c’è ancora di buono nella pensionata CEI 31-35?
  • Esempi e confronti tra vecchia e nuova classificazione: rilasci a getto, rilasci diffusivi, rilasci di liquidi infiammabili.
  • La classificazione interna in reattori e dissolutori (tal quali, inertizzati, con VAL)

Parametri di esplosione (polveri combustibili): quando una polvere combustibile si può considerare “non a rischio di esplosione”?

Gli impianti di filtrazione polveri e la loro marcatura CE (ATEX?)

La valutazione del rischio e/o classificazione delle zone, facciamo (un po’) di chiarezza

Tematiche specifiche di valutazione di rischio:

  • Il problema del caricamento elettrostatico
  • Le operazioni di travaso manuale di infiammabili (liquidi, polveri)
  • La manutenzione preventiva e la sua (fondamentale) ricaduta in termini ATEX
  • Il giudizio esperto e la VDR

Commento alla RTV.2 ATEX Ed. 2 del Testo Unico di Prevenzione Incendi (DM 3/8/2015)

DOCENTE

Ing. Marzio Marigo

MATERIALE DEL CORSO

Il materiale del corso comprende quanto illustrato nei seguenti punti A), B), C).

A) ebook

Marigo M. (2019), Classificare le zone a rischio di esplosione con la norma CEI EN 60079-10-1:2016, Wolters Kluwer Italia, Milano

Ad ogni partecipante sarà fornito un codice personale d’accesso con il quale eseguire il download del manuale dal sito dell’editore.

B) Documentazione

  • Presentazione degli argomenti oggetto di trattazione (originali elaborati dal relatore), in formato pdf;
  • legislazione di riferimento, in formato pdf;
  • linee guida UE, in formato pdf;
  • elenco delle normative armonizzate alla 2014/34/UE aggiornate alla data del seminario, in formato pdf;
  • simulazioni di rilascio calcolate con il software TNO Effects per i seguenti scenari [gas turbolenti (acetilene, ammoniaca, etano, etilene, idrogeno, metano), pozza (acetone, benzene, cicloesano, dietiletere, eptano, etanolo, etilacetato, esano, metanolo, pentano, toluene, xilene), gas liquefatto (butano)], in formato excel;
  • schede tecniche di riepilogo, utili all’impostazione di piani di manutenzione  preventiva, relative all’integrità meccanica dei componenti basate su linee guida CCPS ricomprendenti apparecchiature rotanti, contenimenti, strumentazione e controlli, scarichi di emergenza, in formato excel.

L’intera documentazione sarà inviata, via WeTransfer, alle mail indicate in fase di iscrizione entro tre giorni la conclusione dell’attività.

C) Domande e risposte

Prevedibilmente, l’applicazione delle nozioni presentate al corso potrà comportare dubbi o curiosità specifiche. Per un periodo di sei mesi, dalla data del seminario, i partecipanti potranno sottoporre via mail al relatore un paio di quesiti di ordine generale, relativi agli argomenti oggetto della lezione (e che non comportino risposte superiori alle 2000 battute). Tali quesiti, e relative risposte, saranno poi “socializzati”, previa debita anonimizzazione, a tutti i partecipanti al seminario attraverso la mail del corso citata nel paragrafo “modalità di iscrizione”.

ORGANIZZAZIONE DEL CORSO

Il workshop si terrà venerdì 7/2/2020 presso l’Hotel Ibis Milano Centro posto a circa 10 minuti a piedi dalla Stazione Centrale di Milano.

La tutor d’aula accoglierà i partecipanti a partire dalle ore 8:45.

La lezione sarà tenuta nel seguente orario: 9-13, 14-18.

Sono previste due pause per il coffee break (metà mattino e metà pomeriggio) e una colazione di lavoro (ore 13-14).

Al termine del seminario sarà consegnato l’attestato di partecipazione.

QUOTA DI ISCRIZIONE

La quota di iscrizione è fissata a 400 Euro (iva e contributi di legge esclusi) e comprende la fornitura integrale del materiale indicato al punto “Materiale del corso”, i coffee break e la colazione di lavoro. Per chi eseguirà il bonifico entro il 10/01/2020 è prevista l’iscrizione in modalità early booking con quota ridotta a 340 Euro (iva e contributi di legge esclusi).

COME ISCRIVERSI

È necessario inviare una mail di preiscrizione al seguente indirizzo (mail del corso):

atex.milano2020@gmail.com

Sarete successivamente ricontattati, a breve giro, con una mail di richiesta dei vostri dati di intestazione fattura, con l’indicazione degli estremi per l’esecuzione del bonifico (da fornire attraverso la compilazione di una scheda di iscrizione).

La scheda di iscrizione dovrà essere compilata e restituita appena possibile (i posti sono limitati). Il bonifico potrà invece essere eseguito non oltre i 14 gg. antecedenti l’avvio del corso (24/1/2020).

Dalla mail del corso saranno poi inviate periodicamente utili informazioni su novità, pubblicazioni, linee guida ecc. relative alle problematiche di esplosione nei luoghi di lavoro.

ATTENZIONE: Nel caso le adesioni superassero il numero massimo stabilito si farà riferimento all’ordine cronologico di arrivo delle schede iscrizione.

Update del 4/12/2020 (Integrazione dell’offerta formativa): su richiesta al termine del workshop sarà possibile sottoporsi ad un test di verifica specifico che, in caso d’esito positivo, consentirà l’ottenimento di un attestato di partecipazione e profitto. A tutti i partecipanti sarà comunque rilasciato un attestato di partecipazione (cfr. par. “Organizzazione del Corso”).

Share

Decreto 8 novembre 2019 e nuova classificazione delle zone a rischio di esplosione

Qual è il tuo calore preferito? [Anonimo, Twitter]

Discuteremo oggi di un argomento tecnico con ampie ricadute applicative. Cercheremo infatti di correlare la recente ed importante regola tecnica di prevenzione incendi riguardante la sicurezza degli impianti per la produzione di calore al tema della classificazione delle zone a rischio di esplosione.

La recente promulgazione del Decreto 8 novembre 2019 (Approvazione della regola tecnica di prevenzione incendi per la progettazione, la realizzazione e l’esercizio degli impianti per la produzione di calore alimentati da combustibili gassosi. D’ora in avanti “Decreto”) avrà ampie ricadute in tutti gli ambiti normati dal provvedimento medesimo.

Il Decreto consente, grazie alla formulazione e alla strutturazione particolarmente precisa con la quale è stato costruito, di rispondere anche ad alcuni quesiti rimasti aperti in conseguenza dell’entrata in vigore della Norma CEI EN 60079-10-1:2016 (Classificazione dei luoghi. Atmosfere esplosive per la presenza di gas. D’ora in avanti “Norma”).

Ci si riferisce, in questo contesto, al regime di esclusione previsto dalla Norma. Questa, infatti, trova applicazione nei luoghi in cui vi può essere pericolo di accensione di atmosfera esplosiva ATEX causata dalla presenza di gas o vapori infiammabili. Sono tuttavia escluse dall’ambito applicativo le seguenti fattispecie:

  • miniere con possibile presenza di grisou;
  • luoghi di trattamento e produzione di esplosivi;
  • guasti catastrofici o malfunzionamenti rari specificati negli articoli nn. 3.7.3 e 3.7.4 della Norma;
  • locali adibiti ad uso medico;
  • applicazioni in ambiti commerciali e industriali dove il gas combustibile è utilizzato solo a bassa pressione, ad esempio, per la cottura dei cibi, il riscaldamento dell’acqua e impieghi similari, e dove l’impianto è realizzato nel rispetto di regolamentazioni specifiche del comparto gas;
  • ambienti domestici;
  • luoghi dove il pericolo può manifestarsi per la presenza di polveri o fibre combustibili. I principi della Norma CEI EN 60079-10-1 possono tuttavia essere utilizzati per valutazioni in presenza di miscele ibride (si veda, a questo proposito, anche la Norma CEI EN 60079-10-2).

Tutte le esclusioni elencate, ad eccezione di quella relativa all’utilizzo di gas combustibili a bassa pressione, erano sostanzialmente presenti anche nell’edizione del 2010 della Norma e quindi ampiamente metabolizzate dal personale preposto alla classificazione delle zone.

Ed è però quella ora citata un’esclusione particolarmente interessante e con ampie ricadute nel nostro tessuto industriale. Saranno, a questo proposito, quattro le condizioni necessarie per escludere dalla CEI EN 60079-10-1:2016 le applicazioni utilizzanti gas combustibile:

  1. applicazioni in ambiti commerciale o industriale;
  2. utilizzo di gas combustibile per la cottura dei cibi, il riscaldamento dell’acqua e impieghi similari;
  3. bassa pressione del gas combustibile;
  4. conformità a regolamentazioni specifiche del comparto gas.

Precisiamo, innanzi tutto, che per bassa pressione del gas combustibile sia da intendere quanto indicato dal Decreto 16/04/2008  relativamente alle condotte di 7a specie:

  • condotte con pressione massima di esercizio minore o uguale a 0,04 barg.

L’anzidetta informazione è presente pure nel Decreto 8 novembre 2019 il quale inoltre evidenzia, all’articolo 2, che gli impianti debbano essere realizzati in modo tale da:

  1. evitare, nel caso di fuoriuscite accidentali di combustibile gassoso, accumuli pericolosi del combustibile medesimo nei luoghi di installazione e nei locali direttamente comunicanti con essi;
  2. limitare, in caso di evento incidentale, danni alle persone;
  3. limitare, in caso di evento incidentale, danni ai locali vicini a quelli contenenti gli impianti.

Il punto 1., in particolare, indica che l’applicazione del Decreto consente una diluizione del gas combustibile a concentrazioni inferiori all’LFL (Lower Flammable Limit) rendendo possibile, in questo senso, il non considerare a rischio di esplosione il campo lontano di classificazione. Per poter raggiungere tale importante obiettivo il provvedimento prevede una strategia integrata di prevenzione dell’ATEX che si concretizza, essenzialmente, nelle seguenti tre tipologie di approccio:

  • predisposizione di aperture di ventilazione permanente da realizzarsi su pareti esterne;
  • installazione di impianto di rivelazione fughe gas comandante un’elettrovalvola automatica a riarmo manuale installata all’esterno del locale e dispositivi di segnalazione ottici e acustici;
  • nel caso di situazioni con aggravio di rischio (es. locali sottostanti o contigui a locali di pubblico spettacolo, ad ambienti soggetti ad affollamento superiore a 0,4 persone/mq, installazione a quota inferiore a -5 m e sino a -10 m al di sotto del piano di riferimento) limitazione della pressione massima di esercizio (MOP) a valori non superiori a 0,04 barg.

La dimensione delle aperture di ventilazione (S) dovrà quindi soddisfare la seguente regola generale[1]:

S ≥ k×z×Q

Dove:

  • k è un parametro dipendente dalla posizione della centrale termica rispetto al piano di riferimento ricavabile da specifiche tabelle presenti nel Decreto;
  • z è un parametro che tiene in considerazione la presenza di un impianto di rivelazione gas che comanda una elettrovalvola automatica a riarmo manuale all’esterno del locale e dispositivi di segnalazione ottici e acustici modulato in funzione della posizione della centrale termica rispetto al piano di riferimento. Il valore è ricavabile da specifiche tabelle presenti nel Decreto;
  • Q è portata termica totale espressa in kW.

Si noti che l’installazione di un controllo di esplodibilità sia considerata una misura da utilizzarsi a solo supporto della ventilazione naturale. Non è consentito un suo utilizzo in forma esclusiva per prevenire l’ATEX.

Il Decreto specifica altresì che l’applicazione del medesimo abbraccia i gas combustibili delle seguenti famiglie (cfr. UNI EN 437:2019):

  • 1a: gas manifatturati (gas di città)
  • 2a: gas naturale
  • 3a: gas di petrolio liquefatto

Concludendo, la lettura congiunta del Decreto 8 novembre 2019 e dell’art. 1, CEI EN 60079-10-1:2016 consente di delineare con maggior precisione le esclusioni previste dalla Norma di classificazione nel caso di impianti con portata termica complessiva superiore a 35 kW. La classificazione delle zone a rischio di esplosione non si applicherà quindi quando ricorrano contemporaneamente le seguenti condizioni:

  1. applicazioni commerciali o industriali nei seguenti ambiti: a.1) climatizzazione di edifici e ambienti, a.2) produzione di acqua calda, acqua surriscaldata e vapore, a.3) cottura del pane e di altri prodotti simili (forni) ed altri laboratori artigiani, a.4) lavaggio biancheria e sterilizzazione, a.5) cottura di alimenti (cucine) e lavaggio stoviglie, anche nell’ambito dell’ospitalità professionale, di comunità e ambiti similari;
  2. utilizzo di gas manifatturatto, gas naturale o GPL;
  3. pressione del gas non superiore a 0,04 barg;
  4. piena conformità al Decreto 8 novembre 2019.

Rimane inteso che nel caso di portata termica complessiva pari o inferiore a 35 kW troverà applicazione la Norma Tecnica UNI 7129-X.

Infine, poiché il Decreto 8 novembre 2019 esclude dal proprio campo di applicazione le seguenti fattispecie impiantistiche:

  • impianti realizzati specificatamente per essere inseriti in cicli di lavorazione industriale;
  • impianti di incenerimento;
  • impianti costituiti da stufe catalitiche;
  • impianti costituiti da apparecchi di tipo A ad eccezione di quelli per il riscaldamento realizzati con diffusori radianti ad incandescenza;

queste dovranno essere necessariamente incluse nel campo applicativo della norma CEI EN 60079-10-1:2016.

[1] Pur avendo una sua piena e legittima motivazione storica, appare singolare che il dimensionamento delle aperture di ventilazione, finalizzato ad evitare la formazione di atmosfere esplosive all’interno di luoghi chiusi, sia collegato alla portata termica totale del generatore di calore. La ventilazione, e la diluizione in aria degli eventuali gas combustibili emessi, dovrebbe essere funzione dell’entità dei potenziali fori di guasto prevedibili, della pressione esistente all’interno delle tubazioni di adduzione e dell’ampiezza planovolumetrica della centrale termica. Innovativo risulta altresì il collegamento dell’ampiezza della superficie di ventilazione al controllo di esplodibilità dell’ATEX (CDEA). Per locali fuori terra, per esempio, la diminuzione di superficie ventilante, in presenza di un CDEA, può arrivare fino al 20% del valore nominale. Tale correlazione non risulta però desumibile né dalla letteratura scientifica sull’argomento né dalla Norma Tecnica che rappresenta lo stato dell’arte del settore (CEI EN 60079-29-X).

Corso di formazione: CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Share

I Sistemi Strumentati di Sicurezza (SIS) e la nuova norma di classificazione CEI EN 60079-10-1:2016

Propongo, con questo intervento, una riflessione su un argomento spesso trascurato e riguardante la relazione tra la sicurezza funzionale e il rischio di esplosione.

Un aspetto particolarmente innovativo presente nella nuova norma di classificazione CEI EN 60079-10-1:2016 (entrata definitivamente in vigore ad ottobre 2018) è legato all’introduzione del concetto di riduzione del rischio ALARP (tanto basso quanto ragionevolmente praticabile, As Low As Reasonably Practicable) in relazione alla possibilità che l’eliminazione dell’ATEX[1] e/o delle sorgenti di accensione non risulti tecnicamente praticabile. Tale concetto, diffusamente presente in ambito anglosassone, appare sostanzialmente assente nel contesto prevenzionistico italiano . Anche laddove le tecniche di valutazione del rischio sono più sviluppate, come per l’applicazione della Direttiva Seveso III (D.Lgs. n. 105/2015), ci si ferma sempre “un po’ prima”, calcolando sia le frequenze dei vari TOP EVENT sia simulando gli effetti prevedibili di rilascio senza combinare linearmente, però, i due parametri. A questo proposito l’articolo 5.1 della Ed. 2 della EN 60079-10-1 specifica che i sistemi di controllo progettati e installati conformemente a standard relativi la sicurezza funzionale (es. IEC 61508, IEC 61511, IEC 62061, IEC 60079-29-3) possono ridurre la potenzialità di una sorgente di emissione e/o la quantità del relativo rilascio (es. controlli di sequenza in cicli batch, sistemi di inertizzazione).

Dove applicabili, le Funzioni Strumentate di Sicurezza (SIF) connesse a Sistemi Strumentati di Sicurezza (SIS) possono essere considerate nella classificazione delle aree pericolose. A questo riguardo si ricorda che un SIS è composto da almeno tre elementi:

  1. sensore: rileva un potenziale pericolo e produce un segnale elettrico che viene inviato ad un solutore logico. Esempi di sensori sono i trasmettitori di pressione, i trasmettitori di livello, i misuratori di temperatura ecc;
  2. solutore logico: rileva il segnale elettrico che supera una determinata soglia e invia un segnale agli elementi finali. I solutori logici possono essere computer, controllori elettronici programmabili (PLC) e circuiti relè;
  3. elemento finale: svolge la funzione di sicurezza. Esempi di elementi finali sono le valvole di arresto, gli interruttori automatici, i motori, i ventilatori ecc.

Una SIF è una funzione che “fa qualcosa” a seguito della rilevazione sopra/sottosoglia del parametro di processo monitorato (es. intercettazione di valvole di interblocco, disalimentazione utenze elettriche e/o fluidiche, attivazione di sistemi di ventilazione di emergenza, ecc.). I tre sottosistemi devono peraltro agire di concerto per individuare la deviazione (cioè la domanda) e portare l’Apparecchio Sotto Controllo (EUC) in uno stato sicuro. In breve, le SIF associate al SIS:

INDIVIDUANO -> REAGISCONO -> SCONGIURANO

Si riportano di seguito alcuni esempi di SIF in ambito ATEX:

  • sistemi di controllo della ventilazione artificiale generale (VAG);
  • sistemi di controllo della ventilazione artificiale locale (VAL);
  • sistemi controllo del flussaggio di gas inerte in impianti di processo operanti con fluidi infiammabili;
  • sistemi di controllo del purgaggio con gas inerte in impianti di processo operanti con fluidi infiammabili;
  • sistemi di controllo di livello alto-alto in serbatoi contenenti fluidi infiammabili;
  • sistemi di controllo di livello alto-alto in silos di contenimento polveri combustibili;
  • ambienti con controllo di esplodibilità dell’atmosfera;
  • ambienti con controllo di temperatura dell’atmosfera;
  • sistemi di monitoraggio delle tenute d’albero in pompe centrifughe dedicate al trasferimento di liquidi infiammabili;

A titolo illustrativo si riepilogano (adattate) le prescrizioni contenute nell’articolo 8 della guida CEN TR 15281 (Guida all’inertizzazione per la prevenzione delle esplosioni). Tale articolo dettaglia le specifiche di affidabilità richieste ai sistemi di inertizzazione. In particolare la definizione dei requisiti per i SIS destinati al presidio di sistemi di inertizzazione presuppone le seguenti fasi:

  • definizione delle strategie di sicurezza per le apparecchiature inertizzate. Ciò può comportare l’utilizzo dell’inertizzazione per modificare la probabilità di formazione di ATEX;
  • identificazione sistemi strumentati di sicurezza (SIS) distinti dai sistema di controllo di processo base (BPCS[2]) secondo le definizioni contenute nelle norme da IEC 61508-1 a IEC 61508-3;
  • conformità dei SIS ai Requisiti Essenziali di Sicurezza (RES) della direttiva europea 2014/34/UE nonché essere oggetto di una specifica valutazione di conformità;
  • effettuazione della valutazione dei rischi conformemente alla norma IEC 61508-1 alla IEC 61508-3 o ad una norma di sicurezza equivalente o superiore. I SIS dovranno essere conformi alla IEC 61511-1 alla IEC 61511-3 o ad una norma di sicurezza equivalente (o a maggiore sicurezza).

Il dimensionamento del livello di integrità di sicurezza (SIL) delle varie funzioni strumentate di sicurezza (SIF) relative al SIS dovrà partire necessariamente, nella logica ALARP, dall’identificazione dei confini tra “tollerabilità” e “tollerabilità generalizzata” del rischio in ambito ATEX. Tale parametro è calcolabile adottando una definizione di rischio e determinando numericamente i parametri critici in essa contenuti.

—   —   —

A margine della riflessione complessiva più sopra esposta, si rileva che a seguito dell’abrogazione della linea guida CEI 31-35:2012 si apre la grande partita sul valore aggiunto da dare (ora) all’installazione di sistemi di controllo dell’esplodibilità in luoghi classificati a rischio di esplosione. L’art. 7 della CEI 31-35:2012 consentiva, infatti, la parziale declassificazione del campo lontano ATEX in presenza di tali sistemi.

“Consentiva di declassificare”

AND

“Prima dell’abrogazione”

E ora?

—   —   —

[1] ATEX: Atmosfera Esplosiva

[2] BPCS: Basic Process Control System

Corso di formazione: CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Share

11 SETTEMBRE 2001, TEOREMA DI BAYES E AFFIDABILITÀ DEI SISTEMI

Vorrei commemorare l’11 settembre di quest’anno in modo un po’ particolare, mettendo insieme gli argomenti citati nel titolo in un post che definirei “ostico”. I miei tre lettori sono tuttavia abituati a ben altro… armiamoci quindi di pazienza e partiamo.

Preliminarmente facciamo una breve digressione.

Su Manhattan, prima dell’11 settembre 2001, solo due volte degli aeromobili colpirono grattacieli. In un caso, peraltro, l’impatto ebbe luogo coinvolgendo gli ultimi piani dell’Empire State Building. Si annota che gli aeroplani cominciarono a sorvolare New York a partire dalla metà degli anni ’30 (circa 25000 giorni fino al 2001).

Detto in altri termini, la probabilità giornaliera non condizionata di un impatto accidentale di un aeroplano (Accidental Plane Crash, APC) su un grattacielo di Manhattan, prima dell’11 settembre, era valutabile non inferiore a [1]:

P(APC) = 2/25000 = 0,00008 = 0,008%

Prima dell’11 settembre 2001, peraltro, la stima di un attacco aereo sulla città con le modalità immaginate da Al Qaida era, verosimilmente, molto bassa. Bassa al limite della credibilità certo, ma comunque leggermente superiore all’ipotesi accidentale. La chiameremo Terrorist Plane Attack (TPA) e si può quantificare, in prima ipotesi, pari ad un evento ogni 20000 giorni. Si ha, quindi:

P(TPA) = 1/20000 = 0,00005 = 0,005%

Stimiamo, infine, quale sia la probabilità di un incidente aereo su un grattacielo (Plane Crash, PC) nell’ipotesi di un piano terroristico che preveda proprio questa eventualità (TPA). Ovviamente unitaria, giusto? In termini statistici verrà quindi detto che la probabilità di PC dato TPA sarà uguale a:

P(PC|TPA) = 100% = 1

Il problema che ci poniamo, giunti a questo punto, è però oppostoAssunti i dati precedenti, qual era la probabilità che esistesse un piano di attacco terroristico una volta avvenuto il primo impatto sulle Twin Tower? Qual era, cioè, la probabilità di TPA dato PC [2]?

Il teorema di Bayes ci viene in aiuto e ci dice che, successivamente al primo impatto sulla torre NORD, la probabilità giornaliera, stimata inizialmente allo 0,005%, collassa e si trasforma nel ben più cospicuo 38,5%. Infatti [3]:

Tale risultato non fornisce, tuttavia, la prova incontrovertibile fosse in atto un attacco terroristico. Intendiamoci, circa 40% rende sicuramente credibile lo scenario TPA ma non lo trasforma in certezza statistica.

Gli aerei in gioco l’11 settembre, però, furono due e non uno soltanto. Dopo il primo attacco abbiamo detto che:

P(TPA) = 0,005%   diventa   P(TPA) = 38,5%

Con il secondo schianto la possibilità diventa certezza statistica. Facendo fare al teorema di Bayes un ulteriore giro di valzer, si ottiene infatti:

La reale percezione di attacco terroristico che avemmo dopo il secondo impatto sulla torre SUD risulta, quindi, perfettamente allineata con quanto il teorema di Bayes prevede.

Come si vede, il teorema di Bayes è uno strumento potentissimo che consente di discriminare ciò che è credibile da eventi solo astrattamente possibili.

Questo strumento, mi riferisco al teorema di Bayes, si rivela efficientissimmo anche (forse soprattutto) in ambito affidabilistico/tecnologico poiché i dati di tasso di guasto degli apparecchi presenti nelle più diffuse banche dati sono non condizionati.

Constato tuttavia come sia ancora molto poco praticata la contestualizzazione bayesiana in ambito affidabilistico (operazione che, in ambito medico, è invece molto studiata).

Concludo dicendo che sarebbe sempre importante aggiornare i dati in senso bayesiano. Ciò consentirebbe di  inquadrarli in base alle conoscenze che si possiedono in relazione all’evento che si vuole modellare.

[1] L’esempio presentato così come le probabilità calcolate sono tratte da: Silver N. (2013). Il segnale e il rumore. Arte e scienza della previsione. Fandango Ed.

[2]  In ambito sanitario l’equivalenza è molto più comprensibile e si può risolvere con una domanda: “Poiché tutti i malati di vaiolo hanno il viso con macchie rosse diffuse, un bimbo che ha macchie rosse diffuse sul viso è ammalato di vaiolo?”

[3] Facendo le assunzioni di Nate Silver, e cioè che APC e TPA siano eventi tra loro indipendenti e che , si può concludere che 

UPDATE DEL 15/09/2019

Un caro amico, Andrea Rotella, mi fa notare che le ipotesi APC e TPA di Nate Silver sono equivalenti  e conducono a risposte identiche.

Per rispondere a lui e cercare di risolvere la questione devio dalla visione argentea.

Riporto quindi un approccio differente che tiene conto dell’accoppiamento tra i piani d’attacco 1 e 2 (nell’ipotesi TPA), a cui assegno una correlazione 0,9 (potrebbe pure essere unitaria), e della totale indipendenza della frequenza nel caso accidentale (caso APC): in quest’ultimo caso la frequenza n+1, dato l’incidente n, sarà sempre uguale e pari 0,00008 [1/giorni].

Devo ancora chiarirmi alcune cose, non tutto è ancora completamente cristallino, ma il risultato di questo approccio lo riporto nella figura seguente.

Alla fine Bayes, implementando un secondo giro, risponde e dirà che:

  • l’ipotesi di due incidenti nel medesimo giorno causati da un piano d’attacco terroristico è pari al 100%;
  • l’ipotesi di due incidenti nel medesimo giorno generati dal puro caso è dello 0%.

 

Share

ATEX FAQ (Italiano, English)

Disclaimer: post tecnico e molto poco “divulgativo”.

Sempre più spesso mi accade di ricevere telefonate e/o mail da professionisti/enti di controllo che mi chiedono informazioni in tema di applicazione delle direttive ATEX. Rispondo sempre volentieri, pur non essendo il portatore di alcuna verità e nel limite di quello che so e di una risposta a distanza che, necessariamente, non può entrare nel merito della singola responsabilità professionale.

Questi ultimi sei mesi sono stati, in questo senso, particolarmente intensi, diciamo così.

Di seguito riporto il riepilogo delle risposte, in forma breve, fornite nel corso di quest’anno (senza alcuna pretesa di esaustività):

  • la linea guida CEI 31-35:2012 è compatibile in molte parti con la nuova norma di classificazione EN 60079-10-1:2015. A mio giudizio è infatti possibile fare riferimento a tutte le equazioni di emissione presenti (NB – emissione NON dispersione) tranne quella relativa al rilascio da “pozza non lambita dall’aria di ventilazione di un liquido non refrigerato e non in ebollizione”. Poiché in quest’ultimo caso (1) non sono riuscito a risalire, pur con ricerche approfondite, alla fonte originale del modello presentato e (2) dato che i risultati appaiono spesso non credibili rispetto allo scenario di riferimento, direi di non utilizzarla. Molto meglio evitarla, a parer mio;
  • esistono una serie di polveri combustibili di origine organica definite “marginalmente esplosive” rispetto alle quali, nell’ambito di specifiche valutazioni, è possibile evitare l’adozione di misure di protezione contro le esplosioni;
  • il fatto di superare, nelle fasi di esplosione, la pressione di 0,5 barg non necessariamente implica l’applicazione della direttiva PED, come è bene specificato nelle esclusioni della direttiva PED medesima. Diverso è il caso di un apparecchio soggetto a PED che, in transitori, può contenere ATEX e sorgenti di accensione. ATEX, quindi, non implica generalmente PED mentre il viceversa non è necessariamente escludibile;
  • a meno che il rilascio da valvole di sicurezza (PSV) risulti particolarmente frequente (cosa che non dovrebbe aver luogo in un processo correttamente progettato e gestito), non è necessario ricorrere alla sezione piena di emissione per il calcolo dell’emissione e dispersione a fini di classificazione. Se la frequenza di rilascio risulta infatti inferiore a 1E-5 eventi/anno (valore spesso soddisfatto per accadimenti quali il fuori servizio di una SIF associata ad un SIS, un funzionamento anomalo o un fuori servizio di strumentazione di regolazione o controllo oppure, ancora, guasti ai circuiti di raffreddamento in presenza di reazioni esotermiche, ecc.) si dovrà invece tenere conto del solo rilascio conseguente al guasto di tenuta della PSV;
  • per la EN 60079-10-1:2015 la ventilazione naturale di luoghi chiusi dovrebbe essere assunta “Adeguata” e non “Buona”. Questa assunzione, suggerita dal nuovo standard, appare difforme rispetto a quanto generalmente accettato in precedenza. Tale fatto potrà implicare la necessità di riclassificare in presenza di sorgenti di emissione di grado continuo e primo (non più NE di estensione trascurabile);
  • in presenza di sorgenti di emissione di secondo grado, invece, il tipo di classificazione risulta indipendente dalla disponibilità “Buona” o “Adeguata” della ventilazione. Per il normatore non è infatti credibile un doppio guasto contemporaneo ed indipendente al sistema di contenimento e alla ventilazione;
  • poiché (1) in ambito internazionale la linea guida CEI 31-35:2012 era l’unico standard che consentiva la declassificazione delle zone a rischio di esplosione in presenza di controlli di esplodibilità e dato che (2) la linea guida CEI 31-35:2012 è stata abrogata senza sostituzione, ne consegue che la declassificazione non è più consentita in modo “automatico”. Per raggiungere il medesimo scopo (declassificare con l’installazione di sistemi di controllo di esplosività) si dovrà, pertanto, ricorrere a metodologie QRA basate su dati affidabilistici. Assumendosi la responsabilità professionale delle scelte fatte;
  • ogni tipologia di classificazione presuppone la presenza di un piano di manutenzione preventiva delle sorgenti di emissione (es. RCM, Reliability Centered Maintenance oppure RBM, RiskBased Maintenance). Diversamente, in assenza sistemi manutentivi in grado di intercettare il primo guasto, l’assunzione di “breve durata” caratteristica delle sorgenti di emissione di secondo grado decade, con conseguente aggravio in termini di rischio. Ogni scenario remoto e solo astrattamente possibile, in assenza di manutenzione preventiva, si trasforma in una configurazione di rischio da valutare e quindi credibile. Con la conseguente “esplosione” (è proprio il caso di dirlo) delle possibili anomalie da valutare;
  • in relazione al nuovo CLP sono definite alcune tipologie di gas infiammabili non includibili in ambito ATEX. Il riferimento è ai seguenti: gas piroforici e gas chimicamente instabili;
  • la EN 14460:2017 non obbliga più al calcolo della pressione di progetto in conformità alla molto onerosa EN 13445-3. L’obbligo della precedente EN 14460:2006 è stato sfumato adottando la seguente espressione “[…] i metodi di progettazione e di calcolo per le attrezzature resistenti alle esplosioni in pressione sono simili a quelli descritti nelle norme da EN 13445-1 a -6 […]”.

Ovviamente per ognuna di queste affermazioni esiste una precisa motivazione tecnico scientifica che non riporto [1].

In fondo questo è solo un blog, giusto?

Alla prossima

Marzio

PSChi volesse approfondire le implicazioni dirette della nuova EN 60079-10-1:2015 (CEI EN 60079-10-1:2016) può fare riferimento a QUESTO ebook da me recentemente pubblicato con Wolters Kluwer Italia.

[1] Ricordate Pierre de Fermat quando, nel 1637, riferendosi al suo diabolico “Ultimo Teorema”, scrisse: “Dispongo di una meravigliosa dimostrazione di questo teorema, che non può essere contenuta nel margine troppo stretto della pagina”? Ecco, pure io…

— — —

Disclaimer: technical post very little “popular”.

Even more often I receive phone calls and/or e-mails from professionals / control bodies who ask me for information on the application of the ATEX directives. I always answer willingly, even though I am not the bearer of any truth and within the limits of what I know and of a response at a distance that, necessarily, cannot enter deep of individual professional responsibility.

The last six months have been particularly intense in this respect.

Below is a summary of the answers, in brief form, that I have provided during this year (without any claim to completeness):

  • italian guideline CEI 31-35:2012 is compatible in many parts with the new classification standard EN 60079-10-1:2015. In particular, it is possible to refer to all the emission equations presented (emission NO dispersion) except for the emission from “puddle not touched by the ventilation air of a non-chilled liquid and not boiling”. In the latter case, I was unable to trace the original source of the publication and the results often appear to be unreliable in relation to the reference scenario. Better to avoid it;
  • there are a number of dusts defined as “marginally explosive” in respect of which, in the context of specific assessments, it is possible to avoid the adoption of explosion protection measures;
  • The fact that the pressure of 0.5 barg is exceeded during the explosion phases does not necessarily imply the application of the PED directive, as is well specified in the exclusions of the PED directive itself. A different case is that of a device subject to PED which, in transients, may contain ATEX and ignition sources. ATEX, therefore, does not generally imply PED, while the other way round is not necessarily excludable;
  • unless release from safety valves (PSVs) is particularly frequent (which should not occur in a properly designed and managed process), it is not necessary to use the full emission section for emission and dispersion calculation for classification purposes. If the release frequency is less than 1E-5 events/year (value often satisfied for events such as an out-of-service SIF associated with SIS, abnormal or out-of-service operation of control or instrumentation, failures in the cooling circuits in the presence of exothermic reactions, etc.. ), only the release due to the leakage fault of the PSV must be taken into account;
  • for EN 60079-10-1:2015 natural ventilation of enclosed spaces should be assumed to be “Adequate” and not “Good”. This assumption, suggested by the new standard, appears to be different from what was previously generally accepted. This may lead to the need to reclassify continuous and first grade emission sources (no longer of negligible size);
  • in the presence of second-degree emission sources, the type of classification is independent of the “Good” or “Adequate” availability of the ventilation. In fact, a double simultaneous and independent failure of the containment system and the ventilation system is not credible for the standard HAC;
  • since (1) at international level italian guideline CEI 31-35:2012 was the only standard allowing declassification of explosion hazardous areas in the presence of explosion controls and (2) CEI 31-35:2012 was repealed without replacement, it follows that declassification is no longer allowed “automatically”. To achieve the same goal (declassifying with the installation of explosivity control systems), it will therefore be necessary to use QRA methodologies based on reliabilty data. Taking professional responsibility for the choices made;
  • each type of classification requires the presence of a preventive maintenance plan for the emission sources (e.g. RCM, Reliability Centered Maintenance or RBM, RiskBased Maintenance). On the other hand, in the absence of maintenance systems capable of intercepting the first fault, the assumption of “short duration” characteristic of the second degree emission sources decays, with consequent increase in terms of risk. Every remote and only abstractly possible scenario, in the absence of preventive maintenance, is transformed into a risk configuration to be evaluated and therefore credible. With the consequent “explosion” (it is precisely the case to say) of the possible anomalies to be evaluated;
  • in relation to the new CLP, certain types of flammable gases that cannot be included in the ATEX scope are defined. The reference is to the following: pyrophoric gases and chemically unstable gases;
  • EN 14460:2017 no longer requires the calculation of design pressure in accordance with the very expensive EN 13445-3. The obligation of the previous EN 14460:2006 has been nuanced by adopting the following expression: “[…] the design and calculation methods for explosion pressure resistant equipment are similar to those described in EN 13445-1 to -6 […]”.

Obviously for each of these statements there is a precise technical and scientific reason that I do not report [1].

This is basically just a blog, isn’t it?

See you soon

Marzio

PSIf you want to learn more about the direct implications of the new EN 60079-10-1:2015 (CEI EN 60079-10-1:2016) can refer to THIS ebook  recently published with Wolters Kluwer Italy.

[1] Remember Pierre de Fermat when, in 1637, referring to his diabolical “Last Theorem“, he wrote: “I have a wonderful demonstration of this theorem, which cannot be contained in the too narrow margin of the page”? Me too…

Share

SAFETY FIRST! PER DAVVERO?

Ho sempre nutrito verso gli slogan relativi alla sicurezza (“Safety First”, “Infortuni zero”, “Tutti gli incidenti sono prevenibili”, ecc.) una certa diffidenza pur essendo consapevole della loro facile memorizzabilità, della semplificazione che introducono e della loro (relativa) utilità.

A quest’ultimo riguardo, in verità, nel corso degli anni la mia posizione è stata oscillante, diciamo così.

In questo periodo sono in fase negativa, avverto chi mi legge.

La sensazione è che gli slogan di sicurezza più che semplificare il problema HSE e di processo, lo banalizzino. Le “frasi fatte”, ripetute e/o lette allo sfinimento, si trasformano, nel medio periodo, in “formule vuote”.

Il “Bianco o Nero” tipico di questi slogan (“Safety First!”), l’assenza di sfumature, di scale di grigio, può rapidamente far deviare il significato originale della frase piuttosto che, cosa ancora peggiore, essere contraddetto dalla realtà vera del reparto.

Perché accade? Perché, cioè, si creano messaggi distonici rispetto a quanto avviene in reparto o nel processo di produzione? Mi sono dato alcune risposte, senza pretesa di chiudere l’argomento:

  • perché, banalmente, il RSPP, magari esterno, è poco presente e, dovendo gestire decine di aziende, non ha il tempo fisico per approfondire il “territorio” che è posto sotto la sua responsabilità consulenziale (senza discutere del contributo in tema di VDR, spesso inesistente, dato dal MC);
  • perché, ancor più banalmente, per il DDL la sicurezza non è una priorità e si “buttano lì” formule vuote per coprire la mancanza di interesse sull’argomento;
  • perché il “lavoro come pensato” è differente dal “lavoro effettivamente svolto” (cfr. Hollnagel) e se non consumo le scarpe antinfortunistiche dentro al reparto è difficile che lo comprenda realmente dal chiuso di un ufficio. Da un ufficio con aria condizionata e Spotify in sottofondo non si intercettano i segnali deboli, le mezze parole, gli sguardi rassegnati oppure ben disposti oppure ancora astiosi degli operatori di reparto. Annoto che, per esperienza personale, comprendere il clima organizzativo, le dinamiche interne aziendali, la cultura della sicurezza presente in un’unità produttiva è cosa tra le più difficili.

Peraltro, un messaggio lanciato in “pompa magna” e poi rapidamente contraddetto dalla realtà vera delle cose distrugge all’istante qualsiasi forma di politica della sicurezza si voglia applicare. Con effetti negativi permanenti anche verso iniziative future.

L’introduzione di formule fideistiche (“Gli infortuni sono tutti prevenibili, ricordalo!”[1]) e prive di scale di grigio possono arrivare a conseguenze paradossali. Per esempio:

  1. tutti gli incidenti sono prevenibili;
  2. se ti uniformi a questo non ti accadranno, quindi, infortuni;
  3. se ti fai male sul lavoro la responsabilità è pertanto solo e soltanto TUA. Non hai creduto al verbo;
  4. ed è a causa TUA che il cartellone all’ingresso dell’azienda dovrà essere azzerato (“In questo sito l’ultimo infortunio ha avuto luogo 1 giorno fa”)

Come se ne esce? Anche se le evidenze continue portate alla ribalta dalla stampa nazionale, in settori esterni a quello HSE, potrebbero suggerire il contrario, io continuo a credere che la maggior parte delle persone possieda autonomia di pensiero. Se è vero questo è probabilmente meglio, molto meglio, trasmettere al reparto messaggi realistici e non edulcorati. Obiettivi minori ma raggiungibili piuttosto che banalizzazioni irrealizzabili della realtà. Queste ultime, in ogni settore (voglio sperare), hanno le gambe corte e vengono rapidamente smascherate.

Magari tornerò in futuro sull’argomento.

[1] Tutti gli incidenti sono prevenibili solo in un universo laplaciano o se visti con il senno del poi. Fuori dai laboratori di fisica in cui si eseguono esperimenti in condizioni controllate oppure all’esterno delle aule di tribunale, la realtà è un tunnel nel quale le informazioni sono limitate, le scelte si fanno sotto pressione, con limitata razionalità (il pensiero veloce di Kahneman) e con limiti di tempo e risorse. Nonostante questo nella grande parte dei casi le cose sono gestite bene (o in modi sub-ottimali ma comunque entro margini di sicurezza). I margini di sicurezza e le barriere occulte di un sistema spesso fanno evolvere le situazioni in modo positivo, nonostante gli errori organizzativi e/o operativi. Questo accade spesso. Non sempre, purtroppo. Chiediamoci, dunque: in quali condizioni TUTTI gli incidenti possono essere previsti? Probabilmente in presenza di conoscenze e risorse illimitate, ottimi strumenti previsionali e una buona dose di fortuna. Ma anche in queste situazioni le cose potrebbero deragliare dal percorso originale. Anche in laboratori nei quali lavorano le intelligenze più illuminate del pianeta. Insomma, l’unico modo per azzerare il rischio di cadere dalle scale salendo a casa è… non salire le scale. E l’unico modo per azzerare il rischio di infortunio sul lavoro è… non lavorare. Che, complessivamente, non mi pare una grande soluzione.

Share

DELL’UK E DI BACONE

Alla fine ci arrivai.

Il mio intero percorso di studi è stato permeato da una logica cartesiana deduttiva.
Il “Top-Down”, eredità del francese Cartesio e dell’intera filosofia tedesca.

La scuola e, soprattutto, l’università italiana è intrinsecamente cartesiana, con una visione deduttiva e logica nella gran parte delle sue conclusioni.

La realtà autentica dei fatti è studiata come semplice esercizio applicativo delle mappe che vengono artificialmente create.
E tali mappe, le narrazioni razionali, sostituiscono i territori sottostanti.

Pian piano mi sono accorto che un simile approccio, negli ambiti applicativi di cui mi occupo, non è utile.
Per nulla.
Non posso avvicinarmi ad un problema ed affrontarlo con il solo strumento deduttivo.
Ci si perde nella metodologia, nelle assunzioni, nella ricerca di eleganza e si smarrisce lo scopo.

Ad un certo punto ci fu “l’epifania” con la scoperta dell’approccio anglosassone ai problemi, straordinariamente differente da quello dell’Europa continentale: un approccio dal basso.
Il “Bottom-up”.

La lettura dei loro manuali (UK e USA), eccezionali strumenti finalizzati alla soluzione dei problemi partendo da casi empirici, dalla realtà vera delle cose, sono stati per me la chiave di volta.
E i problemi, quasi miracolosamente, si semplificarono. Divenni in grado di risolvere cose prima nemmeno avvicinabili nell’ambito della sicurezza di processo, dei sistemi strumentati di sicurezza, della sicurezza contro le esplosioni e della manutenzione orientata all’affidabilità.

Più o meno vent’anni fa, quindi, mi trasformai in una sorta di empirista autodidatta rinnegando buona parte del sapere cartesiano e dimostrativo proprio della nostra accademia.

Pur non potendomi liberare dal fascino del ragionamento razionale cartesiano, un imprinting indelebile, il Bottom-Up divenne il mio normale strumento per comprendere la realtà.

Sul lavoro e nella vita di tutti i giorni.

Prima il territorio, i numeri, i fenomeni, poi la loro sintesi e generalizzazione.

Non il viceversa.

Io mi sento un po’ anglosassone nel modo di pensare e di cercare le soluzioni.

Ed è per questo che la scelta sostanzialmente isolazionista di USA e UK mi colpisce al cuore.

E mi stranisce.

L’Europa, in particolare, ha vitale necessità del Regno Unito e del loro peculiare pragmatismo nella soluzione dei problemi.

Come si dice? Ah, si: God Save the Queen”.

Share