11 SETTEMBRE 2001, TEOREMA DI BAYES E AFFIDABILITÀ DEI SISTEMI

Vorrei commemorare l’11 settembre di quest’anno in modo un po’ particolare, mettendo insieme gli argomenti citati nel titolo in un post che definirei “ostico”. I miei tre lettori sono tuttavia abituati a ben altro… armiamoci quindi di pazienza e partiamo.

Preliminarmente facciamo una breve digressione.

Su Manhattan, prima dell’11 settembre 2001, solo due volte degli aeromobili colpirono grattacieli. In un caso, peraltro, l’impatto ebbe luogo coinvolgendo gli ultimi piani dell’Empire State Building. Si annota che gli aeroplani cominciarono a sorvolare New York a partire dalla metà degli anni ’30 (circa 25000 giorni fino al 2001).

Detto in altri termini, la probabilità giornaliera non condizionata di un impatto accidentale di un aeroplano (Accidental Plane Crash, APC) su un grattacielo di Manhattan, prima dell’11 settembre, era valutabile non inferiore a [1]:

P(APC) = 2/25000 = 0,00008 = 0,008%

Prima dell’11 settembre 2001, peraltro, la stima di un attacco aereo sulla città con le modalità immaginate da Al Qaida era, verosimilmente, molto bassa. Bassa al limite della credibilità certo, ma comunque leggermente superiore all’ipotesi accidentale. La chiameremo Terrorist Plane Attack (TPA) e si può quantificare, in prima ipotesi, pari ad un evento ogni 20000 giorni. Si ha, quindi:

P(TPA) = 1/20000 = 0,00005 = 0,005%

Stimiamo, infine, quale sia la probabilità di un incidente aereo su un grattacielo (Plane Crash, PC) nell’ipotesi di un piano terroristico che preveda proprio questa eventualità (TPA). Ovviamente unitaria, giusto? In termini statistici verrà quindi detto che la probabilità di PC dato TPA sarà uguale a:

P(PC|TPA) = 100% = 1

Il problema che ci poniamo, giunti a questo punto, è però oppostoAssunti i dati precedenti, qual era la probabilità che esistesse un piano di attacco terroristico una volta avvenuto il primo impatto sulle Twin Tower? Qual era, cioè, la probabilità di TPA dato PC [2]?

Il teorema di Bayes ci viene in aiuto e ci dice che, successivamente al primo impatto sulla torre NORD, la probabilità giornaliera, stimata inizialmente allo 0,005%, collassa e si trasforma nel ben più cospicuo 38,5%. Infatti [3]:

Tale risultato non fornisce, tuttavia, la prova incontrovertibile fosse in atto un attacco terroristico. Intendiamoci, circa 40% rende sicuramente credibile lo scenario TPA ma non lo trasforma in certezza statistica.

Gli aerei in gioco l’11 settembre, però, furono due e non uno soltanto. Dopo il primo attacco abbiamo detto che:

P(TPA) = 0,005%   diventa   P(TPA) = 38,5%

Con il secondo schianto la possibilità diventa certezza statistica. Facendo fare al teorema di Bayes un ulteriore giro di valzer, si ottiene infatti:

La reale percezione di attacco terroristico che avemmo dopo il secondo impatto sulla torre SUD risulta, quindi, perfettamente allineata con quanto il teorema di Bayes prevede.

Come si vede, il teorema di Bayes è uno strumento potentissimo che consente di discriminare ciò che è credibile da eventi solo astrattamente possibili.

Questo strumento, mi riferisco al teorema di Bayes, si rivela efficientissimmo anche (forse soprattutto) in ambito affidabilistico/tecnologico poiché i dati di tasso di guasto degli apparecchi presenti nelle più diffuse banche dati sono non condizionati.

Constato tuttavia come sia ancora molto poco praticata la contestualizzazione bayesiana in ambito affidabilistico (operazione che, in ambito medico, è invece molto studiata).

Concludo dicendo che sarebbe sempre importante aggiornare i dati in senso bayesiano. Ciò consentirebbe di  inquadrarli in base alle conoscenze che si possiedono in relazione all’evento che si vuole modellare.

[1] L’esempio presentato così come le probabilità calcolate sono tratte da: Silver N. (2013). Il segnale e il rumore. Arte e scienza della previsione. Fandango Ed.

[2]  In ambito sanitario l’equivalenza è molto più comprensibile e si può risolvere con una domanda: “Poiché tutti i malati di vaiolo hanno il viso con macchie rosse diffuse, un bimbo che ha macchie rosse diffuse sul viso è ammalato di vaiolo?”

[3] Facendo le assunzioni di Nate Silver, e cioè che APC e TPA siano eventi tra loro indipendenti e che , si può concludere che 

UPDATE DEL 15/09/2019

Un caro amico, Andrea Rotella, mi fa notare che le ipotesi APC e TPA di Nate Silver sono equivalenti  e conducono a risposte identiche.

Per rispondere a lui e cercare di risolvere la questione devio dalla visione argentea.

Riporto quindi un approccio differente che tiene conto dell’accoppiamento tra i piani d’attacco 1 e 2 (nell’ipotesi TPA), a cui assegno una correlazione 0,9 (potrebbe pure essere unitaria), e della totale indipendenza della frequenza nel caso accidentale (caso APC): in quest’ultimo caso la frequenza n+1, dato l’incidente n, sarà sempre uguale e pari 0,00008 [1/giorni].

Devo ancora chiarirmi alcune cose, non tutto è ancora completamente cristallino, ma il risultato di questo approccio lo riporto nella figura seguente.

Alla fine Bayes, implementando un secondo giro, risponde e dirà che:

  • l’ipotesi di due incidenti nel medesimo giorno causati da un piano d’attacco terroristico è pari al 100%;
  • l’ipotesi di due incidenti nel medesimo giorno generati dal puro caso è dello 0%.

 

Share

ATEX FAQ (Italiano, English)

Disclaimer: post tecnico e molto poco “divulgativo”.

Sempre più spesso mi accade di ricevere telefonate e/o mail da professionisti/enti di controllo che mi chiedono informazioni in tema di applicazione delle direttive ATEX. Rispondo sempre volentieri, pur non essendo il portatore di alcuna verità e nel limite di quello che so e di una risposta a distanza che, necessariamente, non può entrare nel merito della singola responsabilità professionale.

Questi ultimi sei mesi sono stati, in questo senso, particolarmente intensi, diciamo così.

Di seguito riporto il riepilogo delle risposte, in forma breve, fornite nel corso di quest’anno (senza alcuna pretesa di esaustività):

  • la linea guida CEI 31-35:2012 è compatibile in molte parti con la nuova norma di classificazione EN 60079-10-1:2015. A mio giudizio è infatti possibile fare riferimento a tutte le equazioni di emissione presenti (NB – emissione NON dispersione) tranne quella relativa al rilascio da “pozza non lambita dall’aria di ventilazione di un liquido non refrigerato e non in ebollizione”. Poiché in quest’ultimo caso (1) non sono riuscito a risalire, pur con ricerche approfondite, alla fonte originale del modello presentato e (2) dato che i risultati appaiono spesso non credibili rispetto allo scenario di riferimento, direi di non utilizzarla. Molto meglio evitarla, a parer mio;
  • esistono una serie di polveri combustibili di origine organica definite “marginalmente esplosive” rispetto alle quali, nell’ambito di specifiche valutazioni, è possibile evitare l’adozione di misure di protezione contro le esplosioni;
  • il fatto di superare, nelle fasi di esplosione, la pressione di 0,5 barg non necessariamente implica l’applicazione della direttiva PED, come è bene specificato nelle esclusioni della direttiva PED medesima. Diverso è il caso di un apparecchio soggetto a PED che, in transitori, può contenere ATEX e sorgenti di accensione. ATEX, quindi, non implica generalmente PED mentre il viceversa non è necessariamente escludibile;
  • a meno che il rilascio da valvole di sicurezza (PSV) risulti particolarmente frequente (cosa che non dovrebbe aver luogo in un processo correttamente progettato e gestito), non è necessario ricorrere alla sezione piena di emissione per il calcolo dell’emissione e dispersione a fini di classificazione. Se la frequenza di rilascio risulta infatti inferiore a 1E-5 eventi/anno (valore spesso soddisfatto per accadimenti quali il fuori servizio di una SIF associata ad un SIS, un funzionamento anomalo o un fuori servizio di strumentazione di regolazione o controllo oppure, ancora, guasti ai circuiti di raffreddamento in presenza di reazioni esotermiche, ecc.) si dovrà invece tenere conto del solo rilascio conseguente al guasto di tenuta della PSV;
  • per la EN 60079-10-1:2015 la ventilazione naturale di luoghi chiusi dovrebbe essere assunta “Adeguata” e non “Buona”. Questa assunzione, suggerita dal nuovo standard, appare difforme rispetto a quanto generalmente accettato in precedenza. Tale fatto potrà implicare la necessità di riclassificare in presenza di sorgenti di emissione di grado continuo e primo (non più NE di estensione trascurabile);
  • in presenza di sorgenti di emissione di secondo grado, invece, il tipo di classificazione risulta indipendente dalla disponibilità “Buona” o “Adeguata” della ventilazione. Per il normatore non è infatti credibile un doppio guasto contemporaneo ed indipendente al sistema di contenimento e alla ventilazione;
  • poiché (1) in ambito internazionale la linea guida CEI 31-35:2012 era l’unico standard che consentiva la declassificazione delle zone a rischio di esplosione in presenza di controlli di esplodibilità e dato che (2) la linea guida CEI 31-35:2012 è stata abrogata senza sostituzione, ne consegue che la declassificazione non è più consentita in modo “automatico”. Per raggiungere il medesimo scopo (declassificare con l’installazione di sistemi di controllo di esplosività) si dovrà, pertanto, ricorrere a metodologie QRA basate su dati affidabilistici. Assumendosi la responsabilità professionale delle scelte fatte;
  • ogni tipologia di classificazione presuppone la presenza di un piano di manutenzione preventiva delle sorgenti di emissione (es. RCM, Reliability Centered Maintenance oppure RBM, RiskBased Maintenance). Diversamente, in assenza sistemi manutentivi in grado di intercettare il primo guasto, l’assunzione di “breve durata” caratteristica delle sorgenti di emissione di secondo grado decade, con conseguente aggravio in termini di rischio. Ogni scenario remoto e solo astrattamente possibile, in assenza di manutenzione preventiva, si trasforma in una configurazione di rischio da valutare e quindi credibile. Con la conseguente “esplosione” (è proprio il caso di dirlo) delle possibili anomalie da valutare;
  • in relazione al nuovo CLP sono definite alcune tipologie di gas infiammabili non includibili in ambito ATEX. Il riferimento è ai seguenti: gas piroforici e gas chimicamente instabili;
  • la EN 14460:2017 non obbliga più al calcolo della pressione di progetto in conformità alla molto onerosa EN 13445-3. L’obbligo della precedente EN 14460:2006 è stato sfumato adottando la seguente espressione “[…] i metodi di progettazione e di calcolo per le attrezzature resistenti alle esplosioni in pressione sono simili a quelli descritti nelle norme da EN 13445-1 a -6 […]”.

Ovviamente per ognuna di queste affermazioni esiste una precisa motivazione tecnico scientifica che non riporto [1].

In fondo questo è solo un blog, giusto?

Alla prossima

Marzio

PSChi volesse approfondire le implicazioni dirette della nuova EN 60079-10-1:2015 (CEI EN 60079-10-1:2016) può fare riferimento a QUESTO ebook da me recentemente pubblicato con Wolters Kluwer Italia.

[1] Ricordate Pierre de Fermat quando, nel 1637, riferendosi al suo diabolico “Ultimo Teorema”, scrisse: “Dispongo di una meravigliosa dimostrazione di questo teorema, che non può essere contenuta nel margine troppo stretto della pagina”? Ecco, pure io…

— — —

Disclaimer: technical post very little “popular”.

Even more often I receive phone calls and/or e-mails from professionals / control bodies who ask me for information on the application of the ATEX directives. I always answer willingly, even though I am not the bearer of any truth and within the limits of what I know and of a response at a distance that, necessarily, cannot enter deep of individual professional responsibility.

The last six months have been particularly intense in this respect.

Below is a summary of the answers, in brief form, that I have provided during this year (without any claim to completeness):

  • italian guideline CEI 31-35:2012 is compatible in many parts with the new classification standard EN 60079-10-1:2015. In particular, it is possible to refer to all the emission equations presented (emission NO dispersion) except for the emission from “puddle not touched by the ventilation air of a non-chilled liquid and not boiling”. In the latter case, I was unable to trace the original source of the publication and the results often appear to be unreliable in relation to the reference scenario. Better to avoid it;
  • there are a number of dusts defined as “marginally explosive” in respect of which, in the context of specific assessments, it is possible to avoid the adoption of explosion protection measures;
  • The fact that the pressure of 0.5 barg is exceeded during the explosion phases does not necessarily imply the application of the PED directive, as is well specified in the exclusions of the PED directive itself. A different case is that of a device subject to PED which, in transients, may contain ATEX and ignition sources. ATEX, therefore, does not generally imply PED, while the other way round is not necessarily excludable;
  • unless release from safety valves (PSVs) is particularly frequent (which should not occur in a properly designed and managed process), it is not necessary to use the full emission section for emission and dispersion calculation for classification purposes. If the release frequency is less than 1E-5 events/year (value often satisfied for events such as an out-of-service SIF associated with SIS, abnormal or out-of-service operation of control or instrumentation, failures in the cooling circuits in the presence of exothermic reactions, etc.. ), only the release due to the leakage fault of the PSV must be taken into account;
  • for EN 60079-10-1:2015 natural ventilation of enclosed spaces should be assumed to be “Adequate” and not “Good”. This assumption, suggested by the new standard, appears to be different from what was previously generally accepted. This may lead to the need to reclassify continuous and first grade emission sources (no longer of negligible size);
  • in the presence of second-degree emission sources, the type of classification is independent of the “Good” or “Adequate” availability of the ventilation. In fact, a double simultaneous and independent failure of the containment system and the ventilation system is not credible for the standard HAC;
  • since (1) at international level italian guideline CEI 31-35:2012 was the only standard allowing declassification of explosion hazardous areas in the presence of explosion controls and (2) CEI 31-35:2012 was repealed without replacement, it follows that declassification is no longer allowed “automatically”. To achieve the same goal (declassifying with the installation of explosivity control systems), it will therefore be necessary to use QRA methodologies based on reliabilty data. Taking professional responsibility for the choices made;
  • each type of classification requires the presence of a preventive maintenance plan for the emission sources (e.g. RCM, Reliability Centered Maintenance or RBM, RiskBased Maintenance). On the other hand, in the absence of maintenance systems capable of intercepting the first fault, the assumption of “short duration” characteristic of the second degree emission sources decays, with consequent increase in terms of risk. Every remote and only abstractly possible scenario, in the absence of preventive maintenance, is transformed into a risk configuration to be evaluated and therefore credible. With the consequent “explosion” (it is precisely the case to say) of the possible anomalies to be evaluated;
  • in relation to the new CLP, certain types of flammable gases that cannot be included in the ATEX scope are defined. The reference is to the following: pyrophoric gases and chemically unstable gases;
  • EN 14460:2017 no longer requires the calculation of design pressure in accordance with the very expensive EN 13445-3. The obligation of the previous EN 14460:2006 has been nuanced by adopting the following expression: “[…] the design and calculation methods for explosion pressure resistant equipment are similar to those described in EN 13445-1 to -6 […]”.

Obviously for each of these statements there is a precise technical and scientific reason that I do not report [1].

This is basically just a blog, isn’t it?

See you soon

Marzio

PSIf you want to learn more about the direct implications of the new EN 60079-10-1:2015 (CEI EN 60079-10-1:2016) can refer to THIS ebook  recently published with Wolters Kluwer Italy.

[1] Remember Pierre de Fermat when, in 1637, referring to his diabolical “Last Theorem“, he wrote: “I have a wonderful demonstration of this theorem, which cannot be contained in the too narrow margin of the page”? Me too…

Share

SAFETY FIRST! PER DAVVERO?

Ho sempre nutrito verso gli slogan relativi alla sicurezza (“Safety First”, “Infortuni zero”, “Tutti gli incidenti sono prevenibili”, ecc.) una certa diffidenza pur essendo consapevole della loro facile memorizzabilità, della semplificazione che introducono e della loro (relativa) utilità.

A quest’ultimo riguardo, in verità, nel corso degli anni la mia posizione è stata oscillante, diciamo così.

In questo periodo sono in fase negativa, avverto chi mi legge.

La sensazione è che gli slogan di sicurezza più che semplificare il problema HSE e di processo, lo banalizzino. Le “frasi fatte”, ripetute e/o lette allo sfinimento, si trasformano, nel medio periodo, in “formule vuote”.

Il “Bianco o Nero” tipico di questi slogan (“Safety First!”), l’assenza di sfumature, di scale di grigio, può rapidamente far deviare il significato originale della frase piuttosto che, cosa ancora peggiore, essere contraddetto dalla realtà vera del reparto.

Perché accade? Perché, cioè, si creano messaggi distonici rispetto a quanto avviene in reparto o nel processo di produzione? Mi sono dato alcune risposte, senza pretesa di chiudere l’argomento:

  • perché, banalmente, il RSPP, magari esterno, è poco presente e, dovendo gestire decine di aziende, non ha il tempo fisico per approfondire il “territorio” che è posto sotto la sua responsabilità consulenziale (senza discutere del contributo in tema di VDR, spesso inesistente, dato dal MC);
  • perché, ancor più banalmente, per il DDL la sicurezza non è una priorità e si “buttano lì” formule vuote per coprire la mancanza di interesse sull’argomento;
  • perché il “lavoro come pensato” è differente dal “lavoro effettivamente svolto” (cfr. Hollnagel) e se non consumo le scarpe antinfortunistiche dentro al reparto è difficile che lo comprenda realmente dal chiuso di un ufficio. Da un ufficio con aria condizionata e Spotify in sottofondo non si intercettano i segnali deboli, le mezze parole, gli sguardi rassegnati oppure ben disposti oppure ancora astiosi degli operatori di reparto. Annoto che, per esperienza personale, comprendere il clima organizzativo, le dinamiche interne aziendali, la cultura della sicurezza presente in un’unità produttiva è cosa tra le più difficili.

Peraltro, un messaggio lanciato in “pompa magna” e poi rapidamente contraddetto dalla realtà vera delle cose distrugge all’istante qualsiasi forma di politica della sicurezza si voglia applicare. Con effetti negativi permanenti anche verso iniziative future.

L’introduzione di formule fideistiche (“Gli infortuni sono tutti prevenibili, ricordalo!”[1]) e prive di scale di grigio possono arrivare a conseguenze paradossali. Per esempio:

  1. tutti gli incidenti sono prevenibili;
  2. se ti uniformi a questo non ti accadranno, quindi, infortuni;
  3. se ti fai male sul lavoro la responsabilità è pertanto solo e soltanto TUA. Non hai creduto al verbo;
  4. ed è a causa TUA che il cartellone all’ingresso dell’azienda dovrà essere azzerato (“In questo sito l’ultimo infortunio ha avuto luogo 1 giorno fa”)

Come se ne esce? Anche se le evidenze continue portate alla ribalta dalla stampa nazionale, in settori esterni a quello HSE, potrebbero suggerire il contrario, io continuo a credere che la maggior parte delle persone possieda autonomia di pensiero. Se è vero questo è probabilmente meglio, molto meglio, trasmettere al reparto messaggi realistici e non edulcorati. Obiettivi minori ma raggiungibili piuttosto che banalizzazioni irrealizzabili della realtà. Queste ultime, in ogni settore (voglio sperare), hanno le gambe corte e vengono rapidamente smascherate.

Magari tornerò in futuro sull’argomento.

[1] Tutti gli incidenti sono prevenibili solo in un universo laplaciano o se visti con il senno del poi. Fuori dai laboratori di fisica in cui si eseguono esperimenti in condizioni controllate oppure all’esterno delle aule di tribunale, la realtà è un tunnel nel quale le informazioni sono limitate, le scelte si fanno sotto pressione, con limitata razionalità (il pensiero veloce di Kahneman) e con limiti di tempo e risorse. Nonostante questo nella grande parte dei casi le cose sono gestite bene (o in modi sub-ottimali ma comunque entro margini di sicurezza). I margini di sicurezza e le barriere occulte di un sistema spesso fanno evolvere le situazioni in modo positivo, nonostante gli errori organizzativi e/o operativi. Questo accade spesso. Non sempre, purtroppo. Chiediamoci, dunque: in quali condizioni TUTTI gli incidenti possono essere previsti? Probabilmente in presenza di conoscenze e risorse illimitate, ottimi strumenti previsionali e una buona dose di fortuna. Ma anche in queste situazioni le cose potrebbero deragliare dal percorso originale. Anche in laboratori nei quali lavorano le intelligenze più illuminate del pianeta. Insomma, l’unico modo per azzerare il rischio di cadere dalle scale salendo a casa è… non salire le scale. E l’unico modo per azzerare il rischio di infortunio sul lavoro è… non lavorare. Che, complessivamente, non mi pare una grande soluzione.

Share

DELL’UK E DI BACONE

Alla fine ci arrivai.

Il mio intero percorso di studi è stato permeato da una logica cartesiana deduttiva.
Il “Top-Down”, eredità del francese Cartesio e dell’intera filosofia tedesca.

La scuola e, soprattutto, l’università italiana è intrinsecamente cartesiana, con una visione deduttiva e logica nella gran parte delle sue conclusioni.

La realtà autentica dei fatti è studiata come semplice esercizio applicativo delle mappe che vengono artificialmente create.
E tali mappe, le narrazioni razionali, sostituiscono i territori sottostanti.

Pian piano mi sono accorto che un simile approccio, negli ambiti applicativi di cui mi occupo, non è utile.
Per nulla.
Non posso avvicinarmi ad un problema ed affrontarlo con il solo strumento deduttivo.
Ci si perde nella metodologia, nelle assunzioni, nella ricerca di eleganza e si smarrisce lo scopo.

Ad un certo punto ci fu “l’epifania” con la scoperta dell’approccio anglosassone ai problemi, straordinariamente differente da quello dell’Europa continentale: un approccio dal basso.
Il “Bottom-up”.

La lettura dei loro manuali (UK e USA), eccezionali strumenti finalizzati alla soluzione dei problemi partendo da casi empirici, dalla realtà vera delle cose, sono stati per me la chiave di volta.
E i problemi, quasi miracolosamente, si semplificarono. Divenni in grado di risolvere cose prima nemmeno avvicinabili nell’ambito della sicurezza di processo, dei sistemi strumentati di sicurezza, della sicurezza contro le esplosioni e della manutenzione orientata all’affidabilità.

Più o meno vent’anni fa, quindi, mi trasformai in una sorta di empirista autodidatta rinnegando buona parte del sapere cartesiano e dimostrativo proprio della nostra accademia.

Pur non potendomi liberare dal fascino del ragionamento razionale cartesiano, un imprinting indelebile, il Bottom-Up divenne il mio normale strumento per comprendere la realtà.

Sul lavoro e nella vita di tutti i giorni.

Prima il territorio, i numeri, i fenomeni, poi la loro sintesi e generalizzazione.

Non il viceversa.

Io mi sento un po’ anglosassone nel modo di pensare e di cercare le soluzioni.

Ed è per questo che la scelta sostanzialmente isolazionista di USA e UK mi colpisce al cuore.

E mi stranisce.

L’Europa, in particolare, ha vitale necessità del Regno Unito e del loro peculiare pragmatismo nella soluzione dei problemi.

Come si dice? Ah, si: God Save the Queen”.

Share

La nuova classificazione delle zone a rischio di esplosione

Venerdì 17 maggio 2019 presso l’Ordine degli Ingegneri di Pordenone terrò un corso di formazione finalizzato ad illustrare la nuova metodologia di classificazione delle zone a rischio di esplosione prevista dalla norma CEI EN 60079-10-1:2016.

Rilevo, a questo proposito, che l’introduzione del nuovo standard di classificazione e la contemporanea abrogazione della IV edizione della linea guida CEI 31-32:2012 hanno determinato alcune perplessità applicative tra gli addetti ai lavori. Dubbi che necessitano di una soluzione urgente.

Il corso quindi, proponendo elementi di approfondimento e discussione della tematica specifica, consentirà di iniziare a districare la matassa di pareri e interpretazioni a volte in conflitto tra loro.

Questo sarà il programma, articolato su 8 ore:

  • Un approccio basato sulle evidenze e lo studio degli incidenti industriali
  • L’influenza di specifici parametri di esplosività sul rischio ATEX e l’interpretazione dei risultati dei test di esplosione
  • La classificazione delle zone a rischio di esplosione (gas, vapori) secondo la nuova metodologia data dalla CEI EN 60079-10-1:2016
  • Eventuali integrazioni alla CEI EN 60079-10-1:2016 con EI15:2015 e CEI 31-35:2012 (ora abrogata)
  • Proposizione di esempi di calcolo utilizzando lo standard CEI EN 60079-10-1:2016: rilasci a getto, rilasci diffusivi, rilasci di liquidi infiammabili. Gli esempi proposti saranno originali, non compresi negli allegati alla norma tecnica, presentati per la prima volta ad un corso di formazione e tratti dalla realtà industriale italiana
  • Esercitazione finale di classificazione

La partecipazione prevede la fornitura delle presentazioni originali in formato pdf.

Il corso consentirà di acquisire 8 CFP (Ingegneri). Inoltre, per i professionisti antincendio abilitati ai sensi della Legge n. 818/1984, il percorso formativo proposto costituisce un aggiornamento di 8 ore ex DM 5 agosto 2011 (in attesa di autorizzazione della Direzione Regionale).

L’iscrizione al corso potrà essere fatta attraverso il portale ISI formazione (attenzione: i posti sono limitati).

Per chi arriverà da più lontano consiglio questo hotel oppure questo per il pernottamento. Sono entrambi a pochi minuti a piedi dalla sede dell’Ordine degli Ingegneri di Pordenone.

Infine, per chi voglia affiancare ad un tedioso corso in tema d’ATEX anche la visita ad una città culturalmente stimolante quale Pordenone è, consiglio l’esposizione Femmes 1900. La Donna Art Nouveau. Omaggio a Eugene Grasset che vedrà l’inaugurazione proprio in quei giorni.

Se vorrete, quindi, appuntamento al 17 maggio a Pordenone!

Marzio Marigo

PS – È finalmente disponibile per il download il mio ebook: Classificare le zone a rischio di esplosione con la norma CEI EN 60079-10-1:2016. Lo potete scaricare dal portale Wolters Kluwer.

PPS (Update del 13/4/2019) – Se sai rispondere alle seguenti domande NON ti serve un corso di formazione sul nuovo standard CEI EN 60079-10-1:2016:

  1. Le esclusioni previste per gas combustibili a bassa pressione sono valide anche per GPL? Cosa si intende precisamente per bassa pressione?
  2. Come calcolo i ricambi d’aria in ambienti di grandi dimensioni?
  3. Ma davvero la disponibilità della ventilazione naturale in ambienti chiusi non può essere definita BUONA?
  4. Ma davvero le distanze minime di classificazione non possono essere inferiori al metro?
  5. Quali sono le parti della linea guida CEI 31-35:2012 (ora abrogata) non in contrasto con la seconda edizione della IEC 60079-10-1?
  6. I controlli di esplodibilità consentono ancora di declassificare i luoghi a rischio di esplosione oppure no?
  7. Nel caso di liquidi ad alta viscosità posso utilizzare le normali equazioni di rilascio?
  8. Il nuovo diagramma logaritmico illustrato nell’allegato D con il quale si calcolano le distanze a rischio di esplosione è affidabile?
Share

Classificare le zone a rischio di esplosione con la nuova norma CEI EN 60079-10-1:2016

Oggi ho consegnato all’Editore le bozze dell’ebook che a breve verrà pubblicato da IPSOA-WKI Italia.

Con questo lavoro ho cercato di illustrare le opportunità e i limiti della nuova norma di classificazione CEI EN 60079-10-1:2016. Il nuovo standard possiede molta luce ma anche luoghi d’ombra, a volte inaspettati. Sono soprattutto questi ultimi che ho cercato di illuminare con interpretazioni tecniche ragionevoli, approcci e criteri applicativi ed esempi di calcolo. La materia è “viva” e, non essendoci letteratura a supporto delle scelte fatte dal normatore, si può prestare a facili fraintendimenti.

Spero di essere riuscito a chiarire qualcosa. Almeno in parte. Tratto dall’introduzione: “(…) In estrema sintesi, la norma tecnica CEI EN 60079-10-1:2016 è la prima IEC 79-10 che si “autosostiene”; in essa sono presenti sia le equazioni di emissione relative ad alcuni scenari di rischio, sia nomogrammi che consentono di determinare l’eventuale tipo di zona a rischio di esplosione sia, per finire, nomogrammi che permettono la stima della dispersione e quindi dell’estensione della zona. Insomma, è uno standard immediatamente applicabile una volta che si abbiano le equazioni di emissione afferenti ad ogni scenario e reperibili ampiamente in letteratura tecnica [es. TNO Yellow Book (Capitoli 2, 3), Crowl e Louvar (Capitolo 4), Lee’s (Capitolo 15), CEI 31-35:2012 (Appendice GB.4), ecc.].

La CEI EN 60079-10-1:2016 è quindi immediatamente applicabile e restituisce, rispetto all’utilizzo della linea guida CEI 31-35:2012, risultati sorprendenti e, per alcuni scenari, molto più aderenti alla realtà fisica del fenomeno di rilascio e dispersione (soprattutto di dispersione). Le prime comparazioni di classificazione svolte sia con la linea guida CEI 31-35:2012 che con la norma CEI EN 60079-10-1:2016 lasciano infatti intravedere modifiche molto sostanziose nella determinazione della distanza pericolosa (nel campo vicino), soprattutto per alcuni specifici scenari di rilascio tipicamente presenti in molte filiere industriali italiane.

Al momento dell’elaborazione del presente lavoro la situazione normativa, nell’ambito della classificazione delle zone a rischio di esplosione per gas e vapori infiammabili, evidenzia la seguente norma in vigore:

  • CEI EN 60079-10-1:2016 (Atmosfere esplosive. Parte 10-1: Classificazione dei luoghi. Atmosfere esplosive per la presenza di gas)

Le linee guida applicative dell’edizione del 2010:

  • CEI 31-35:2012
  • CEI 31-35/A:2012

sono state abrogate a partire dal 14 ottobre 2018 (il 13 ottobre cessava infatti il periodo di vigenza contemporanea dell’edizione del 2010 e quella del 2016 dello standard CEI EN 60079-10-1). Nonostante questo i contenuti tecnici di tali guide rappresentanto un utile riferimento per le metodologie scientifiche in esse contenute, relativamente alle parti non in contrasto con la nuova edizione della Norma CEI EN 60079-10-1:2016, nell’ambito delle scelte affidate al valutatore/classificatore.

Il nuovo standard di classificazione è stato pubblicato dall’IEC nel settembre 2015, successivamente recepito come norma EN nel dicembre 2015 e, infine, pubblicato dal CEI italiano nel marzo 2016 come CEI EN 60079-10-1:2016. Nel novembre del medesimo anno il Comitato Elettrotecnico Italiano ha pubblicato l’edizione in lingua italiana della norma.

Il presente ebook, da considerarsi come un aggiormento, sull’argomento specifico, del manuale edito da IPSOA nel 2017, si propone lo scopo di illustrare l’ambito applicativo della nuova CEI EN 60079-10-1:2016 nonché di illustrare, attraverso esempi applicativi tratti dalla realtà del tessuto produttivo italiano, la concreta applicazione degli strumenti forniti dalla norma tecnica (…)”.

A presto

Marzio

Share

Del riccio e della volpe

Disclaimer: a prima vista quanto segue c’entra poco con gli argomenti che normalmente tratto in questo spazio. Ma solo a prima vista.

Un filosofo greco (Archiloco) ci ha trasmesso, migliaia di anni fa, un insegnamento: “La volpe sa molte cose, ma il riccio ne sa una grande”.

Per quanto la volpe si industri nel catturare il riccio, quest’ultimo possiede gli aculei, inattaccabili dalla volpe.

La volpe, con tutta la sua astuzia, viene sconfitta dall’unica difesa che il riccio possiede.

Nel 1948 Berlin pubblicò, a proposito di questo, un saggetto intitolato “Il riccio e la volpe” destinato a discutere di questa “strana” suddivisione.

Successivamente sia Tetlock sia Silver contestualizzarono i ragionamenti di Berlin al nostro, attuale, universo comunicativo e scientifico.

Quello che segue è il sunto di quanto ho compreso, insegnamenti che consentono, a mio parere, di interpretare meglio la strana epoca che stiamo vivendo.

I ricci credono nelle grandi teorie, nei grandi ideali. Ritengono che la fenomenologia nella quale si vive sia riconducibile sempre al fondamento di una grande teoria, di una grande sintesi.

Le volpi invece ritengono che buona parte delle cose che ci circondano si possano interpretare in modi differenti, con euristiche diverse.

Il riccio ha una logica cartesiana top-down, la volpe, al contrario, parte dall’empirismo, dal fatto, e sale, bottom-up.

Le volpi prevedono meglio il futuro, interpretano meglio i fenomeni. I ricci riconducono la propria visione sempre alla grande teoria e, spesso, sbagliano malamente.

I ricci ricercano l’ordine mentre le volpi tollerano la complessità. Tendenzialmente le volpi sono prudenti, si fidano poco delle proprie deduzioni e quando si sbilanciano ci vedono giusto, i ricci, al contrario, pontificano, dichiarano, prevedono. E sbagliano.

Ricci sono la maggior parte dei docenti universitari che ho conosciuto.

Volpi sono i manutentori e i tecnici che fanno funzionare le tecnologie del nostro mondo. In silenzio e discrezione.

Una volpe era il medico curante di un tempo, che aveva affinato la propria capacità di diagnosi su casi veri e con pochi esami strumentali.

Un riccio è l’intellettuale che viene intervistato da tutte le TV. Una volpe difficilmente si mostra e si pavoneggia.

Volpe è Tony Ciccione, grandioso personaggio presente negli scritti di Nassim Nicholas Taleb.

Con l’esperienza la volpe evolve nelle proprie competenze mentre il riccio, selezionando solo ciò che è coerente con la theoria (con l’acca), peggiora la propria capacità di analisi e previsione.

Troppe informazioni distruggono un riccio. Il riccio può essere un ipocondriaco che, con un collegamento ad internet,, seleziona informazioni non controllate, e si autodiagnostica le i peggiori mali dell’universo-mondo.

La grande maggioranza di chi vediamo in TV sono ricci. La maggior parte di chi tira avanti la carretta sono volpi. Penso alla figura del mio primo datore di lavoro e penso ad una discreta maggioranza di imprenditori che ancora non mollano.

Tutte volpi.

Tutte persone che hanno affinato darwinianamente le proprie capacità. Se ancora lottano significa che sanno prevedere e sanno scegliere.

Ho scelto un medico che ritengo volpe, così come il meccanico dell’auto ma, d’altra parte, se dovessi passare una serata in compagnia, preferirei trascorrerla con dei ricci.

Tendenzialmente, purtroppo, sono riccio. Mi piacciono le grandi sintesi di pensiero. Le grandi teorie. Ma lotto per cercare di essere volpe.

È difficile.

A volte impossibile.

La scuola e l’università che ho frequentato non aiutano affatto in questo.

Credo, però, che per essere una buona volpe devi essere stato un riccio.

Una volpe affidabile deve avere consapevolezza del lato oscuro del riccio.

Tuttavia mi accorgo di cadere in contraddizione: una volpe, se conosce il lato oscuro del riccio, è riccio.

Un po’ come chiedersi se si rade da solo il barbiere di Siviglia, che rade tutti gli uomini di Siviglia che non si radono da soli [vedi Nota 1].

Se si, no.

Se no, si.

Insomma, ribadisco. Penso di essere un riccio, mi piace la teoria, l’approfondimento finalizzato al nulla quantico, fare i riassunti dei libri che leggo, sottolinearli e fare le notine a bordo pagina anche se sto leggendoli a letto poco prima di addormentarmi.

Insomma, non riesco a leggere un libro.

Lo studio.

E questo lo fa il riccio.

Ma comprendo l’importanza fondamentale dei fatti, di quanto accade e di quanto è accaduto.

Mi annoio ad ascoltare i consulenti che pontificano e ascoltano sé stessi, soprattutto se infarciscono l’interloquire con termini quali opportuno, adeguato, idoneo. Ma adoro vedere un artigiano all’opera.

Durante i miei sopralluoghi cerco di parlare con chi fa manutenzione piuttosto che con il direttore di stabilimento.

Insomma, credo di essere un riccio che vorrebbe trasformarsi in volpe.

…il cielo volpesco sopra di me, la legge ricciesca dentro di me…

[Nota 1] Il paradosso del barbiere di Siviglia venne formulato da Bertand Russell per confutare, agli inizi del ‘900, l’opera di fondazione della matematica a partire dalla logica portata avanti da Frege. Tutto nacque dall’impossibilità di dimostrare se l’insieme degli insiemi che non appartengono a sé stessi si appartenesse o meno. C’entra, in questo, il teorema di incompletezza di Kurt Gödel (ed altro). Magari ne riparleremo.

Share

Sui lavori a fuoco in recipienti chiusi e non bonificati (again)

Allegato VI, Art. 8.4, D.Lgs. n. 81/2008

“È vietato effettuare operazioni di saldatura o taglio, al cannello od elettricamente, nelle seguenti condizioni:

a) su recipienti o tubi chiusi;

b) su recipienti o tubi aperti che contengono materie le quali sotto l’azione del calore possono dar luogo a esplosioni o altre reazioni pericolose;

c) su recipienti o tubi anche aperti che abbiano contenuto materie che evaporando o gassificandosi sotto l’azione del calore possono dar luogo a esplosioni o altre reazioni pericolose. (…)”

-> Cliccare sulla foto <-

 

Share

Un granello di verità: Alessandria e l’esplosione della cisterna

Quando tengo un corso di formazione sulle problematiche connesse al rischio di esplosione o relative alla manutenzione dei sistemi tecnologici, di solito parto dallo studio di casi significativi che si sono verificati in passato.

La Storia, anche degli incidenti industriali, è maestra e insegna.

Cerco sempre di specificare che, se deve rimanere un granello di verità autentica da conservare, sia questo: non si eseguono lavori a fuoco su recipienti chiusi o tubazioni aperte non bonificati/e. MAI. Nemmeno se si discute di un serbatoio d’acqua. MAI.

Tuttavia, quando ci si accorge che tragedie come questa continuano ad avvenire con triste e deprimente regolarità ci si sente un po’ inutili.

Allegato VI, Art. 8.4, D.Lgs. n. 81/2008

“È vietato effettuare operazioni di saldatura o taglio, al cannello od elettricamente, nelle seguenti condizioni:

a) su recipienti o tubi chiusi;

b) su recipienti o tubi aperti che contengono materie le quali sotto l’azione del calore possono dar luogo a esplosioni o altre reazioni pericolose;

c) su recipienti o tubi anche aperti che abbiano contenuto materie che evaporando o gassificandosi sotto l’azione del calore possono dar luogo a esplosioni o altre reazioni pericolose. (…)”

Share

Della linea Maginot e della sicurezza sul lavoro

All’indomani della Prima Guerra Mondiale la Francia si interrogò su come fosse possibile arginare la Germania nel caso in cui, quest’ultima, avesse deciso di rinnovare i propositi belligeranti non completamente sopiti con la sconfitta.

Studiarono gli armamenti, le tattiche e le strategie che furono poste in essere nel corso dell’intera Grande Guerra e decisero di edificare una gigantesca barriera di protezione in corrispondenza dei confini con la Germania e l’Italia.

La Linea Maginot, così venne chiamata in onore al Ministro della Guerra francese che ne fece approvare gli stanziamenti per la costruzione, era:

“(…) un complesso integrato di fortificazioni, opere militari, ostacoli anticarro, postazioni di mitragliatrici, sistemi di inondazione difensivi, caserme e depositi di munizioni realizzati dal 1928 al 1940 dal Governo francese a protezione dei confini che la Francia aveva in comune con il Belgio, il Lussemburgo, la Germania, la Svizzera e l’Italia (…)” [Fonte: Wikipedia].

In un certo senso Maginot cercò di realizzare quanto pragmaticamente suggerito dal poeta greco Archiloco: “La volpe sa molte cose, ma il riccio ne sa una grande”. Tale massima, pur essendo declinabile in termini di comportamento sociale[1], sta ad indicare che un’unica difesa affidabile, quella del riccio, vince sulle multiple risorse d’astuzia della volpe[2].

La parola chiave è, in questo contesto, affidabilità. Forse André Maginot di questo aspetto non ebbe mai piena contezza.

La Linea Maginot avrebbe, con molta probabilità, cambiato in modo radicale le sorti della Prima Guerra Mondiale. Venne infatti edificata proprio sulla scorta degli insegnamenti acquisti a caro prezzo sui campi di battaglia del conflitto.

Ma quella barriera avrebbe dovuto resistere non già alla terribile Prima bensì alla catastrofe della Seconda (Guerra Mondiale), con una Germania che cambiò radicalmente, in due decenni, tattiche, strategie e armamenti.

Dodici anni richiese la Linea Maginot per essere ideata e costruita. E venne superata, in soli cinque giorni, dalle truppe armate tedesche che passarono attraverso il Belgio.

Una barriera poderosa, mai realmente collaudata, e per questo vulnerabile. Pensata, progettata e costruita sulla base di paradigmi e logiche retroattive che si dimostrarono drammaticamente errate alla prova dei fatti.

L’intera vicenda della linea Maginot è una metafora che bene si aggancia al tema della sicurezza sul lavoro.

Sicurezza sul lavoro che non può mai considerarsi un fatto acquisito in modo permanente, un parametro statico fisso ed immutabile. Essa è “cosa” dinamica e necessita di continue opere di aggiustamento e manutenzione in termini di prevenzione e di protezione.

Il ricorso alle migliori tecnologie disponibili non è, in questo senso, un’opzione tra le tante.

La sordità ai segnali (anche deboli) che provengono dai reparti, l’assenza politiche manutentive consolidate, la tolleranza all’esecuzione di lavorazioni a protezioni disinserite, la sottovalutazione delle ricadute derivanti dall’introduzione di nuovi processi di produzione, l’assenza di gestione delle modifiche (di macchine, impianti, sostanze) predispongono l’organizzazione a subire, prima o poi, incidenti.

E, prima o poi, infortuni.

Anche gravi.

Chi ha il potere di decidere ed orientare le politiche aziendali sul tema specifico non può (davvero) far finta di nulla. Le condizioni al contorno e le modalità interne di produzione, in un’industria moderna, mutano. A volte in tempi brevissimi.

E il management (cieco al cambiamento) non si sorprenda se poi qualcuno, superando l’unica barriera di sicurezza posta in essere, si farà male.

Se può accadere, purtroppo accadrà.

Prima o poi.

[1] Isaiah Berlin, Il riccio e la volpe, Adelphi, 1998

[2] Sull’affidabilità della difesa del riccio non c’è discussione. Il processo darwiniamo di selezione naturale ha reso la barriera di aculei invalicabile. Milioni di anni di errori e tentativi non passano a caso.

Share