La legge di Zipf e la sicurezza di macchine e ATEX

Riprendo a postare dopo l’interruzione estiva con l’augurio, per tutti noi, che la distopia nella quale siamo immersi da sei mesi (almeno) riesca a risolversi.

E lo faccio partendo da George Kingsley Zipf, un linguista di Harvard che visse nella prima metà del ‘900. Egli passò alla storia per aver notato una relazione tra i vocaboli presenti negli scritti e la loro frequenza. Correlando tali vocaboli in un istogramma si accorse che questi, al posto di formare una lunga discesa, dal più al meno frequente, si comportavano in modo anomalo.

Si presentava, il diagramma, con una bella scarpata iniziale successiva ai primi vocaboli e poi, a seguire, un lungo, lunghissimo falsopiano.

Tecnicamente una “coda lunga”.

In un nomogramma log-log una specie di retta.

Questa legge, apparente strana, dimostra peraltro la propria validità in moltissimi ambiti. Per esempio:

  • la dimensione delle isole;
  • la distribuzione del reddito in una popolazione;
  • il periodo di tempo di permanenza di una Hit musicale in classifica;
  • la grandezza degli allegati nelle mail.

Molto altro.

In altri termini, come già scoprì Vilfredo Pareto nel 1895 con la distribuzione dei redditi in un sistema sociale, esisteranno pochi fattori realmente playmaker in un sistema, e moltissimi altri con influenza via via decrescente.

Il problema, nell’ambito della sicurezza delle macchine e nel rischio di esplosione, consiste nell’individuare le principali variabili la cui modifica potrebbe influenzare in modo critico il sistema.

Tutto a “posto” quindi?

Applichiamo la regola 80-20, 20-80 e dormiamo sonni tranquilli?

…”direi di no”…

Quella presentata è una visione un po’ antica che ha portato alla creazione dei totem inscalfibili ben rappresentati dalla piramide di Heinrich sulla quale mi sono già dilungato in passato.

Una visione “statica” della sicurezza sul lavoro

Esistono situazioni, molte situazioni, nelle quali le variabili in gioco manifestano un forte accoppiamento interattivo (la NAT, Normal Accidents Theory, con tutti i suoi limiti). In situazioni ordinarie le variabili apparentemente non sono tra loro correlate, sotto stress lo divengono inaspettatamente e cambiano in modo radicale il paradigma rispetto al quale si sono fondate le strategie di sicurezza dell’impianto. Creando, involontariamente, delle Linee Maginot tecnologiche. Per esempio:

  • linee di minor resistenza seguite dalle persone per svolgere i loro compiti;
  • barriere invisibili che, in caso di modifica al processo, svaniscono materializzando vulnerabilità catastrofiche;
  • differenze tra il lavoro realmente svolto e quello immaginato in sede di valutazione;
  • presenza di una cultura della sicurezza occulta ma parallela a quelle ufficiali;
  • reazioni chimiche fuggitive;
  • assenza di gestione delle modifiche;
  • assenza di manutenzione preventiva in impianti critici (e non critici);
  • scomparsa degli invisible assets postulati da Itami, magari a causa di ristrutturazioni e/o riorganizzazioni del personale;

sono pochi esempi di potenziale presenza di complessità interattiva.

Dimenticavo all’elenco: le pandemie dovute a SARS-CoV-2.

Share

Il virus e l’arte della manutenzione industriale

Immaginiamo di essere il nuovo responsabile di stabilimento in una qualsiasi azienda a media complessità presente nel ricco tessuto produttivo italiano.

Ci chiamiamo “manager 1”.

Se, come me, avete il pallino della sicurezza degli impianti connessa ai sistemi manutentivi cercherete di porre rimedio ai fermi impianto improvvisi presenti in linea puntando su strategie di manutenzione preventiva connessa all’affidabilità.

E, se faremo le cose per bene, la disponibilità degli impianti aumenterà, i fermi impianto non previsti diminuiranno così come le necessità di svolgere manutenzioni correttive “in emergenza”.

In breve, investendo in manutenzione, creando cioè una nuova funzione aziendale dotata di risorse sia economiche che professionali e facendola interagire con un servizio di prevenzione e protezione (si spera) evoluto, aumenteremo la redditività diminuendo, al contempo, gli indici infortunistici (perché, come bene sappiamo, le persone si fanno male non tanto durante il “normale funzionamento” dell’impianto ma, soprattutto, durante le operazioni di manutenzione improvvise e/o improvvisate).

In tempi relativamente contenuti (un paio d’anni?), investendo in modo intelligente, avremo aumentato la ricchezza prodotta dall’impianto e il livello complessivo della sicurezza aziendale.

È possibile, peraltro, che riceviate nel corso degli anni altre offerte di lavoro, magari più interessanti, e ve ne andiate dallo stabilimento che avrete contibuito a rendere più produttivo e sicuro.

Dopo di voi arriverà un nuovo manager, che chiameremo
“manager 2” immaginandolo, magari, non acutissimo, il quale si accorgerà che:

  1. non esistono guasti nell’impianto;
  2. i tassi infortunistici sono ridotti;
  3. esistono costi evidenti legati alle attività di manutenzione preventiva.

Cosa farà? Perché, come sappiamo, i nuovi manager DEVONO fare qualcosa per giustificare la loro presenza.

Probabilmente metterà insieme le informazioni 1, 2 e 3 e, dopo aver discusso con il responsabile della manutenzione, concluderà che:

  • se l’impianto è efficiente e non ha guasti perché manutenzionarlo in modo certosino?
  • chi vuole mantenere alti i costi della manutenzione sono proprio coloro i quali con la manutenzione ci “campano”: i manutentori e il loro responsabile.

Non comprendendo che l’impianto palesa pochi guasti proprio perché è manutenzionato in modo certosino, in breve tempo il “manager 2” deciderà di razionalizzare le risorse (così si dice) e ridurrà gli investimenti destinati ai servizi di manutenzione dello stabilimento.

Poiché l’impianto prima di degradare in prestazioni ci impiegherà un po’ di tempo, il “manager 2” farà tempo a trovarsi un nuovo lavoro, convinto di avere pure lui contribuito alla crescita dell’azienda.

Arriverà il “manager 3”.

Che si accorgerà di fermi impianto improvvisi… e il gioco ricomincerà senza passare dal “Parco della Vittoria”.

Perché faccio questa considerazione, peraltro particolarmente lunga, e la correlo alla SARS-COV-2?

Perché dopo le affermazioni fatte da un illustre intensivista ieri:

“(…) Il virus dal punto di vista clinico non esiste più (…)”

ho la percezione si sia arrivati alla fase del “manager 2”.

“Manager 2”, peraltro, poco avezzo alla comunicazione del rischio in un paese come il nostro.

Mi fermo qui.

Ma sono preoccupato.

Share

La manutenzione industriale e le sue declinazioni

Cosa significa “fare manutenzione” in azienda? Quando faccio questa domanda, in occasione di sopralluoghi, corsi e seminari, la risposta prevalente è la seguente: “vuol dire riparare ciò che si è rotto”.

Asserire che il nostro contesto industriale è ancora culturalmente ancorato alla reattività dell’agire manutentivo non credo, peraltro, stupisca nessuno. E questo è a tutti gli effetti un “ancoraggio” molto difficile da rimuovere.

Fare manutenzione vuol dire “anche” riparare. Ma significa anche molto, molto altro.

La manutenzione rappresenta la “nuova frontiera” sia della produttività sia della sicurezza sul lavoro ed è per questo che, ancora una volta, vorrei qui discutere degli impatti profondi che l’introduzione di politiche manutentive orientate all’affidabilità producono in azienda.

Qualsiasi azienda.

Manifatturiera o di processo.

A rischio convenzionale o di incidente rilevante.

Seguitemi ora ancora per un po’, va bene?

Il termine manutenzione orientata all’affidabilità (=Reliability Centered Maintenance, RCM) fu introdotto nel 1978 a partire da uno studio specialistico del settore aeronautico elaborato da due ingegneri della United Airlines  di San Francisco. Tale studio rappresentò un momento chiave nell’ambito degli approfondimenti in tema di affidabilità e manutenzione, creando un nuovo paradigma nel settore, soprattutto nell’ambito aeronautico dell’epoca. Infatti, in tale contesto, nel corso dei trent’anni successivi al secondo conflitto mondiale, era invalsa la consuetudine di operare negli aeromobili con politiche di manutenzione preventiva ciclica che si concretizzavano, in molti casi, nella revisione con sostituzione periodica dei componenti dei sistemi. Tuttavia, analisi retrospettive dimostrarono che:

  • tali politiche non aumentavano l’affidabilità dei sistemi;
  • gli intervalli di revisione non risultavano determinati in modo analitico;
  • la revisione e sostituzione era molto costosa a fronte di minimi benefici affidabilistici.

In particolare, si evidenziò che molti modi di guasto non potevano essere esclusi con le politiche di sostituzione periodica vista l’assenza, in tali componenti, delle fasi di usura (cfr. fase finale della curva bathtub). A questo proposito si rileva che il tasso di guasto, per una percentuale compresa tra il 70% e l’80% dei sistemi ed apparecchi, non evidenzia proprio la fase di usura. Inoltre la sostituzione periodica senza determinazione analitica degli intervalli causava:

  • la sostituzione di componenti che potevano possedere una vita residua ancora molto elevata;
  • l’introduzione di un aumento dei tassi di guasto dovuti alla mortalità infantile dei componenti.

Tali considerazioni hanno spinto l’industria aeronautica prima, e poi a seguire l’industria nucleare e chimica, a dotarsi di politiche di manutenzione che avessero come obiettivo principale l’ottenimento di elevati livelli di affidabilità degli impianti. Tale approccio faticosamente si sta trasferendo sia a luoghi di lavoro con rischio convenzionale (es. presenza di rischio chimico, cancerogeno, ATEX, ecc.) sia ai settori della costruzione di prodotti (es. direttiva macchine, ATEX, PED). Non scordiamoci, infatti, che l’ambito della marcatura CE dei prodotti risulta particolarmente ricco di normativa tecnica armonizzata volta a suggerire le soluzioni per il soddisfacimento dei requisiti essenziali di sicurezza fissati dalle direttive comunitarie. Purtroppo, però, tali norme indicano gli standard di sicurezza relativi al solo prodotto nuovo, demandando al costruttore l’individuazione delle opportune strategie di manutenzione. Un approccio RCM permette, anche in questo caso, di raggiungere con maggiore facilità gli scopi di sicurezza imposti dalla normativa cogente anche se, più in generale, gli obiettivi della filosofia RCM sono connessi alla riduzione delle conseguenze dei guasti non necessariamente finalizzate ad evitare gli stessi.

La Reliability Centered Maintenance (RCM) è quindi una valutazione sistematica delle funzioni di un sistema (più o meno complesso) e dei relativi modi di guasto, volta a individuare le più efficaci azioni di manutenzione preventiva aventi come priorità la sicurezza del sistema e delle persone.

Essa si basa sull’assunzione che l’affidabilità intrinseca di un sistema è una funzione del progetto e della qualità di produzione. Un efficace programma di manutenzione preventiva assicura che l’affidabilità intrinseca del sistema venga mantenuta. E’ tuttavia necessario fin da subito specificare che un’ottima RCM non potrà mai sostituirsi a tecniche di progettazione scadenti, a limitate qualità di produzione e a pratiche manutentive scorrette . Questo è vero per l’implementazione dell’RCM sia sul luogo di lavoro, sotto la responsabilità del datore di lavoro, sia sul prodotto, sotto la responsabilità del costruttore.

Una RCM correttamente sviluppata consente di rispondere alle seguenti sette domande (Moubray, 1997; SAE JA 1011):

  1. determinare il contesto operativo delle funzioni del sistema e gli standard di prestazione ad esse associate;
  2. determinare in che modo il sistema può non svolgere le sue funzioni (guasti funzionali);
  3. determinare le cause di ogni guasto funzionale (modi di guasto);
  4. determinare cosa avviene quando il guasto si manifesta (effetti del guasto);
  5. classificare le conseguenze del guasto (conseguenze del guasto);
  6. determinare cosa dovrebbe essere implementato per prevedere o prevenire il guasto (attività di manutenzione e frequenze relative);
  7. determinare se altre strategie di gestione del guasto possono essere più efficaci.

L’esperienza evidenzia che, nell’ambito applicativo dell’RCM, una buona parte delle risorse è finalizzata a creare fondamenta stabili sulle quali costruire l’analisi. Circa il 30% del tempo totale risulta infatti assorbito dal primo punto (contesto operativo, funzioni del sistema e standard di prestazione).

Come ho già avuto modo di dire in interventi precedenti sia la sicurezza sul lavoro che la sicurezza dei prodotti si “nutrono” di manutenzione preventiva.

Non siamo stanchi, come addetti del Servizio di Prevenzione e Protezione, di essere coinvolti nel processo di manutenzione solo per prevedere le misure di sicurezza del cantiere?

Rivoluzioniamo l’SPP allacciandolo alla manutenzione. La ripartenza post-COVID potrebbe essere l’occasione giusta!

La sicurezza, ricordiamolo, si realizza anche attraverso la funzione aziendale dedicata alla manutenzione non “nonostante” essa.

Ok?

Share

Manutenzione e sicurezza sul lavoro: quali implicazioni?

L’attività di manutenzione, nell’ambito della sicurezza sul lavoro (in generale) e in relazione al rischio di esplosione (in particolare) rappresenta, di certo, uno tra i più importanti fattori di stabilizzazione del rischio.

Purtroppo viviamo in un Paese in cui:

  • una parte significativa del tessuto industriale opera nel 2019 in totale assenza di reali politiche di manutenzione;
  • il concetto di “manutenzione” viene inteso solamente come “riparazione”. La manutenzione è considerata, quindi, una misura tecnica esclusivamente reattiva, correttiva.

E, come illustra lo schema seguente, tali sistemi produttivi, pur operando in mercati ormai proiettati oltre il 2020, lavorano con logiche tipiche degli anni ’40 (“Fix it when it broke” ovvero “Aggiusta quando si rompe”).

La manutenzione, così come classificata in forma linneiana nella recente norma UNI EN 13306:2018 (e da intendersi come la “combinazione di tutte le azioni tecniche, amministrative e gestionali, durante il ciclo di vita di un’apparecchio, destinate a mantenerlo o riportarlo in uno stato in cui possa eseguire la funzione richiesta”) non è un’attività derogabile. In altri termini l’esercizio in sicurezza di ambienti, macchine, processi e persone necessita di un piano strutturato di manutenzione. 

Nessun dubbio su questo.

E, sempre rifacendosi al dizionario della manutenzione citato (cfr. UNI EN 13306:2018), la riparazione di un guasto (la cosiddetta manutenzione correttiva), è solo una frazione minimale delle circa venti strategie manutentive potenzialmente attuabili.

Vorrei essere esplicito:

La manutenzione non è (solo) riparazione di guasti: è molto altro

Adottare concrete politiche di manutenzione preventiva consente, ad un tempo, di limitare i fermi produttivi ed aumentare in modo sostanziale i livelli di sicurezza aziendali.

  • Domanda: “L’adozione in azienda di un piano strutturato di manutenzione necessita di investimenti economici?”
  • Risposta: “Si, certamente”

L’idea di introdurre misure benefiche a costo zero fa parte del solo mondo delle fiabe o dell’attuale dibattito politico. Non esistono pasti gratis, avrebbe detto Milton Friedman, e questo vale anche in ambito manutentivo. Con una postilla, tuttavia: la manutenzione, se correttamente esercita, evita fermi di produzione. E se una linea produce “X” kEuro/h, evitarne la fermata per diecine di ore l’anno si traduce in costi evitati esattamente proporzionali.

Vorrei essere, ancora una volta, esplicito:

La manutenzione, quella vera, si ripaga da sé e genera ricadute benefiche in tutti gli ambiti dell’agire produttivo di stabilimento

L’incremento di sicurezza è uno tra gli addentellati più importanti tra le ricadute manutentive. Di più: quanto più l’attività è a rischio tanto più ha da guadagnarci con l’adozione sistematica di piani di manutenzione preventiva.

La sicurezza sul lavoro e di processo si nutre di manutenzione

Senza la barriera affidabile data da un piano strutturato di manutenzione non vi è, infatti, la reale possibilità di intercettare e/o prevenire il “primo guasto” alla macchina/impianto/processo. E se non si possiedono gli strumenti tecnici e culturali necessari a leggere e interpretare i segnali deboli che un guasto incipiente produce, nulla può impedire ad un secondo/terzo/…/”n” guasto di sovrapporsi al primo con un’autentica esplosione di scenari di rischio potenzialmente catastrofici.

Ci siamo quindi? Non si può fare reale sicurezza sul lavoro e/o sicurezza di processo senza lo straordinario volano stabilizzatore fornitoci da un piano manutenzione strutturato e realmente implementato in stabilimento. A questo si aggiunga il fatto che:

  • le normative tecniche armonizzate che attualmente consentono al costruttore di assolvere agli obblighi imposti dalle direttive di prodotto (direttiva macchine, ped, atex, ecc.), e quindi marcare CE il proprio manufatto, sono concepite come strumento per garantire la sicurezza del prodotto nuovo. Nella maggioranza dei casi, quindi, le norme armonizzate, le tipo “C” in particolare, non si pronunciano in modo approfondito sulle tematiche connesse al mantenimento delle caratteristiche di sicurezza del prodotto nell’arco del tempo di missione progettato. Nonostante questo sono ormai trascorsi ormai più di 23 anni dall’entrata in vigore della Direttiva Macchine in Italia. E anche le macchine invecchiano;
  • a causa della problematica precedentemente esposta, le istruzioni d’uso delle macchine sono spesso, per la parte di utilizzo e manutentiva, o lacunose oppure, al contrario, ridondanti e costringono l’utilizzatore a tediosi e soventemente inutili controlli spesso molto ravvicinati nel tempo;
  • il Titolo III, Capo I, D.Lgs. n. 81/2008 ha introdotto il concetto di controllo sulle attrezzature di lavoro, da effettuarsi a cura del datore di lavoro, che si affianca alle verifiche di legge svolte da ente terzo. Tuttavia, mancano chiari riferimenti sulle modalità concrete attraverso cui tali controlli possano essere svolti. Tale obbligo di controllo e manutenzione richiede infatti, da parte dell’utilizzatore, uno sforzo di omogeneizzazione delle prescrizioni indicate dai manuali di uso, soprattutto nei casi di impianti complessi.

Focalizzandoci ora sul rischio di esplosione, l’assenza di adeguate politiche di manutenzione può rendere nel tempo inefficaci anche plurime barriere indipendenti atte ad evitare l’emissione di ATEX e, come alcuni accadimenti incidentali dimostrano (qui e qui, per esempio), tale criticità può essere posta alla radice di incidenti catastrofici del recente passato.

Non è un caso, quindi, che nell’ambito della norma di classificazione CEI EN 60079-10-1:2016 i termini “manutenzione”, “monitoraggio” e “verifica”, nel senso manutentivo dato dalla UNI EN 13306:2018, siano presenti almeno 25 volte all’interno del documento.

La norma CEI EN 60079-10-1:2016 specifica altresì che: “[…] La classificazione dei luoghi non dovrebbe essere una scusa per giustificare un’attività di manutenzione scarsa, ma l’utilizzatore deve essere avvertito che attività scarse potrebbero compromettere le basi su cui si fonda la classificazione del luogo […]”.

L’inderogabilità delle attività di manutenzione si evince, peraltro, dall’art. 3.1.4 delle linee guida di buona pratica relative alla direttiva 1999/92/CE che recitano quanto segue: “Gli impianti devono essere concepiti in modo che non si generino considerevoli perdite (di atmosfere esplosive, ndr) nelle previste condizioni di funzionamento […] mediante una regolare manutenzione”.

A questo, per i luoghi a rischio di esplosione, si sono aggiunti sistemi di certificazione molto interessanti quali l’Ism-ATEX, dei quali discuteremo a Milano nel corso del workshop.

La presenza di politiche di manutenzione strutturate non è dunque un optional, nella valutazione del rischio di esplosione, ma un suo presupposto ineludibile.

In conclusione, la classificazione delle zone a rischio di esplosione, e la conseguente valutazione del rischio deve presupporre l’implementazione di un ragionevole piano di manutenzione preventiva e correttiva proporzionato al rischio dell’impianto valutato. A titolo indicativo, le frequenze e le modalità di controllo delle sorgenti di emissione derivanti da gas naturale sono rinvenibili in IGEM/SR/25 Ed 2 mentre, più in generale, si può fare riferimento all’integrità meccanica (Mechanical Integrity) proposta dal CCPS, alla manutenzione orientata all’affidabilità (RCM, Reliability Centered Maintenance declinata secondo SAE JA1011:2009) contestualizzata in ambito industriale oppure alle ispezione basate sul rischio (RBI, Risk-Based inspection) di cui allo standard UNI EN 16991:2018.

Ovviamente anche questo argomento sarà parte del programma del seminario che si terrà a Milano il 7 febbraio 2020. Che ve lo dico a fare?

Dimenticavo: auguri di buone festività ai miei tre lettori. Di cuore.

Corso di formazione: CLASSIFICAZIONE ATEX E RISCHIO DI ESPLOSIONE: WORKSHOP AVANZATO (MILANO, 7 FEBBRAIO 2020)

Share

Un granello di verità: Alessandria e l’esplosione della cisterna

Quando tengo un corso di formazione sulle problematiche connesse al rischio di esplosione o relative alla manutenzione dei sistemi tecnologici, di solito parto dallo studio di casi significativi che si sono verificati in passato.

La Storia, anche degli incidenti industriali, è maestra e insegna.

Cerco sempre di specificare che, se deve rimanere un granello di verità autentica da conservare, sia questo: non si eseguono lavori a fuoco su recipienti chiusi o tubazioni aperte non bonificati/e. MAI. Nemmeno se si discute di un serbatoio d’acqua. MAI.

Tuttavia, quando ci si accorge che tragedie come questa continuano ad avvenire con triste e deprimente regolarità ci si sente un po’ inutili.

Allegato VI, Art. 8.4, D.Lgs. n. 81/2008

“È vietato effettuare operazioni di saldatura o taglio, al cannello od elettricamente, nelle seguenti condizioni:

a) su recipienti o tubi chiusi;

b) su recipienti o tubi aperti che contengono materie le quali sotto l’azione del calore possono dar luogo a esplosioni o altre reazioni pericolose;

c) su recipienti o tubi anche aperti che abbiano contenuto materie che evaporando o gassificandosi sotto l’azione del calore possono dar luogo a esplosioni o altre reazioni pericolose. (…)”

Share

Della linea Maginot e della sicurezza sul lavoro

All’indomani della Prima Guerra Mondiale la Francia si interrogò su come fosse possibile arginare la Germania nel caso in cui, quest’ultima, avesse deciso di rinnovare i propositi belligeranti non completamente sopiti con la sconfitta.

Studiarono gli armamenti, le tattiche e le strategie che furono poste in essere nel corso dell’intera Grande Guerra e decisero di edificare una gigantesca barriera di protezione in corrispondenza dei confini con la Germania e l’Italia.

La Linea Maginot, così venne chiamata in onore al Ministro della Guerra francese che ne fece approvare gli stanziamenti per la costruzione, era:

“(…) un complesso integrato di fortificazioni, opere militari, ostacoli anticarro, postazioni di mitragliatrici, sistemi di inondazione difensivi, caserme e depositi di munizioni realizzati dal 1928 al 1940 dal Governo francese a protezione dei confini che la Francia aveva in comune con il Belgio, il Lussemburgo, la Germania, la Svizzera e l’Italia (…)” [Fonte: Wikipedia].

In un certo senso Maginot cercò di realizzare quanto pragmaticamente suggerito dal poeta greco Archiloco: “La volpe sa molte cose, ma il riccio ne sa una grande”. Tale massima, pur essendo declinabile in termini di comportamento sociale[1], sta ad indicare che un’unica difesa affidabile, quella del riccio, vince sulle multiple risorse d’astuzia della volpe[2].

La parola chiave è, in questo contesto, affidabilità. Forse André Maginot di questo aspetto non ebbe mai piena contezza.

La Linea Maginot avrebbe, con molta probabilità, cambiato in modo radicale le sorti della Prima Guerra Mondiale. Venne infatti edificata proprio sulla scorta degli insegnamenti acquisti a caro prezzo sui campi di battaglia del conflitto.

Ma quella barriera avrebbe dovuto resistere non già alla terribile Prima bensì alla catastrofe della Seconda (Guerra Mondiale), con una Germania che cambiò radicalmente, in due decenni, tattiche, strategie e armamenti.

Dodici anni richiese la Linea Maginot per essere ideata e costruita. E venne superata, in soli cinque giorni, dalle truppe armate tedesche che passarono attraverso il Belgio.

Una barriera poderosa, mai realmente collaudata, e per questo vulnerabile. Pensata, progettata e costruita sulla base di paradigmi e logiche retroattive che si dimostrarono drammaticamente errate alla prova dei fatti.

L’intera vicenda della linea Maginot è una metafora che bene si aggancia al tema della sicurezza sul lavoro.

Sicurezza sul lavoro che non può mai considerarsi un fatto acquisito in modo permanente, un parametro statico fisso ed immutabile. Essa è “cosa” dinamica e necessita di continue opere di aggiustamento e manutenzione in termini di prevenzione e di protezione.

Il ricorso alle migliori tecnologie disponibili non è, in questo senso, un’opzione tra le tante.

La sordità ai segnali (anche deboli) che provengono dai reparti, l’assenza politiche manutentive consolidate, la tolleranza all’esecuzione di lavorazioni a protezioni disinserite, la sottovalutazione delle ricadute derivanti dall’introduzione di nuovi processi di produzione, l’assenza di gestione delle modifiche (di macchine, impianti, sostanze) predispongono l’organizzazione a subire, prima o poi, incidenti.

E, prima o poi, infortuni.

Anche gravi.

Chi ha il potere di decidere ed orientare le politiche aziendali sul tema specifico non può (davvero) far finta di nulla. Le condizioni al contorno e le modalità interne di produzione, in un’industria moderna, mutano. A volte in tempi brevissimi.

E il management (cieco al cambiamento) non si sorprenda se poi qualcuno, superando l’unica barriera di sicurezza posta in essere, si farà male.

Se può accadere, purtroppo accadrà.

Prima o poi.

[1] Isaiah Berlin, Il riccio e la volpe, Adelphi, 1998

[2] Sull’affidabilità della difesa del riccio non c’è discussione. Il processo darwiniamo di selezione naturale ha reso la barriera di aculei invalicabile. Milioni di anni di errori e tentativi non passano a caso.

Share

Delle lampadine, dei cuscinetti a rulli e del “paradosso dell’ispezione”

Ci siamo mai chiesti perché le lampadine che acquistiamo al Brico durino generalmente di più di quanto dichiarato? E perché, quando visitiamo una città, sperimentiamo tempi d’attesa dei mezzi pubblici (tram, metropolitane, ecc) spesso maggiori rispetto a quelli medi dichiarati dal gestore del servizio?

La cosa potrebbe continuare in ambiti più tecnici discutendo dei tempi di missione di cuscinetti volventi, interruttori, pompe, ventilatori, motori elettrici, ecc.

Insomma tutto l’universo tecnologico che ci circonda tende ad evidenziare trend di durata difformi da quelli medi dichiarati, calcolati (o calcolabili).

Attenzione, non discuto di situazioni “ballerine”: durate un po’ maggiori (a volte) un po’ minori (in altri casi) che tra loro si compensano, ma di vite a guasto percepite spesso più ampie rispetto a quanto ci si attenderebbe.

Cos’è quindi che congiura nel farci acquistare lampadine, calcolatrici, cuscinetti a rulli conici [1] che vivono più a lungo del loro valor medio oppure nel farci incolonnare nella fila più lenta al supermarket?

La soluzione dell’arcano passa dalla statistica, in generale, e dalla soluzione del “paradosso dell’ispezione”, in particolare.

Cercherò di spiegarmi aiutandomi con il classico esempio della fermata di un autobus cittadino, indicando con “X” l’arrivo previsto del bus e con il trattino “-“ equivalente a cinque minuti d’intervallo d’attesa. Immaginiamo una situazione nella quale il tempo medio di attesa sia di 15 minuti. Avremo qualcosa di assimilabile al seguente schema:

ꝏ… – X – – – X – – – X – – – X – – – X – – – X – – – X – …

Nel caso reale invece, soprattutto in presenza di un’alta dispersione degli arrivi (dovuta, per esempio, ad un traffico caotico, a corsie preferenziali intasate da autoveicoli privi di titolo, ecc. [2]) si potrebbe creare uno scenario di questo tipo:

ꝏ… – X – X – X – – – – – – – – – X – – X – X – – – – – X …

Cosa li differenzia? La media complessiva di attesa è uguale in entrambi i casi (15 minuti), ciò che cambia è la quantità di tempo di chi sperimenterà situazioni di disagio. Nel secondo caso, facendo l’ipotesi di un afflusso costante di persone alle banchine d’attesa, ci saranno molte più persone che attenderanno tempi superiori alla media rispetto a quelle che si gioveranno delle partenze anticipate.

Sarà quindi molto più probabile il dover attendere di più l’autobus che il viceversa.

Da qui il paradosso, che paradosso non è: molte persone avranno atteso molto, poche avranno atteso poco.

Teniamo conto di questo importante aspetto quando faremo inferenze di affidabilità basate su un’unica rilevazione, ok?

Asserire che un apparecchio possiede un MTBM (Mean Time Beetween Maintenance) di un anno perché si è guastato, nel corso della durata del mio incarico, dopo un anno, non dice molto. Facendo l’ipotesi di tasso di guasto costante, ci sono buone probabilità che sia io sia il mio incarico appartengano al periodo “lungo” e “fortunato”, diciamo così.

E quindi? Le poche aziende (davvero poche) che creano banche dati affidabilistiche interne sono composte da ingenui?

Certamente NO.

Il calcolo di tassi di guasto dei propri asset, soprattutto se critici, è di fondamentale importanza. Soprattutto se successivamente mediati con banche dati affidabili e rielaborati alla luce del teorema di Bayes.

La manutenzione… questa sconosciuta… 🙂

Alla prossima!

Ciao

Marzio

APPENDICE (un pochino complicata): per chi volesse approfondire l’argomento suggerisco un qualsiasi testo di statistica e affidabilità (come questo per esempio). Venendo alla dimostrazione di quanto asserito, ipotizzando un processo di rinnovo di tipo Poisson, se formalmente indichiamo con λ il tasso di guasto di un componente (inverso dell’MTTF nel solo caso di componenti non riparabili e con rateo costante) e con t la coordinata temporale in corrispondenza della quale ha luogo l’ispezione, si ha:

Dato che E[δt+γt] è maggiore di 1/λ (=MTTF alle condizioni date) per t > 0, il divario medio tra i due eventi, appena prima e appena dopo il tempo fisso t, è maggiore del divario medio tra tutti gli eventi nel processo. CVD… era tantissimo tempo che volevo chiudere un post con questo acronimo… 

Post Scriptum – A chi voglia approfondire l’argomento evitando eccessive formalizzazioni matematiche consiglio questo bel testo divulgativo, scritto da Amir Aczel e pubblicato nel 2005 da Raffaello Cortina Editore.

_______

[1]  Chi tra noi non conserva a casa, magari nel sottoscala, una bella coppia di cuscinetti a rulli conici?

[2] Ogni riferimento al traffico stradale della nostra straordinaria Capitale è ovviamente “statistico”.

© Marzio Marigo

 

Share

La manutenzione preventiva è sempre indispensabile?

Assoggettare un apparecchio ad un piano di manutenzione preventiva, inteso come insieme di operazioni volto a ridurre gli effetti dell’invecchiamento e dell’usura, può avere significativi impatti sulla vita del sistema.

Tuttavia c’è “manutenzione preventiva” e “manutenzione preventiva”.

E c’è “apparecchio” ed “apparecchio”.

Se prendiamo un asset che evidenzia un tasso di guasto “λ” costante e lo sottoponiamo ad una manutenzione AGAN (As Good As New, cioè “Come Nuovo”) con intervalli di periodicità “T”, scopriamo la seguente cosa (indicando con R(t) l’affidabilità al tempo t, minore di T, ed Rm(t) l’affidabilità del sistema manutentato al tempo t compreso, in questo caso, tra nT e (n+1)T):

Cioè:

Rm(t) = R(t)

L’affidabilità non cambia!

In un sistema che manifesta un tasso di guasto costante, quindi, una certa tipologia di manutenzione è sostanzialmente inutile e non contribuisce ad aumentare l’affidabilità dell’apparecchio. 

In ragione di questo l’apparecchio viene definito tecnicamente “memorylessness” cioè privo di memoria.

Che fare quindi?

Lasciare lavorare il “caso” e attendere il guasto?

Disinteressarsi dell’apparecchio?

Non proprio. Il discorso è, purtroppo, un po’ articolato, soprattutto al rientro dalle vacanze di agosto.

Discuteremo di questo in un prossimo “episodio”.

Prometto.

Anticipo però il titolo dell’argomento: “RCM, Reliability Centered Maintenance” ovvero “Manutenzione Orientata all’Affidabilità”.

Alla prossima!

© Marzio Marigo

Share

L’Elisabetta Montanari, trent’anni fa

Probabilmente l’evento accaduto il 13 marzo 1987 (esattamente trent’anni fa, oggi) all’interno della motonave “Elisabetta Montanari”, in manutenzione presso il bacino di carenaggio della società MECNAVI di Ravenna, costituisce il più doloroso incidente sul lavoro della storia italiana degli ultimi 70 anni.

All’epoca dei fatti ero uno studente di scuola media superiore, lontano ancora anni luce dal mio attuale impegno/lavoro nell’ambito della sicurezza. Molto tempo dopo, approfondendo il caso, scoprii, tra i tredici deceduti nell’inferno di Ravenna, tre miei coetanei:

  • Marco Gaudenzi di 18 anni;
  • Gianni Cortini di 19 anni e al suo primo giorno di lavoro;
  • Alessandro Centioni di 21 anni.

Tale sottile filo mi ha sempre fatto ritenere ancor più catastrofico e psicologicamente traumatico questo enorme accadimento incidentale.

Di seguito riporto il sunto del verbale della Commissione istituita dall’ISPESL su incarico del Ministro della Sanità all’indomani dell’incidente.

“(…) L’infortunio plurimo mortale in cui hanno perso la vita 13 lavoratori si è verificato a bordo della nave «Elisabetta Montanari», ferma nel bacino di carenaggio della società MECNAVI, nel porto di Ravenna, per lavori di manutenzione – regolarmente autorizzati dalla Capitaneria di porto – che si stavano svolgendo e che erano stati dati in appalto dalla società armatrice della nave alla MECNAVI, la quale, a sua volta, li aveva subappaltati ad altre quattro imprese. E i lavoratori impiegati nell’attività dipendevano da tutte le predette imprese. La nave “Elisabetta Montanari”, adibita al trasporto di gas di petrolio liquefatto (GPL), era stata portata presso il cantiere MECNAVI di Ravenna per la periodica revisione così come previsto dal RINA (Registro Italiano Navale). I tecnici del RINA avevano constatato che alcune lamiere del doppiofondo della nave (sia del cielo sia del fondo) presentavano un avanzato stato di corrosione con riduzione dello spessore al di sotto dei valori consentiti. In conseguenza di ciò ne prescrivevano la rimozione e la sostituzione con lamiere nuove. Tali operazioni vengono eseguite mediante taglio ossiacetilenico delle lamiere usurate e successiva sostituzione con le nuove mediante saldatura ad arco con elettrodi rivestiti. Si precisa che il doppiofondo della nave, che presenta una altezza massima di 90 centimetri, è suddiviso da paratie sia in senso longitudinale che trasversale, così che ne risulta una serie di comparti stagni dove vengono alloggiati in successione alternata: il combustibile, necessario alla propulsione della nave, e l’acqua di zavorra. Ne consegue che, prima del taglio delle lamiere usurate e della saldatura delle nuove, i comparti destinati al contenimento della nafta devono essere bonificati al fine di eliminare il materiale infiammabile: nafta liquida residua, residui semisolidi accumulati per sedimentazione sul fondo del serbatoio e infine i vapori di ristagno. Nel cantiere in esame, come peraltro avviene abitualmente, le varie fasi di bonifica dei serbatoi del combustibile del sottofondo possono schematizzarsi come segue:

  • aspirazione mediante pompe della nafta liquida fino al limite del pescaggio che, di norma, arriva a 20 centimetri dal fondo;
  • recupero manuale del liquido residuo mediante secchi che vengono passati a mano lungo tutto il comparto fino al passo d’uomo che mette in comunicazione il doppiofondo con la stiva sovrastante e da qui portato quindi all’esterno della nave;
  • rimozione mediante stracci e raschietti del residuo semisolido aderente al fondo e allontanamento dello stesso secondo le modalità operative già viste;
  • bonifica dei serbatoi mediante ventila-zione al fine di eliminare i vapori residui.

Per quanto riguarda la fase di recupero manuale questa viene effettuata da una squadra di operai che si cala all’interno del doppiofondo raggiungendo carponi le varie zone del comparto serbatoio.

Va precisato che i comparti del doppiofondo della nave sono attraversati dalle strutture che costituiscono le costole della nave (“ordinate”) dalle centine e, nel caso specifico, dalle selle dei serbatoi GPL. Tali strutture sono superabili soltanto in alcuni punti attraverso passi d’uomo di dimensioni ridotte (40×50 centimetri), sicché l’ambiente può essere paragonato ad un dedalo di cunicoli schiacciati, distribuiti a nido d’ape, che consentono soltanto movimenti lenti, contratti, con procedura carponi, di estrema difficoltà anche per personale esperto.

Va precisato, altresì, che ogni comparto del doppiofondo della nave è in comunicazione con la sovrastante stiva solo a mezzo di un unico passo d’uomo di 40 centimetri di diametro. Attraverso lo stesso passo d’uomo viene fatto passare, durante le operazioni, il tubo per la ventilazione dell’ambiente con aria fresca.

Nel caso specifico della nave “Elisabetta Montanari”, la stiva è occupata da quattro serbatoi per il trasporto del GPL.

Tali serbatoi risultano rivestiti da uno strato di materiale coibentante costituito da cinque centimetri di schiuma poliuretanica rigida protetta all’esterno da una guaina di tela in tessuto di lana di vetro catramato.

La dislocazione dei serbatoi fa sì che la stiva presenta una serie di ostacoli “costole e selle dei serbatoi”, che rende il movimento all’interno estremamente disagevole, in particolare per quanto si riferisce al percorso che va dall’uscita del passo d’uomo del sottofondo alla scaletta che porta alla passerella della stessa stiva, percorso che dovevano compiere gli operai che entravano e uscivano dal doppiofondo.

La ricostruzione dei fatti connessi con l’incidente, formulata sulla base di quanto dichiarato dai Vigili del fuoco e dai responsabili del Cantiere, nonché di quanto evidenziato all’atto del sopralluogo, fa ritenere la seguente dinamica: all’atto dell’incidente lavoravano nel cantiere circa 40 operai, la maggior parte dei quali facenti parte di quattro ditte appaltatrici. Alcuni operai lavorano all’esterno della nave, altri all’interno, nella stiva e nel doppiofondo. In particolare tra quelli che lavoravano all’interno, alcuni procedevano alla pulizia di un comparto del doppio fondo, altri invece lavoravano nella sovrastante stiva procedendo al taglio delle lamiere del “cielo” del doppiofondo di un comparto. L’uso della fiamma ossiacetilenica per l’effettuazione di tali operazioni era stato autorizzato dalla Capitaneria di Porto, per quanto di competenza, previo controllo mediante esplosimetro di assenza di miscele esplosive e/o infiammabili.

Durante il taglio delle lamiere si è sviluppato l’incendio che ha coinvolto la guaina in tela catramata di protezione, dello strato coibentante, in poliuretano espanso, avvolto intorno ai serbatoi del trasporto di GPL (vuoti durante la manutenzione della nave). È da evidenziare che la parete del serbatoio coibentato dista appena 20 cm. dalla zona dove venivano eseguite le operazioni di taglio.

L’incendio della guaina catramosa ha portato allo sviluppo di prodotti di combustione del catrame (gas e fumi) che hanno invaso l’area della stiva e, contemporaneamente, ha alimentato la lenta combustione della schiuma poliuretanica che, a sua volta, ha portato, per fenomeni di termodegradazione, alla emissione di prodotti venefici quali: ossido di carbonio, isocianati, acido cianidrico, amine alifatiche nonché prodotti volatili di parziale combustione del materiale. L’insieme di tali fenomeni ha reso l’atmosfera irrespirabile e satura di prodotti tossici.

In queste condizioni gli operai che erano nel doppiofondo e nella stiva sono morti per asfissia e/o intossicazione dovute ad inalazioni di prodotti tossici così come rilevato dalla perizia medico-legale mentre gli operai addetti al taglio delle lamiere, ad eccezione di uno, hanno trovato scampo attraverso l’apertura praticata sul fondo della nave per facilitare l’accesso alla zona di lavoro.

Sulla base della dinamica dei fatti appare pertanto evidente una serie di assurde carenze di organizzazione e di misure di sicurezza che trovano riscontro nell’assoluta mancanza di previsione di incidenti in un luogo di lavoro dove invece ne esistevano i presupposti ed esisteva la certezza che, in caso di incidente, le conseguenze sarebbero state letali. Ciò sia in considerazione della struttura dell’ambiente di lavoro sia delle modalità operative seguite.

A tale riguardo si possono trarre una serie di considerazioni. Esistono tecnologie in grado di disincrostare e pulire i luoghi confinati mediante liquidi speciali che permettono di evitare l’opera dell’uomo in luoghi di lavoro non concepiti per attività umana. Nel caso che ciò fosse inapplicabile al caso in esame, sarebbero stati necessari una serie di interventi prevenzionistici atti a garantire la salvaguardia di chi operava all’interno della nave sia nel doppiofondo che nella stiva. Sarebbero stati da prevedere piani di lavoro che evitassero la contemporaneità di operazioni rischiose compromettenti la sicurezza delle varie squadre operanti nei diversi punti, assistenza diretta e continua dall’esterno a chi operava nel doppiofondo, vista la estrema difficoltà di movimento esistente all’interno della nave, disponibilità infine di sistemi antincendi e di mezzi personali di protezione (…)”

Il 13 marzo 1987 ebbe luogo, in Italia, una tragedia sul lavoro che non DEVE ESSERE SCORDATA. Chi dimentica i propri errori e/o non impara da questi è destinato, prima o poi, inevitabilmente a ripeterli.

© Marzio Marigo

Share

Della manutenzione e delle infrastrutture

Quanto avvenuto venerdì 28 ottobre 2016 al cavalcavia posto sulla strada statale Milano-Lecco, all’altezza di Annone Brianza, in provincia di Lecco, è un triste accadimento che mette in luce problemi di vastità molto maggiore.
La stampa nazionale, “as usual”, si concentra sulle ultime ore prima dell’evento alla ricerca di presunte responsabilità da mettere in capo ad ANAS, alla Provincia o a chissà chi altro.
In realtà il problema è molto più complesso e il quadro di insieme molto più ampio.
Ci si concentra spesso sull’efficienza e la sicurezza del prodotto nuovo e si gestisce poco (per nulla?) l’obsolescenza inevitabile dell’apparecchio/struttura/impianto.
Non a caso, nell’ambito per esempio della marcatura CE delle macchine, le normative di tipo C specificano i requisiti di dettaglio del prodotto all’atto della sua immissione sul mercato, relegando gli aspetti di manutenzione preventiva a paragrafi lunghi, spesso, non più di poche righe.
E così è più in generale.
Viviamo in un Paese che possiede un “costruito” di inestimabile valore del quale, purtroppo, ne trascuriamo la manutenzione.
E le infrastrutture non si sottraggono a questa regola generale: manutenzione a guasto.
Se facciamo in tempo.
Quanto tempo ci impiega una turbina a guastarsi dal momento in cui modifica la firma vibrazionale? Da settimane a mesi, probabilmente.
E un cuscinetto che si surriscalda? Verosimilmente alcuni giorni.
Per chi voglia approfondire c’è il bellissimo “RCM II” di Moubray nel quale è descritto con precisione il significato di “intervallo di Pre-Failure”.
Detto in altri termini una qualsiasi struttura sollecitata a cicli di fatica prima di cedere catastroficamente emette quelli che vengono definiti “segnali deboli”.
Un sistema meccanico, una infrastruttura edilizia prima di guastarsi ci avverte per tempo.
E la manutenzione su condizione è finalizzata proprio a questo: individuare i segnali deboli del sistema per prevenirne la rottura.
Ci possiamo ora chiedere: qual è l’intervallo di Pre-Failure di un’infrastruttura come quella crollata in provincia di Lecco?
Anni.
La risposta è “anni”.
Non poche ore.
Come del resto emerge in questo interessante report tecnico, commissionato proprio dalla Regione Lombardia, nel quale si discute del ciclo di vita delle infrastrutture sensibili.
La manutenzione non è mai un costo.
È un investimento.
© Marzio Marigo
Share