Uno su mille ce la fa? Oppure uno su un milione?

Nell’ambito della valutazione d’affidabilità dei sistemi tecnologici è consuetudine procedere al calcolo della probabilità di accadimento di un dato evento incidentale.

Tale parametro viene chiamato probabilità del TOP EVENT, dell’evento apicale.

Questo calcolo viene condotto attraverso la costruzioni di connessioni logiche le quali, confluendo via via, portano all’elaborazione di un albero (al contrario), che viene chiamato, appunto, “albero di guasto” (Fault Tree per riprendere la terminologia anglosassone).

La forma è più o meno quella che si vede nella figura seguente (Fault Tree del disastro del 16 marzo 1978 che coinvolse la petroliera Amoco Cadiz. Si noti come, qualitativamente, un’anomalia banale (rottura di tubazione), posta alla base dello schema, ebbe la possibilità di propagarsi progressivamente fino al TOP EVENT a causa dell’esclusiva presenza di porte OR, bypassando tutti i sistemi di sicurezza e rendendo, così, la nave ingovernabile).

Visivamente, lo schema, ricorda le radici più che la chioma di un albero. Sarebbe più corretto, quindi, chiamare la metodologia “Radici dell’albero di guasto”?

Probabilmente NO perché, se è vero che visivamente la costruzione appare come una chioma messa a testa in giù, la sua costruzione parte dall’evento che si vuole studiare (TOP EVENT) e, via via (in modo deduttivo e cartesiano), vengono individuate prima le cause prossimali e successivamente quelle remote, correlandole tra loro da relazioni logiche ereditate dall’algebra booleana. Si costruiscono e disegnano così i rami dell’albero.

Insomma albero e non radici, ok?

Ce ne sarebbe da dire su questa metodica, sia sul COME dovrebbe essere applicata sia specificandone i LIMITI che possiede (parecchi. Per esempio connessi al fatto che non possediamo -spesso- adeguata affidabilità negli input, non è detto che il tasso sia costante, non si tiene conto della dispersione dei dati ma della sola media(na), possono essere presenti fenomeni “emergenti” che si palesano solo ad incidente avviato e che non vengono per questo computati nell’albero. Senza poi contare le cause di guasto comune, la forte variabilità nella costruzione dell’albero da parte di gruppi di lavoro differenti applicati al medesimo problema, il pressoché assente utilizzo dell’INHIBIT GATE… and so on).

Lo scopo di questo post è tuttavia un altro: una volta determinata la probabilità di accadimento, con cosa la confronto? Qual è, cioè, il limite di probabilità che possiamo ritenere sufficientemente remoto?

La risposta è spesso concorde: 10E-6 eventi/anno.

Una probabilità di accadimento non superiore ad un evento su un milione (all’anno).

Quello che abbiamo ora incontrato è uno dei grandi “dogmi” nelle valutazioni d’affidabilità dei sistemi complessi.

Il dieci alla meno sei.

Qualcuno, un po’ di tempo fa, lo definì “mito” e non riuscì a darsi una compiuta giustificazione dell’adozione così estesa di tale parametro numerico.

Moltissimi tuttavia sono i riferimenti in questo campo e sterminata la letteratura scientifica e tecnica che dettaglia i motivi di questa assunzione.

Ma siamo di fronte ad una macchinetta del caffè virtuale e questo non è un articolo per “Nature”. Eviterei quindi le citazioni.

Io, personalmente, riesco a raffigurarmi questa probabilità facendo il seguente ragionamento (non è mio. L’ho rubato ad un convegno dell’Ing. Edoardo Galatola).

Mediamente:

  • in Italia perdono la vita, per accadimenti di origine naturale (terremoti, alluvioni, ecc.), circa 60-65 persone all’anno;
  • vivono nel nostro paese 65 milioni di persone.

Rapportando il numero di decessi annuo al numero totale di abitanti ecco che spunta il 10E-6 che rappresenta, quindi, la misura della probabilità di decesso, per soli eventi naturali, vivendo nel territorio italiano. Un rischio non eliminabile: vivere in un dato luogo (ok, ci sarebbe da discutere della nostra straordinaria vulnerabilità sismica e idrogeologica ma, insomma, ci siamo capiti).

Esiste peraltro, sempre in termini di quantificazione di rischi con probabilità di accadimento trascurabile, il riferimento autorevole dato da Émile Borel, un matematico e statistico francese vissuto a cavallo tra ‘800 e ‘900. Egli asseriva, nel suo testo “Probabilities and Life[1] del 1962 (originalmente pubblicato in francese nel 1943) che:

  • le probabilità trascurabili su scala umana sono inferiori a 10E-6;
  • le probabilità trascurabili su scala terrestre sono inferiori 10E-15;
  • le probabilità trascurabili su scala cosmica sono inferiori a 10E-50.

In altri termini Borel asseriva, nelle prime pagine del suo piccolo manuale, che una probabilità inferiore a 10E-6 eventi/anno dovrebbe essere trascurata poiché risulterebbe talmente improbabile che, nel corso di una intera vita, non dovremmo avere la possibilità statistica di sperimentarla.

Chiuderei qui.

Per il momento.

Alla prossima!

Marzio

© Marzio Marigo

[1] Il testo di Borel venne poi preso quale riferimento per molte delle affermazioni “Creazioniste” volte a contestare le evidenze portate da Darwin sull’origine delle specie. Lascerei perdere… 😐

__________

Corso sulle novità in tema d’ATEX, le iscrizioni sono aperte (e i posti  disponibili stanno diminuendo): Rischio Atmosfere Esplosive ATEX. Le novità recenti, i metodi e le applicazioni (Bologna, 23/2/2018)

__________

 

Share

L’Elisabetta Montanari, trent’anni fa

Probabilmente l’evento accaduto il 13 marzo 1987 (esattamente trent’anni fa, oggi) all’interno della motonave “Elisabetta Montanari”, in manutenzione presso il bacino di carenaggio della società MECNAVI di Ravenna, costituisce il più doloroso incidente sul lavoro della storia italiana degli ultimi 70 anni.

All’epoca dei fatti ero uno studente di scuola media superiore, lontano ancora anni luce dal mio attuale impegno/lavoro nell’ambito della sicurezza. Molto tempo dopo, approfondendo il caso, scoprii, tra i tredici deceduti nell’inferno di Ravenna, tre miei coetanei:

  • Marco Gaudenzi di 18 anni;
  • Gianni Cortini di 19 anni e al suo primo giorno di lavoro;
  • Alessandro Centioni di 21 anni.

Tale sottile filo mi ha sempre fatto ritenere ancor più catastrofico e psicologicamente traumatico questo enorme accadimento incidentale.

Di seguito riporto il sunto del verbale della Commissione istituita dall’ISPESL su incarico del Ministro della Sanità all’indomani dell’incidente.

“(…) L’infortunio plurimo mortale in cui hanno perso la vita 13 lavoratori si è verificato a bordo della nave «Elisabetta Montanari», ferma nel bacino di carenaggio della società MECNAVI, nel porto di Ravenna, per lavori di manutenzione – regolarmente autorizzati dalla Capitaneria di porto – che si stavano svolgendo e che erano stati dati in appalto dalla società armatrice della nave alla MECNAVI, la quale, a sua volta, li aveva subappaltati ad altre quattro imprese. E i lavoratori impiegati nell’attività dipendevano da tutte le predette imprese. La nave “Elisabetta Montanari”, adibita al trasporto di gas di petrolio liquefatto (GPL), era stata portata presso il cantiere MECNAVI di Ravenna per la periodica revisione così come previsto dal RINA (Registro Italiano Navale). I tecnici del RINA avevano constatato che alcune lamiere del doppiofondo della nave (sia del cielo sia del fondo) presentavano un avanzato stato di corrosione con riduzione dello spessore al di sotto dei valori consentiti. In conseguenza di ciò ne prescrivevano la rimozione e la sostituzione con lamiere nuove. Tali operazioni vengono eseguite mediante taglio ossiacetilenico delle lamiere usurate e successiva sostituzione con le nuove mediante saldatura ad arco con elettrodi rivestiti. Si precisa che il doppiofondo della nave, che presenta una altezza massima di 90 centimetri, è suddiviso da paratie sia in senso longitudinale che trasversale, così che ne risulta una serie di comparti stagni dove vengono alloggiati in successione alternata: il combustibile, necessario alla propulsione della nave, e l’acqua di zavorra. Ne consegue che, prima del taglio delle lamiere usurate e della saldatura delle nuove, i comparti destinati al contenimento della nafta devono essere bonificati al fine di eliminare il materiale infiammabile: nafta liquida residua, residui semisolidi accumulati per sedimentazione sul fondo del serbatoio e infine i vapori di ristagno. Nel cantiere in esame, come peraltro avviene abitualmente, le varie fasi di bonifica dei serbatoi del combustibile del sottofondo possono schematizzarsi come segue:

  • aspirazione mediante pompe della nafta liquida fino al limite del pescaggio che, di norma, arriva a 20 centimetri dal fondo;
  • recupero manuale del liquido residuo mediante secchi che vengono passati a mano lungo tutto il comparto fino al passo d’uomo che mette in comunicazione il doppiofondo con la stiva sovrastante e da qui portato quindi all’esterno della nave;
  • rimozione mediante stracci e raschietti del residuo semisolido aderente al fondo e allontanamento dello stesso secondo le modalità operative già viste;
  • bonifica dei serbatoi mediante ventila-zione al fine di eliminare i vapori residui.

Per quanto riguarda la fase di recupero manuale questa viene effettuata da una squadra di operai che si cala all’interno del doppiofondo raggiungendo carponi le varie zone del comparto serbatoio.

Va precisato che i comparti del doppiofondo della nave sono attraversati dalle strutture che costituiscono le costole della nave (“ordinate”) dalle centine e, nel caso specifico, dalle selle dei serbatoi GPL. Tali strutture sono superabili soltanto in alcuni punti attraverso passi d’uomo di dimensioni ridotte (40×50 centimetri), sicché l’ambiente può essere paragonato ad un dedalo di cunicoli schiacciati, distribuiti a nido d’ape, che consentono soltanto movimenti lenti, contratti, con procedura carponi, di estrema difficoltà anche per personale esperto.

Va precisato, altresì, che ogni comparto del doppiofondo della nave è in comunicazione con la sovrastante stiva solo a mezzo di un unico passo d’uomo di 40 centimetri di diametro. Attraverso lo stesso passo d’uomo viene fatto passare, durante le operazioni, il tubo per la ventilazione dell’ambiente con aria fresca.

Nel caso specifico della nave “Elisabetta Montanari”, la stiva è occupata da quattro serbatoi per il trasporto del GPL.

Tali serbatoi risultano rivestiti da uno strato di materiale coibentante costituito da cinque centimetri di schiuma poliuretanica rigida protetta all’esterno da una guaina di tela in tessuto di lana di vetro catramato.

La dislocazione dei serbatoi fa sì che la stiva presenta una serie di ostacoli “costole e selle dei serbatoi”, che rende il movimento all’interno estremamente disagevole, in particolare per quanto si riferisce al percorso che va dall’uscita del passo d’uomo del sottofondo alla scaletta che porta alla passerella della stessa stiva, percorso che dovevano compiere gli operai che entravano e uscivano dal doppiofondo.

La ricostruzione dei fatti connessi con l’incidente, formulata sulla base di quanto dichiarato dai Vigili del fuoco e dai responsabili del Cantiere, nonché di quanto evidenziato all’atto del sopralluogo, fa ritenere la seguente dinamica: all’atto dell’incidente lavoravano nel cantiere circa 40 operai, la maggior parte dei quali facenti parte di quattro ditte appaltatrici. Alcuni operai lavorano all’esterno della nave, altri all’interno, nella stiva e nel doppiofondo. In particolare tra quelli che lavoravano all’interno, alcuni procedevano alla pulizia di un comparto del doppio fondo, altri invece lavoravano nella sovrastante stiva procedendo al taglio delle lamiere del “cielo” del doppiofondo di un comparto. L’uso della fiamma ossiacetilenica per l’effettuazione di tali operazioni era stato autorizzato dalla Capitaneria di Porto, per quanto di competenza, previo controllo mediante esplosimetro di assenza di miscele esplosive e/o infiammabili.

Durante il taglio delle lamiere si è sviluppato l’incendio che ha coinvolto la guaina in tela catramata di protezione, dello strato coibentante, in poliuretano espanso, avvolto intorno ai serbatoi del trasporto di GPL (vuoti durante la manutenzione della nave). È da evidenziare che la parete del serbatoio coibentato dista appena 20 cm. dalla zona dove venivano eseguite le operazioni di taglio.

L’incendio della guaina catramosa ha portato allo sviluppo di prodotti di combustione del catrame (gas e fumi) che hanno invaso l’area della stiva e, contemporaneamente, ha alimentato la lenta combustione della schiuma poliuretanica che, a sua volta, ha portato, per fenomeni di termodegradazione, alla emissione di prodotti venefici quali: ossido di carbonio, isocianati, acido cianidrico, amine alifatiche nonché prodotti volatili di parziale combustione del materiale. L’insieme di tali fenomeni ha reso l’atmosfera irrespirabile e satura di prodotti tossici.

In queste condizioni gli operai che erano nel doppiofondo e nella stiva sono morti per asfissia e/o intossicazione dovute ad inalazioni di prodotti tossici così come rilevato dalla perizia medico-legale mentre gli operai addetti al taglio delle lamiere, ad eccezione di uno, hanno trovato scampo attraverso l’apertura praticata sul fondo della nave per facilitare l’accesso alla zona di lavoro.

Sulla base della dinamica dei fatti appare pertanto evidente una serie di assurde carenze di organizzazione e di misure di sicurezza che trovano riscontro nell’assoluta mancanza di previsione di incidenti in un luogo di lavoro dove invece ne esistevano i presupposti ed esisteva la certezza che, in caso di incidente, le conseguenze sarebbero state letali. Ciò sia in considerazione della struttura dell’ambiente di lavoro sia delle modalità operative seguite.

A tale riguardo si possono trarre una serie di considerazioni. Esistono tecnologie in grado di disincrostare e pulire i luoghi confinati mediante liquidi speciali che permettono di evitare l’opera dell’uomo in luoghi di lavoro non concepiti per attività umana. Nel caso che ciò fosse inapplicabile al caso in esame, sarebbero stati necessari una serie di interventi prevenzionistici atti a garantire la salvaguardia di chi operava all’interno della nave sia nel doppiofondo che nella stiva. Sarebbero stati da prevedere piani di lavoro che evitassero la contemporaneità di operazioni rischiose compromettenti la sicurezza delle varie squadre operanti nei diversi punti, assistenza diretta e continua dall’esterno a chi operava nel doppiofondo, vista la estrema difficoltà di movimento esistente all’interno della nave, disponibilità infine di sistemi antincendi e di mezzi personali di protezione (…)”

Il 13 marzo 1987 ebbe luogo, in Italia, una tragedia sul lavoro che non DEVE ESSERE SCORDATA. Chi dimentica i propri errori e/o non impara da questi è destinato, prima o poi, inevitabilmente a ripeterli.

© Marzio Marigo

Share

Del colloquio di lavoro e di un incidente nucleare

Sei rimasto a casa dal lavoro perché devi sostenere, questa mattina, un importante colloquio presso una grande società di ingegneria che ha gli uffici posti in prossimità del centro della città. Tua moglie è già uscita di casa ma ti ha lasciato la caffettiera sul fornello per velocizzare il tuo, sempre problematico, risveglio. L’ha già riempita di caffè ben tostato ma si è, purtroppo, dimenticata dell’acqua. Accendi il gas e, dopo un po’, avverti un odore di gomma bruciata. La guarnizione è danneggiata e la valvola di sicurezza della parte inferiore della caffettiera irrimediabilmente rotta. Dato che non è proprio pensabile che tu possa sostenere un colloquio di lavoro senza la tua dose di caffeina quotidiana, rovisti nell’armadio della cucina fino a quando ritrovi una vecchia moka.

La tua salvezza.

La riempi d’acqua, premi per bene il caffè sopra, e aspetti il gorgoglio familiare, guardando con una certa apprensione l’orologio posto sul tavolo.

Bevi il caffè in velocità.

Ora sei pronto per l’importante impegno che ti attende.

Ti precipiti fuori dalla porta ma, quando arrivi all’auto, ti accorgi di aver lasciato sia le chiavi dell’automobile, sia quelle di casa… dentro casa.

Maledizione.

Ok, niente panico, sei previdente, in fondo conservi sempre una seconda chiave di casa in un luogo segreto che conosci solo tu (questa, di fatto, rappresenta una misura di sicurezza ridondante, spieghi sempre nei tuoi corsi). Fai mente locale, ti appresti a risalire le scale ma un pensiero sconfortante ti assale. Hai prestato la “chiave di emergenza” ad un tuo amico che avrebbe dovuto restituirti dei libri ma non sapeva quando sarebbe passato di là (ha cambiato di recente città, infatti).

Tu e tua moglie non siete quasi mai in casa (troppo lavoro, troppi impegni, troppi casini) e il tuo amico avrebbe potuto restituire il prezioso ed introvabile manuale di sicurezza industriale solo in questo modo.

Insomma, gli eventi che non ti consentono di utilizzare né la chiave normale né quella di emergenza sono stati generati da una unica causa comune: te stesso. Tecnicamente sei una “Common Cause Failure”, CCF, diresti proprio tu nei tuoi corsi.

Si sta facendo tardi, ma c’è sempre l’auto del tuo vicino. Un signore in pensione che usa la macchina una volta al mese e la mantiene in buona efficienza.

Bussi alla sua porta.

Ti apre e ti guarda come se fosse sveglio da ore, ormai.

Racconti brevemente quanto ti è accaduto.

Lui gentilmente ti risponde che si, presterebbe la propria auto ad un “giovanotto” come te, ma la sua gloriosa FIAT ha l’alternatore guasto, l’elettrauto se l’è portato via la scorsa settimana e, proprio oggi pomeriggio, viene a rimontarlo.

“Cavolo”, pensi, “un altro sistema di backup non ha funzionato”. Peraltro questo, a differenza dell’altro, senza alcuna causa comune alla radice. Tu e l’alternatore dell’auto del tuo vicino di casa non siete in relazione né diretta, né indiretta.

Sconsolato, ormai, ti rassegni a prendere l’autobus ma… c’è un “ma” anche questa volta. Il tuo vicino (diavolo di un vicino!) ti informa che c’è uno sciopero generale dei bus proprio oggi. In effetti, facendo mente locale, ricordi di aver sentito alla radio che c’era un’agitazione in atto da tempo. Gli autisti si rifiutano di guidare dei mezzi che sono, a loro dire, non sicuri. Questa protesta, inoltre, porta con sé anche una rivendicazione salariale.

Avverti un sottile fremito alla bocca dello stomaco e telefonando alla stazione dei taxi, ti rendi conto che non ce n’è nessuno disponibile. Lo sciopero dei bus ha generato la penuria di taxi. Comprendi immediatamente che questi eventi sono, tra loro, strettamente connessi. Fortemente accoppiati, direbbe il professor Charles Perrow, lo scienziato sociale che postulò, negli anni ’80, la “normalità” nell’accadimento degli incidenti industriali (Normal Accident Theory, NAT).

Non ti resta altro da fare che chiamare mestamente la segretaria della società di ingegneria che ti aveva contattato la scorsa settimana e, sconsolato, cerchi di spiegare cosa ti è capitato. La signora Blücher, Frau Blücher (si, come quella dei cavalli di “Frankenstein Junior”. In fondo la società che ti ha chiamato è tedesca) ti ascolta in silenzio e risponde che “si, è un po’ strano. Ne prenderò nota e trasmetterò l’informazione. La contatteremo di nuovo noi, non si preoccupi”.

Nel file del tuo profilo, tra le annotazioni, scriverà: “Persona inaffidabile”.

Chiediamoci ora: Qual è stata la causa principale di questo “incidente”? Perché, cioè, hai perso l’opportunità di un nuovo lavoro?

1) Errore umano (es. dimenticarsi l’acqua del caffè, dare le chiavi di emergenza al proprio amico)?

2) Guasto meccanico (es. alternatore dell’auto)?

3) Ambiente (es. sciopero dei bus e taxi introvabili)?

4) Errore di progettazione del sistema (es. possibilità di rimanere chiusi fuori casa, impossibilità di sopperire allo sciopero dei taxi)?

5) Procedure utilizzate (es. lasciare il caffè sul fornello, ecc.)?

Hai risposto?

Rivelo ora un segreto: questo racconto è, in metafora, quanto realmente accaduto, nel 1979, nel corso del disastro nucleare di Three Mile Island, il primo grande incidente con fusione del nocciolo della storia della generazione elettronucleare moderna.

Dunque, se hai risposto “SI” alla prima domanda ti sei orientato come i periti della Commissione Presidenziale incaricata di accertare le responsabilità.

Se invece hai risposto “SI” alla seconda domanda hai giudicato le responsabilità come i gestori dell’impianto nucleare, la Metropolitan Edison.

Se, infine, hai detto “SI” alla quarta domanda, hai avuto la medesima idea dei tecnici dell’Essex Corporation incaricata dall’NRC (Nuclear Regulatory Commission) di far luce sull’incidente.

Secondo Charles Perrow, invece, la migliore risposta da dare è “Nessuna delle precedenti”.

La causa dell’incidente è semplicemente data dalla complessità del sistema che possiede forte interattività e accoppiamento tra le variabili in gioco. In queste situazioni un incidente è “normale”.

Tornerò in futuro su questa interessante teoria.

Liberamente tradotto ed adattato da: Perrow C., Normal Accidents: Living with High-Risk Technologies, Princeton University Press (USA), 1999

© Marzio Marigo

Share

Della manutenzione e delle infrastrutture

Quanto avvenuto venerdì 28 ottobre 2016 al cavalcavia posto sulla strada statale Milano-Lecco, all’altezza di Annone Brianza, in provincia di Lecco, è un triste accadimento che mette in luce problemi di vastità molto maggiore.
La stampa nazionale, “as usual”, si concentra sulle ultime ore prima dell’evento alla ricerca di presunte responsabilità da mettere in capo ad ANAS, alla Provincia o a chissà chi altro.
In realtà il problema è molto più complesso e il quadro di insieme molto più ampio.
Ci si concentra spesso sull’efficienza e la sicurezza del prodotto nuovo e si gestisce poco (per nulla?) l’obsolescenza inevitabile dell’apparecchio/struttura/impianto.
Non a caso, nell’ambito per esempio della marcatura CE delle macchine, le normative di tipo C specificano i requisiti di dettaglio del prodotto all’atto della sua immissione sul mercato, relegando gli aspetti di manutenzione preventiva a paragrafi lunghi, spesso, non più di poche righe.
E così è più in generale.
Viviamo in un Paese che possiede un “costruito” di inestimabile valore del quale, purtroppo, ne trascuriamo la manutenzione.
E le infrastrutture non si sottraggono a questa regola generale: manutenzione a guasto.
Se facciamo in tempo.
Quanto tempo ci impiega una turbina a guastarsi dal momento in cui modifica la firma vibrazionale? Da settimane a mesi, probabilmente.
E un cuscinetto che si surriscalda? Verosimilmente alcuni giorni.
Per chi voglia approfondire c’è il bellissimo “RCM II” di Moubray nel quale è descritto con precisione il significato di “intervallo di Pre-Failure”.
Detto in altri termini una qualsiasi struttura sollecitata a cicli di fatica prima di cedere catastroficamente emette quelli che vengono definiti “segnali deboli”.
Un sistema meccanico, una infrastruttura edilizia prima di guastarsi ci avverte per tempo.
E la manutenzione su condizione è finalizzata proprio a questo: individuare i segnali deboli del sistema per prevenirne la rottura.
Ci possiamo ora chiedere: qual è l’intervallo di Pre-Failure di un’infrastruttura come quella crollata in provincia di Lecco?
Anni.
La risposta è “anni”.
Non poche ore.
Come del resto emerge in questo interessante report tecnico, commissionato proprio dalla Regione Lombardia, nel quale si discute del ciclo di vita delle infrastrutture sensibili.
La manutenzione non è mai un costo.
È un investimento.
© Marzio Marigo
Share

La spianata nera di Bhopal

Quella che mi accingo a descrivere è una storia che, sia per la gravità delle conseguenze sanitarie che ha determinato, sia per le ricadute sul tessuto economico e sociale subite dal territorio, può essere assimilata ad un (grave) incidente ad un impianto nucleare.
È il drammatico resoconto di quanto accadde a Bhopal, una raffinata e decadente città dell’India centrale, nel 1984, attorno alla mezzanotte di domenica 2 dicembre.
Esattamente trent’anni fa.
Ripercorriamo, preliminarmente, la storia dell’impianto della Union Carbide Corporation (UCC), allora colosso della chimica mondiale che ora non esiste più: la quota principale di quella società, infatti, risulta oggi sotto il controllo di Dow Chemical.
L’autorizzazione alla costruzione dello stabilimento sulla spianata nera di Bhopal data 4 maggio 1969 e fu emessa dal Ministero dell’Agricoltura indiano. Con essa fu concessa all’UCC statunitense la costruzione di un plant per la produzione di Sevin, un carbammato, potente ed innovativo insetticida sostitutivo del DDT.
Venne autorizzata dal Governo indiano la produzione di cinquemila tonnellate all’anno di questo pesticida a fronte di una richiesta di mercato massima, stimata dall’allora Direttore della divisione dei prodotti agricoli di UCC, Eduardo Munoz, di circa duemila tonnellate all’anno. Quest’ultimo, peraltro, voce isolata nel management di UCC.
Vedremo come codesta prima scelta, 5000 t/a in luogo di 2000 t/a, letta con il senno del poi, pose su solide basi il successivo sviluppo della tragedia. La limitata modulabilità della produzione di un impianto di questo tipo determinò, in presenza di ridotte richieste di mercato, fasi di produzione massiva a fasi di sospensione delle attività dello stabilimento. Introdusse un funzionamento a singhiozzo in un impianto pensato per un ciclo continuo e costante nel tempo.
Come già indicato, lo stabilimento chimico venne costruito in un’area di 60 ettari chiamata spianata nera, uno slum urbano privo di corrente elettrica, acqua sanitaria, fognature e di tutto ciò che rende “abitabile” un qualsiasi quartiere cittadino occidentale.
Tale area risultava posta in prossimità della stazione ferroviaria e della città vecchia di Bhopal.

Figura 1 – Lo stabilimento della Union Carbide Corporation a Bhopal

Inizialmente la costruzione dell’impianto chimico fu percepita, sia dalla politica (nazionale e locale) che dalla popolazione, come una rilevante possibilità di sviluppo del tessuto sociale ed economico della città. Significava, infatti, un impiego sicuro per migliaia di persone in un territorio che possedeva certamente un glorioso passato alle spalle ma che aveva di fronte a sé un futuro incerto e cupo. Una scelta peraltro percepita priva di particolari rischi, stante la dichiarazione del responsabile del progetto di UCC: “uno stabilimento innocuo come una fabbrica di cioccolata”.
In realtà, pur essendo il Sevin granulato, prodotto nello stabilimento di Bhopal, una sostanza fondamentalmente sicura, anche e soprattutto se confrontata con il DDT utilizzato in precedenza come agente pesticida, così non era il processo chimico che portava alla sua sintesi.
La produzione attivata presso il sito di Bhopal era articolata e comprendeva sia la ricezione di intermedi chimici prodotti in altri stabilimenti del gruppo, quali il monossido di carbonio (CO) e la Monometilammina (MMA), sia la sintesi finale “in situ” del Sevin, con produzione degli intermedi necessari (Fosgene, Isocianato di Metile (MIC), MCC e alfa-Naftolo).
Il cuore della chimica del processo di produzione dell’Isocianato di Metile era il seguente (cfr. Figura 2):

Figura 2 – Chimica per l’ottenimento del MIC

La reazione finale tra MIC e alfa-Naftolo sintetizzava, quindi, il Sevin granulare, un prodotto che avrebbe dovuto contribuire alla crescita dell’industria agricola indiana (la cosiddetta “rivoluzione verde”).
Lo stabilimento produceva dunque un tipo di “cioccolata” particolare, soprattutto in relazione alla straordinaria pericolosità dei componenti con i quali si perveniva al prodotto finale:

Tutti potenzialmente letali, sia secondo la classificazione a diamante presente in NFPA 704 (USA) sia rispetto alla nostra normativa UE.
Concentriamoci ora, per un momento, sulle caratteristiche chimico/fisico/biologiche dell’Isocianato di Metile, il MIC, la sostanza cioè che diede origine al disastro.
Il MIC è un liquido trasparente con un punto di ebollizione di 39°C. Possiede una bassa solubilità in acqua ed è relativamente stabile allo stato anidro. È altamente reattivo e, in particolare, può reagire violentemente con l’acqua. La reazione può essere tuttavia inibita dal fosgene. L’esotermia, sempre presente con acqua, si attenua in presenza di temperature di stoccaggio inferiori ai 20°C. Questa diviene tuttavia incontrollabile (runway reaction) se ha luogo a temperature elevate o in miscela con acidi e basi (comprese le ammine). Il MIC può altresì polimerizzare a contatto con il ferro, stagno e rame.
L’Isocianato di Metile è infiammabile possedendo un Flash Point (FP) pari a -18 °C ed un limite inferiore di esplosione (LEL) uguale a circa il 6% in aria.
Risulta biologicamente attivo e altamente tossico; questo fatto è reso evidente dal bassissimo valore del TLV-TWA (=0,02 ppm), molto inferiore a quello della maggior parte delle sostanze utilizzate nella chimica industriale. Pur possedendo una soglia olfattiva molto bassa (odora di cavolo bollito), il TLV-TWA risulta inferiore a tale livello di concentrazione. Essendo la sostanza un potente irritante esso causa lesioni alla pelle, danni irreversibili agli occhi ed edema polmonare se inspirato. Il MIC viene altresì metabolizzato dall’organismo come cianuro. Quest’ultimo, sopprimendo la citocromo ossidasi necessaria per l’ossigenazione delle cellule, induce una letale asfissia cellulare.
Il sistema di stoccaggio del MIC presente nel sito dell’Union Carbide di Bhopal consisteva in tre serbatoi, realizzati in acciaio INOX AISI 304, ciascuno della capacità di circa 57 mc. Due di essi erano destinati al normale ciclo di produzione (cod. nn. 610 e 611) mentre il terzo (cod. n. 619) venne destinato all’emergenza.
Tutti i serbatoi erano dotati di un sistema di refrigerazione termostatato a temperature inferiori a 5°C e ciascun contenimento risultava permanentemente flussato ad azoto. In particolare il gas inerte veniva richiamato in ciascun serbatoio ogni qualvolta si creava la depressione di progetto all’interno di esso. Ogni serbatoio, dotato di pressostato, era altresì protetto da una valvola di sicurezza posta a valle di un disco di rottura; tale sistema garantiva il mantenimento dell’efficienza della valvola di sicurezza dato che quest’ultima non risultava mai a contatto con il prodotto chimico. Tutti i collettori di sfiato erano convogliati in uno scrubber a soda caustica e, successivamente, in una torcia finale per l’abbattimento degli effluenti gassosi residui.

Figura 3 – P&ID del serbatoio n. 610 destinato a contenere il MIC

Pur essendo presenti le indicate misure di protezione poste a presidio dei serbatoi di MIC, esisteva un importante gap tecnologico e di sicurezza tra il sito UCC costruito a Bhopal e l’impianto “gemello” installato ad Institute nel West Virginia (USA).

Tabella 1 – Differenze nell’ingegneria tra gli impianti “gemelli” della Union Carbide in USA e India

Dal confronto emergono differenze sostanziali nell’ingegneria. Particolare attenzione meritano, tra le altre:

  • l’assenza di un controllo di processo computerizzato;
  • la costruzione delle tubazioni di processo in semplice acciaio al carbonio in luogo di acciaio AISI 304;
  • l’assenza di ridondanza nelle torce di stabilimento;
  • lo svolgimento delle operazioni di aggiunta di alfa-Naftolo manuale invece che attraverso tubazioni di processo dedicate;
  • assenza di un piano di emergenza rivolto alla popolazione esterna.

Lo stabilimento entrò in piena produttività il 4 maggio 1980, ad undici anni esatti dalla prima autorizzazione governativa.
Purtroppo la sua produzione non raggiungerà mai i livelli previsti in fase di progetto (=5250 t/a). Il picco massimo venne ottenuto nel 1981, con una produzione di Sevin pari a 2700 t. Nel 1983, a causa di pessime condizioni meteorologiche, che limitarono i raccolti, la quantità sintetizzata scese a 1660 t, troppo poco per mantenere in pieno esercizio uno stabilimento come questo.
Nel 1984, infine, dagli impianti usciranno solo 2000 tonnellate di Sevin che rappresentava, comunque, la maggior parte della produzione di pesticidi a base MIC della Union Carbide Corporation.

Tabella 2 – Produzione annua UCC di pesticidi (1984)

All’inizio dell’avventura UCC a Bhopal il personale risultava adeguatamente formato anche attraverso lunghe trasferte di training presso lo stabilimento di Institute, in USA. Purtroppo tale livello di competenza diminuì in breve tempo a seguito dei tagli conseguenti alla limitata redditività della produzione.
Ci fu una drastica riduzione dei titoli di studio in ingresso nonché della durata del training dei dipendenti (da 18 mesi nel 1975 ad un mese nel 1984). Peraltro nel 1984 il personale dello stabilimento, già ampiamente ridotto in termini numerici, risultava, per la maggior parte, trasferito da altri siti della Union Carbide (cfr. Figura 4).

Figura 4 – Evoluzione delle condizioni organizzative e di istruzione del personale Union Carbide di Bhopal

Questo è quindi il quadro di insieme dell’azienda prima del catastrofico evento del dicembre 1984: un impianto ad elevatissimo rischio nel quale la multinazionale non solo non investiva più in termini di risorse tecniche e di ingegneria, ma che subisce un evidente decurtamento del capitale umano destinato alla gestione.
Meno persone, meno motivate e meno competenti.
Questo, tuttavia, non è di per sé sufficiente a dar conto dell’immane tragedia cui abbiamo assistito. Furono una serie di successive decisioni del management locale che posero le basi dell’incidente che poi si sviluppò.

La prima: presso lo stabilimento di Bhopal erano stoccate 63 tonnellate di isocianato di metile, una sostanza, come abbiamo visto, estremamente reattiva rispetto a comuni liquidi (acqua) e solidi (ferro, stagno, rame). I chimici europei, anche all’epoca dei fatti, furono chiari e netti rispetto alla scelta statunitense di stoccare queste enormi quantità: il MIC, se fosse stato necessario per una sintesi, si sarebbe dovuto produrre nel momento in cui serviva. Lo si realizzava nella minima quantità necessaria e si sarebbe dovuto consumare immediatamente dopo; così operando si sarebbe reso intrinsecamente sicuro il processo.

La seconda: a dicembre del 1983, per motivi manutentivi, vennero permanentemente collegate la linea di sfiato (RVVH) con la linea di processo (PVH) attraverso una “jumper line” (cfr. Figura 3). Tale scelta, non prevista nel progetto originale elaborato dagli ingegneri statunitensi della Union Carbide, introdusse nell’impianto un cortocircuito impiantistico determinante per lo sviluppo dello scenario incidentale.

La terza: nel giugno del 1984, per (irragionevoli) motivi di risparmio energetico (non più di 20 USD al giorno), il sistema di raffreddamento dei serbatoi del MIC venne disattivato e le 30 t di fluido refrigerante interamente drenate. L’isocianato di metile, a temperature inferiori ai 5°C, evidenzia una limitata reattività, se confrontata con quella presente a temperature superiori. L’errore tecnico fu quello di assimilare il MIC, molto reattivo ed in grado di interagire con banali impurità metalliche presenti nel serbatoio, ad una sostanza chimicamente stabile ed inerte (“Ficcati nella zucca una volta per tutte che non ci possono essere fughe in una fabbrica che ha interrotto la produzione. È la prima cosa che bisogna sapere in questo mestiere”. cfr. Lapierre D. Moro J. (2012), p. 268).

La quarta: ad ottobre lo scrubber di abbattimento a soda caustica venne disattivato, sempre in base all’assunzione che non fosse necessario, vista l’inattività dell’impianto.

La quinta: sempre ad ottobre la torcia di protezione venne posta fuori servizio a causa della presenta di tubazioni corrose. Queste vennero rimosse per poi essere successivamente sostituite. Tale operazione non venne mai eseguita.

La sesta: parte della strumentazione posta a presidio dei serbatoi era fuori uso. Non era possibile, quindi, il monitoraggio delle condizioni di stoccaggio dell’Isocianato di Metile: mancano letture affidabili di temperatura, pressione e livello, in particolare nel serbatoio n. 610. Quest’ultimo, ricordiamo, conteneva 42 delle 63 tonnellate complessivamente stoccate nel sito produttivo.

Non è un caso che il rapporto di audit interno, datato 11 settembre 1984, e redatto da ingegneri UCC statunitensi, riportasse chiaramente che: “The potential hazard leads the team to conclude that a real potential for serious incident exists” (=I rischi potenziali ci portano a concludere che esiste la reale possibilità di un serio incidente).
Giunti a questo punto l’impianto divenne tecnicamente fragile. Un qualsiasi errore operativo poteva pregiudicare la sicurezza del sito, tali e tanti erano ormai i guasti tecnici e procedurali potenziali e covanti.
L’incidente, utilizzando la terminologia di Perrow, divenne “normale” in un impianto così gestito. I presupposti c’erano tutti:

  • Complessità interattiva
  • Forte accoppiamento tra le variabili in gioco

L’innesco non tardò ad arrivare e l’attivazione dell’evento incidentale ebbe luogo alle 21.15 del 2 dicembre 1984 (cfr. Tabella 3). Dato che filtri connessi alla linea RVVH (cfr. Figura 2) risultavano intasati, presumibilmente a causa di depositi di fosgene, si decise di dar luogo ad un lavaggio con acqua. Si chiuse la valvola n. 16, si aprirono le valvole nn. 18-21 e le nn. 22-25 e venne collegata una manichetta con acqua in pressione nella tubazione relativa alla valvola n. 17.

Tabella 3 – Cronologia dell’incidente

L’ostruzione era rilevante e per liberare l’impianto si aumentò la pressione dell’acqua di lavaggio. Tale incremento probabilmente forzò l’apertura della valvola n. 16. In quest’ultima linea non era stata, peraltro, inserita alcuna flangia cieca di isolamento. Gli operatori, nelle prime fasi dell’incidente, non si accorsero di nulla. L’acqua continuò a fluire all’interno del serbatoio n. 610 (non refrigerato) per almeno due ore e tre quarti.
A quel punto, verso mezzanotte, l’energia accumulata divenne incontenibile. La reazione esotermica tra Isocianato di Metile ed acqua causò un potente surriscaldamento del fluido fino a portarlo ad una temperatura di 250°C e ad una sovrappressione di 14 bar (il serbatoio era dimensionato per resistere a pressioni di progetto inferiori a 4 bar).
Il MIC prima fuoriesce dall’impianto percorrendo in senso inverso il percorso compiuto dall’acqua poi, quando la pressione diviene superiore a quella di rottura dei sistemi di protezione, fluirà principalmente attraverso il disco di rottura e la relativa valvola di sicurezza.

Per completezza di informazione, va detto che alcuni report tecnici, realizzati da esperti di chiara fama (per es. Trevor Kletz), confutano la teoria dell’incidente sin qui descritta ritenendola troppo semplicistica. Essi considerano, infatti, che la lunghezza della linea RVVH e l’altezza differenziale tra la zona sottoposta a pulizia ed il serbatoio n. 610 non potessero consentire un massivo afflusso d’acqua al serbatoio di MIC. Secondo tali specialisti, inoltre, la spiegazione precedentemente descritta presupporrebbe che tutta una serie di valvole normalmente chiuse fossero state difettose, con perdite significative di tenuta, o, addirittura, risultassero tutte mantenute aperte. Peraltro, alcune di queste, testate nel corso dell’anno successivo all’incidente, evidenziarono tenute tecnicamente più che adeguate.
Alla luce di queste considerazioni, è quindi possibile che lo scenario considerato (a maggioranza) credibile, non spieghi tuttavia con completezza la grande quantità di acqua in pressione in ingresso nel serbatoio n. 610.
La Union Carbide Corporation, in questo senso, ritenne possibile una seconda ipotesi: quella del sabotaggio e/o altro errore tecnico. In altri termini, l’acqua potrebbe essere stata introdotta nel n. 610 direttamente al livello del manometro collocato a monte del disco di rottura posto a protezione del serbatoio. Potrebbe, per esempio, essere stata collegata una presa d’acqua nella connessione per l’alimentazione d’azoto (volontariamente oppure per un errore tecnico).
In ogni caso, indipendentemente dall’errore conseguente all’introduzione d’acqua, tutti i rapporti tecnici concordano nel sottolineare la diffusa negligenza organizzativa connessa alle condizioni operative altamente degradate all’interno dello stabilimento (tubazioni difettose o bypassate, criticità tecniche nell’ingegneria della costruzione impiantistica, mancanza di personale, formazione insufficiente, ecc.) nonché una grave impreparazione nell’affrontare l’incidente che ha poi avuto luogo.

Riprendiamo ora la descrizione dell’evento: giunti a questo punto dell’incidente, non esiste alcun ostacolo all’emissione delle 42 tonnellate di vapore denso di MIC: lo scrubber di abbattimento è disattivato e manca la tubazione di collegamento alla torcia di stabilimento (peraltro spenta).
La spianata nera, la città vecchia e la stazione ferroviaria vengono invase da una nube velenosa e silenziosa, con odori e densità differenti (cfr. Figura 5):

  • l’isocianato di metile che puzza di cavolo bollito;
  • la monometilammina che pare ammoniaca;
  • il fosgene che odora di paglia umida.

Ognuno di questi vapori possiede densità e, quindi, mobilità passiva differente sul terreno e ciascuna area di Bhopal è invasa, dall’uno o dall’altro vapore letale, in funzione dell’intensità e della direzione locale del vento (cfr. Figura 5).

Figura 5 – Zone contaminate di Bhopal

Si compie la strage.
Nell’immediatezza dell’incidente, le statistiche ufficiali indicarono 2.000 morti accertatiAmnesty International denunciò, invece, che nei primi tre giorni, a Bhopal, persero la vita almeno 7.000 persone a cui devono essere aggiunte altre 15.000 vittime registrate tra il 1985 e il 2003, anno nel quale il Governo indiano ammise ufficialmente che il bilancio della tragedia aveva superato i 20.000 decessi.
Altresì, si stimano in 120.000 le persone che, esposte ai vapori nella sera tra il 2 e 3 dicembre 1984, subiscono tuttora le conseguenze di malattie croniche invalidanti e medicalmente non trattabili.
Ventimila morti e centoventimila malati cronici: questo è l’enorme costo sociale dell’avventura del Sevin in India.
Numeri che non necessitano di alcun ulteriore commento.

Figura 6 – Particolare di un pannello di comando in sala di controllo: “Safety is everybody’s business” (“La sicurezza è affare di tutti”)

“(…) I vapori che raggiungono i quartieri vicini alla fabbrica avvelenano solo chi ne resta contaminato, ma l’odore di cavolo lesso, di erba appena tagliata e di ammoniaca si spande in tutta la zona in pochi secondi. Mukkadam ha appena il tempo di vedere quella nebbia leggera, che già ne sente gli effetti. Capisce che la morte sta per piombare su di loro. Urla: “Bachao! Bachao! Scappate!”. Colti dal panico, gli invitati alle nozze fuggono, correndo in ogni direzione.
Per Bablubai è già troppo tardi. Il lattaio dell’Orya basti non regalerà più latte ai bambini rachitici. Subito dopo la morte del toro Nandi e delle vacche, ha lasciato la festa e si è precipitato nella stalla, richiamato dai muggiti delle bufale. Sdraiate come al solito a ruminare, le diciassette bestie sono state investite in pieno da una piccola folata di vapore strisciante. Molte sono già morte. Bablubai corre fino alla capanna per salvare il figlio neonato e la moglie Boda.
“La lampada a olio si è spenta” mormora la giovane donna in lacrime.
Bablubai tenta di chinarsi a prendere il bambino, ma uno sbuffo di vapori arrivato proprio in quel punto gli paralizza all’istante la respirazione. Il lattaio, fulminato da una sincope, si accascia senza vita sul corpo del suo bambino (…)”

(tratto da: Lapierre D. Moro J. (2012), Mezzanotte e cinque a Bhopal, Mondadori, Milano, pp.281-282)

Bibliografia

  • ARIA Report n. 722, Release of toxic gases in a pesticide plant, French Ministry for Sustainable Development – DGPR/SRT/BARPI
  • Bowonder B., An analysis of the Bhopal accident, in: “Project Appraisal”, Vol. 2, n. 3/1987, pp. 157-168
  • Chouhan T.R., The unfolding of Bhopal disaster, in: “Journal of Loss Prevention in the Process Industries”, n. 18/2005, pp. 205-208
  • Dash M.C. Dash S.P. (2009), Fundamentals of Ecology (Third Edition), McGraw-Hill, New York, USA (Chapter 8.12)
  • Kletz T. (2001), Learning from Accidents, Butterworth-Heinemann, UK (Chapter 10)
  • Lapierre D. Moro J. (2012), Mezzanotte e cinque a Bhopal, Mondadori, Milano
  • Mannan S. (2012), Lees’ Loss Prevention in the Process Industries: Hazard Identification, Assessment and Control (4th Edition), Butterworth-Heinemann, UK (Appendix 5)
  • Perrow C. (1999), Normal Accidents, Princeton University Press, USA
  • Sturloni G. (2006), Le mele di Chernobil sono buone, Sironi, Milano (Capitolo 6)

(Post pubblicato originariamente su Postilla.it il 24/11/2014)

© Marzio Marigo

Share

A 40 anni dal più grande disastro industriale di sempre: Flixborough (UK), 01/06/1974

What we learn from history is that people don’t learn from history
George Bernard Shaw

Tra poche settimane ricorrerà il quarantesimo anniversario di uno tra i più grandi incidenti industriali avvenuti in Europa nel dopoguerra. Il primo giugno del 1974 è, infatti, una data densa di significati e rappresenta, peraltro tristemente, l’inizio del cammino europeo verso l’industria di processo sicura. Gli accadimenti che ebbero luogo in quel giorno, sommati a quanto avvenne due anni dopo in Italia, presso gli stabilimenti dell’ICMESA di Seveso (MI), posero infatti le basi per l’emanazione della prima direttiva comunitaria indicante l’obbligatorietà di costruire ed esercire IN SICUREZZA gli stabilimenti i cui rischi, per la sicurezza delle persone e la salubrità dell’ambiente, si potessero estendere anche all’esterno del sito produttivo.
Come già accennato, alle 16:53 del primo giugno 1974 ebbe luogo a Flixborough, nel Nord Lincolnshire (UK), forse il più impressionante incidente della storia dell’industria convenzionale moderna (Video BBC). Un rilascio accidentale di cicloesano ad alta pressione e temperatura, che si originò dagli impianti della Nypro Ldt. (produttrice di Nylon 6), causò una catastrofica esplosione ed un conseguente incendio che provocò il decesso di 28 persone ed il ferimento di altre 104. Il sito industriale, esteso su circa 100.000 mq, venne interamente distrutto e circa 1800 case e 170 tra attività commerciali e fabbriche prossimali furono danneggiate. Il totale dei danni venne quantificato in circa 750 milioni di dollari, rivalutati all’anno 2000 (Kletz, 2001).
L’enorme esplosione venne udita fino ad Anlaby, nella contea di Hull, distante 32 km da Flixborough.


Figura 1.
 Il sito prima del disastro

Figura 2. Il sito dopo il disastro

L’impianto di cicloesano, collocato nella zona definita 25 A (cfr. Figura 1), risultava adiacente alla sala controllo, al blocco principale degli uffici, ai laboratori, all’impianto di generazione dell’idrogeno, alla sezione 7 (impianti di caprolattame) e alla sezione 27.
Esso consisteva in 6 reattori collegati tra loro, con tubazioni da 28 pollici (=71 cm), posti in serie a livelli differenti di altezza (codici Nypro nn. 2521 – 2526). All’interno di tale processo il cicloesano (sostanza con caratteristiche di infiammabilità simili alla benzina), inertizzato con azoto in pressione, veniva ossidato (@ 9,6 bar e 155°C) in cicloesanone e cicloesanolo grazie all’iniezione d’aria in presenza di un catalizzatore.
Una configurazione impiantistica di questo tipo fu dettata dalla particolare lentezza della reazione di ossidazione. Fu pertanto prolungato il tempo di permanenza del fluido all’interno dell’impianto, con l’adozione di più reattori in serie, e venne migliorata la cinetica del processo, rispetto agli impianti già esistenti all’epoca, portando la temperatura del ciclo a 155°C, molto al di sopra al punto di ebollizione del liquido a pressione ambiente (=81°C). La scelta obbligata conseguente fu quindi quella di pressurizzare la miscela in reazione fino a 9,6 bar al fine di mantenere il cicloesano in forma liquida. L’impianto, con i parametri di progetto indicati, consentiva di produrre, a regime, 70.000 tonnellate all’anno di caprolattame.
Ogni reattore, realizzato in acciaio AISI 316L, era dotato di un dispositivo di troppo pieno a stramazzo che consentiva di mantenere costante il livello di liquido. In tutti i contenimenti, ad eccezione del n. 4, erano inoltre installati degli agitatori interni.

Figura 3. I sei reattori della sezione 25A

L’alimentazione dell’impianto consisteva in una miscela di cicloesano fresco miscelato ad altro proveniente dagli impianti di recupero del prodotto in uscita. Il prodotto intermedio in uscita dai sei reattori conteneva, infatti, oltre al cicloesanone e cicloesanolo, un tenore del 94% di cicloesano il quale, non avendo partecipato alla reazione, veniva distillato per essere riutilizzato con la miscela fresca in entrata.
Dalla distillazione si separava cicloesanone e cicloesanolo che venivano convertiti, in altra parte dell’impianto, in caprolattame, il monomero base necessario alla produzione del polimero Nylon 6.
Il 27 marzo, circa due mesi prima dell’evento, venne evidenziata sul reattore n. 5 (codice interno n. 2525) una perdita continua di cicloesano. Fu decisa la fermata dell’impianto per procedere ad una ispezione approfondita del contenimento che rivelò la presenza di una fessurazione verticale molto ampia (circa 180 cm) causata, come dimostrò l’inchiesta successiva all’incidente, da tensocorrosione. Venne quindi presa la decisione di rimuovere il reattore n. 5, per studiarlo approfonditamente, e di riconnettere, nel frattempo, i reattori 4 e 6 attraverso un collegamento in acciaio AISI 304L del diametro di 20 pollici (=51 cm). Tale dimensione risultava molto inferiore rispetto a quella prevista in origine dal costruttore (cfr. Figura 4).
Una simile riduzione di diametro non fu dettata da considerazioni ingegneristiche e/o strutturali bensì, più semplicemente, dalla disponibilità immediata di questa dimensione di tubo presso i magazzini dello stabilimento. Peraltro la struttura del raccordo non risultava assiale rispetto alle flange da collegare, collocate su due livelli differenti, bensì composta da tre tronconi cilindrici saldati tra loro. Tale raccordo risultava inoltre connesso ai vessel nn. 4 e 6 attraverso soffietti metallici antivibranti. L’intero bypass risultava supportato da una struttura provvisoria in tubi innocenti (cfr. Figura 5).
Tutta la struttura di collegamento tra i reattori risultò, inoltre, concepita in difformità alla regola dell’arte allora vigente e relativa ai recipienti in pressione di quella tipologia (BS 3351:1971). Non fu preventivamente studiata e calcolata, non venne nemmeno semplicemente disegnata (se si eccettua lo schema, realizzato con gesso, rinvenuto sul pavimento della carpenteria di produzione!). Peraltro non furono presentati, nel corso del successivo processo, nemmeno i verbali di collaudo del collegamento realizzato.

Figura 4. Schema dell’impianto dopo l’eliminazione del reattore n. 5

Figura 5. Schema della tubazione di bypass

Un’analisi svolta agli elementi finiti evidenziò più frequenze naturali di vibrazione del bypass. Riportiamo, a titolo esemplificativo, le prime due:

  • Assiale: f1 = 3,98 Hz
  • Traversale: f2 = 12,35 Hz

Queste frequenze vennero ad essere eccitate in risonanza dal flusso liquido interno di cicloesano. Infatti, la sezione, ridotta da 28 a 20 pollici, determinò una notevole accelerazione della velocità del liquido, con un conseguente incremento della depressione e della turbolenza del flusso. Tali modifiche fluidodinamiche sovrasollecitarono sia staticamente sia dinamicamente il giunto provvisorio nella sua intera lunghezza, inducendo forzanti armoniche che si manifestarono con momenti flettenti pulsanti (cfr. Figura 6).

Figura 6. Schema di sollecitazione statica del bypass

Per molte settimane dalla sua prima installazione, quindi, il giunto si trovò ad essere sollecitato a fatica e vincolato a vibrare in modo anomalo, anche a causa della struttura in tubi innocenti di vincolo.
La situazione rimase stazionaria fino al primo di giugno quando, in occasione di un riavvio dell’impianto successivo ad una fermata per manutenzione correttiva (che non riguardò il collegamento provvisorio), il bypass cedette di schianto, provocando un rilascio (stimato) di circa 100 tonnellate di cicloesano liquido a 9,6 bar e 155°C (molto al di sopra, cioè, del punto di ebollizione del liquido a pressione atmosferica, come già detto).
Tale perdita massiva ed incontrollata generò un fenomeno noto con il nome di “flashing”. Esso si manifestò con la pressoché istantanea nebulizzazione di una frazione rilevante del cicloesano espulso. A seconda delle simulazioni effettuate, da vari autori e dalla commissione governativa d’inchiesta, la quantità di cicloesano liquido, trasformatasi in vapore e nebbia, si colloca nell’intervallo 15-45 tonnellate di infiammabile mentre l’altezza rispetto al suolo, raggiunta da tale nube prima dell’innesco, si stima invece pari a circa 45 metri. Infine, il diametro del rilascio (prima dell’innesco), è stato approssimativamente quantificato in 200 metri (Sadee et al., 1975).
Una di queste stime è semplicemente realizzabile adottando il criterio del TNT equivalente proposto dall’HSE britannico; si ottiene, a fronte di un rilascio di liquido pari a 100 tonnellate, una nube di vapori e nebbie infiammabili di circa 34 tonnellate (cfr. Figura 7). Tale quantità risulta ragionevolmente aderente con quanto stimato dalla commissione d’inchiesta.

Figura 7. Stima del rilascio di vapori e nebbie infiammabili nell’incidente di Flixborough (CCPS, 1994)

Questa enorme nube di vapore e nebbia infiammabile esplose con una potenza distruttiva equivalente a circa 10,2 tonnellate di TNT (VCE), anche se alcuni studi arrivano a quantificare tale quantità in circa 16 tonnellate (Sadee et al., 1975). Essa venne probabilmente innescata, dopo un periodo da 30 a 90 secondi dal rilascio, dai bruciatori presenti nell’impianto di generazione di idrogeno, collocato nelle adiacenze della sezione 25.
L’espansione della nube emisferica accesa, pari a circa 8 volte il suo volume iniziale (=raddoppio del diametro), fece si che il fronte di fiamma raggiungesse zone nelle quali non era inizialmente presente la miscela infiammabile, incendiando, così, buona parte dello sito dello stabilimento.
La sala di controllo venne completamente distrutta così come venne demolito il blocco principale degli uffici, realizzato in mattoni e posto a 25 metri dal rilascio. Fortunatamente negli uffici, solitamente occupati da circa 200 persone, non c’erano dipendenti (era sabato). Peraltro, nessuno degli edifici civili presenti nel complesso della Nypro era stato progettato e realizzato per proteggere gli occupanti da eventuali esplosioni esterne.
Le simulazioni degli effetti dovuti a sovrappressione, realizzate con il metodo del TNT equivalente e con il TNO Multienergy, restituiscono valori di sovrappressione significativi fino ad oltre i tre chilometri dall’epicentro dell’incidente. A questi devono aggiungersi i danni connessi all’esposizione a fiamme e radiazione termica. Tali manifestazioni evidenziano letalità ben oltre il limite di infiammabilità della nube generata, fino a concentrazioni di infiammabile minori del LEL/2 (cfr. Tabella 2, DM 09/05/2001). È facilmente ipotizzabile che tali conseguenze abbiano superato, in magnitudo, quelle connesse alla sovrappressione, soprattutto nel campo vicino, in prossimità dell’epicentro dell’esplosione.

Figura 8. Simulazione CFD del rilascio di cicloesano dai reattori nn. 4 e 6 (Fingas, 2002)

Presso lo stabilimento risultavano stoccate, alla data dell’incidente, le seguenti quantità di sostanze infiammabili:

  • Cicloesano = 1156 tonnellate
  • Nafta = 230 tonnellate
  • Toluene = 44 tonnellate
  • Benzene = 105 tonnellate
  • Benzina = 1515 tonnellate

L’incendio conseguente, alimentato da queste rilevantissime quantità di infiammabili, fu anch’esso di proporzioni catastrofiche.
Ventotto furono i decessi causati dall’esplosione, 18 dei quali erano presenti in sala controllo. Nel laboratorio, collocato a meno di 12 metri dalla sala di controllo, ci furono sorprendentemente 8 superstiti i quali, avendo assistito direttamente agli eventi immediatamente precedenti l’esplosione, furono in grado di portarsi in un luogo sicuro rispetto agli effetti letali dell’esplosione. Essi, altresì, furono testimoni decisivi per la comprensione delle dinamiche incidentali.
Le cause ultime del disastro sono state molte ed interconnesse tra loro. In un incidente di questo tipo, infatti, l’evento catastrofico non è che la manifestazione di molte anomalie già esistenti e dormienti all’interno del sistema organizzato che trovano un innesco in un fatto specifico (…la goccia, il vaso, ecc.).
In molti incidenti industriali, piccoli, medi e grandi, accade spesso così, quindi. Un evento “trigger” innesca i fattori di rischio annidati nel sistema e covanti da tempo.
Fatta questa premessa, elenco le tre cause ultime, immediatamente individuali, che hanno innescato il disastro:

  • la connessione di bypass venne installata senza alcuna valutazione di sicurezza, dimensionamento meccanico e supervisione da parte di ingegneri chimici esperti. Come già detto, addirittura, lo schema in base al quale venne realizzato il collegamento fu disegnato, con un gesso, nel pavimento del reparto della carpenteria di lavorazione;
  • il sito conteneva quantità rilevantissime di liquidi infiammabili stoccati che, successivamente all’esplosione, alimentarono l’incendio di proporzioni gigantesche;
  • il bypass non fu realizzato in conformità alla regola dell’arte allora vigente. Ogni modifica, come regola generale, deve essere sempre realizzata con il medesimo livello qualitativo dell’impianto nel quale si andrà ad installare.

Un evento con una simile dimensione, oltre al carico di distruzione e sofferenza, porta con sé SEMPRE importanti e preziosi insegnamenti per il futuro. Di seguito riporto un elenco di questi, estratto dalla relazione della commissione d’inchiesta pubblica ed integrato da Lees:

  • necessità di controllo pubblico sugli impianti a rischio di incidente rilevante;
  • localizzazione e distanziamento degli impianti a rischio di incidente rilevante dai centri abitati;
  • autorizzazione per lo stoccaggio di materiali pericolosi;
  • elaborazione di regole tecniche per sistemi ed attrezzature a pressione;
  • adozione di sistemi di gestione negli impianti a rischio di incidente rilevante;
  • priorità della sicurezza sulle necessità di produzione;
  • utilizzo, in ogni fase del processo, di norme tecniche e codici di buona pratica;
  • riduzione degli stoccaggi di prodotti pericolosi;
  • riduzione della taglia degli impianti (es. diametro tubazioni, volume dei contenimenti) agendo sull’efficienza del processo;
  • adozione di alta affidabilità nell’ingegneria dell’impianto (es. integrità meccanica);
  • implementazione di alte affidabilità per i servizi di processo (es. fornitura idrogeno, azoto, ecc);
  • limitazione dell’esposizione del personale;
  • progettazione e collocazione sicura delle sale controllo e degli altri fabbricati del plant;
  • ergonomia nella scelta della strumentazione di controllo dell’impianto (non specifico di Flixborough);
  • addestramento del personale ad operare in condizioni ad alto stress;
  • riavvio dell’impianto solo dopo avere trovato la soluzione/spiegazione dell’anomalia;
  • procedure di gestione del cambiamento/modifiche;
  • sicurezza nel controllo degli accessi all’impianto;
  • pianificazione delle emergenze;
  • studio ed approfondimento dei fenomeni metallurgici di interazione con le sostanze di processo;
  • elaborazione di simulazioni di incidente rilevante;
  • investigazione sulle cause di disastro e feedback delle informazioni acquisite.

Anche se molta strada deve ancora essere percorsa (es. adozione dei criteri di sicurezza intrinseca di Kletz, manutenzione orientata all’affidabilità, procedure di gestione del cambiamento efficienti, ecc.), a quarant’anni di distanza di questa enorme catastrofe possiamo constatare che le condizioni di sicurezza degli impianti di processo sono certamente migliorate. Non pochi dei punti elencati in precedenza dalla commissione di inchiesta sono stati, infatti, presi in considerazione dal legislatore europeo.
L’augurio per tutti noi è che, comunque, sia per gli incidenti che accadono nell’industria convenzionale come per quelli che avvengono in quella a rischio di incidente rilevante, non valga MAI la massima di George Bernard Shaw citata all’inizio di questo intervento.

La storia insegna.

Sempre.

GLOSSARIO

BIBLIOGRAFIA MINIMA

  • CCPS (1994), Guidelines for Evaluating the Characteristics of Vapor Cloud Esplosions, Flash Fires and BLEVEs, Wiley, New Jersey (USA)
  • Department of Employment (1975), The Flixborough disaster, Report of the Court of Inquiry, Crown, UK
  • Fingas M. (2002), The Handbook of Hazardous Materials Spills Technology (Chapter 42), McGraw-Hill, New York (USA)
  • Kletz T. (2001), Learning from Accidents, III Ed. (Chapter 8), Buttherworth-Heinemann, Oxford (UK)
  • Mannan S. (2005), Less’ Loss Prevention in the Process Industries (Chapter 17, Appendix 2), Buttherworth-Heinemann, Oxford (UK)
  • Pekalski et al. (2005), A Review of Explosion Prevention and Protection Systems Suitable as Ultimate Layer of Protection in Chemical Process Installations, Trans IChemE, Part B, Process Safety and Environmental Protection, 2005, 83(B1): 1–17
  • Sadee et al. (1975), Estimation of the TNT Equivalent of the Amount of Reacted Cyclohexane, and of the Dimensions and Shape of the Cloud in Relation to the Explosion which Occurred on the Flixborough Site of Nypro (UK) Ltd on 1st June 1974. Rep. to Flixborough Court of Inquiry (Dutch State Mines)

APPENDICE STATISTICA

Si riportano di seguito, pur in modo incompleto e non completamente aggiornato (ci fermiamo, infatti, al 2000), alcuni dati significativi relativi ai grandi incidenti industriali avvenuti nel recente passato (Pekalski et al., 2005).

(Post pubblicato originariamente su Postilla.it il 27/4/2014)

© Marzio Marigo

Share

Il Molino Cordero di Fossano

Sei anni fa, presso il Molino Cordero di Fossano (CN) si verificarono una serie di esplosioni che causarono il tragico decesso di cinque persone (Valerio Anchino, Marino Barale, Antonio Cavicchioli, Massimiliano Manuello e Mario Ricca) e la totale distruzione dell’impianto di produzione. Di seguito si vuole riportare il riepilogo degli eventi che portarono a questo tragico evento, così come indicato dai periti tecnici che seguirono il processo (Marmo et al., 2010).

La storia e gli accadimenti del passato sono, in questo senso, ottimi maestri che possono consentire, se letti con la giusta ottica, di evitare di commettere i medesimi errori.

L’esplosione ebbe luogo a seguito della necessità di scaricare una piccola quantità di prodotto precedentemente caricata in eccesso in un’autocisterna. A questo fine venne collegato lo scarico della cisterna ad un condotto metallico di ripompaggio pneumatico per mezzo di una manichetta flessibile, della lunghezza pari a 6 m, in dotazione al mezzo. La tubazione di trasporto pneumatico avrebbe dovuto convogliare il prodotto in fariniera. Tale operazione, visto il limitato quantitativo di prodotto in gioco, venne condotta con alta diluizione della farina in aria.

L’attivazione della sequenza incidentale è dunque da ricercarsi nei seguenti due fattori concomitanti:

  • diluizione della polvere in ingresso che crea un’ATEX all’interno della tubazione;
  • collegamento non equipotenzializzato con la manichetta isolante.

Tali fattori determinano il primo innesco elettrostatico dell’ATEX all’interno della tubazione. L’esplosione si generò rapidamente e raggiunse la fariniera, trasformando la deflagrazione interna al trasporto pneumatico in un innesco ad alta energia per il contenimento della farina. Ebbe luogo, a questo punto, la prima vera esplosione primaria in capo alla fariniera. Esplosione che rilasciò energie molto elevate, anche a causa dell’innesco ad alta energia e dell’assenza di misure adeguate di protezione contro l’esplosione del contenimento.

Come conseguenza dell’esplosione primaria, si verificano tutta una serie di esplosioni secondarie che si propagano sia lungo il vano montacarichi il quale, attraversando tutti i piani del molino, trasferì le esplosioni a tutti i piani del molino, sia verso l’alto provocando la distruzione del tetto e di parte delle strutture murarie con particolare riferimento alla parte superiore dell’edificio.

Le esplosioni propagatesi nel vano montacarichi determinano anche il cedimento delle cerniere delle strutture di sostegno dei plansichter che precipitano al suolo provocando il crollo totale dei macchinari presenti nella zona dell’azienda definita “B”.

Le esplosioni secondarie si propagano, inoltre ai locali magazzino sacchi. A questi scenari di incidente si aggiunga che il rilievo dei periti evidenziò la presenza, sulla tubazione di carico, di flange deformate che certamente contribuirono anch’esse a propagare l’esplosione originata nel tubo di carico.

A seguito delle esplosioni primaria e secondarie si sviluppò un incendio generalizzato che proseguì per alcuni giorni.

Nel marzo del 2010 il Tribunale di Cuneo condannò, in primo grado, l’amministratore delegato a otto anni di reclusione per omicidio colposo plurimo, crollo colposo e omissione dolosa di cautele antinfortunistiche mentre il presidente, nonché fondatore dello stabilimento, venne condannato a 4 anni di reclusione per omicidio colposo.

(Post pubblicato originariamente su Postilla.it il 16/7/2013)

© Marzio Marigo

Share

Incidenti sul lavoro o cigni neri?

Nassim Nicholas Taleb, nel suo  libro, pubblicato in prima edizione nel 2007, postula che il nostro vivere quotidiano sia potenzialmente costellato da accadimenti imprevisti, imprevedibili e dotati di danno inaudito. Egli li chiama Cigni Neri.
I Cigni Neri sono dunque eventi in grado di modificare irreversibilmente la vita delle persone e risultano, a parere di Taleb, difficili da prevedere. Le cause degli stessi sono individuabili solo con il “senno di poi”, ponendoci all’esterno dell’evento stesso e contemplandone i prodromi solo alla luce delle conseguenze che essi hanno manifestato.
Possiamo includere tutti gli infortuni sul lavoro nella categoria dei Cigni Neri? Probabilmente no, nella maggior parte dei casi. Pur non essendo escludibile a priori che un incidente determini un infortunio al suo primo manifestarsi, risulta tuttavia poco probabile, per le ragioni che vedremo. In generale, infatti, l’infortunio si può manifestare in seguito a ripetute azioni inidonee e/o imprudenti in date condizioni di rischio. Inviare sms in auto mentre si guida probabilmente non genererà un incidente stradale al primo “invio”.  Ma tale comportamento, se protratto nel tempo determinerà, prima o poi, un esito catastrofico.
Nell’ambito della sicurezza dei luoghi di lavoro, si può essere quindi parzialmente d’accordo con l’economista americano di origine libanese. Una buona maggioranza di infortuni sul lavoro risultano infatti anticipati da incidenti che nella maggior parte dei casi non causano infortuni a persone o danni a cose.
A questo aggiungiamo che non sempre tutto ciò che può accadere risulta prevedibile a priori. Infatti, non tutti gli scenari incidentali possibili risultano anche credibili e non sempre l’analista e/o il datore di lavoro, impegnati nelle valutazioni del rischio preventive, riescono ad analizzare tutte le articolazioni possibili di tale scenario. Le risorse per l’analisi sono finite mentre gli scenari incidentali possibili risultano tecnicamente illimitati. Dow Chemical Company, a questo proposito, fornisce i seguenti criteri per “scremare” gli scenari di rischio credibile (e quindi meritevoli di approfondimento di valutazione) dall’insieme degli scenari di incidente possibile:
1) Ogni singolo evento che possa ragionevolmente accadere è uno scenario credibile;
2) Scenari che necessitino, per manifestarsi, l’accadimento di due o più eventi totalmente indipendenti tra loro non sono credibili;
3) Scenari che necessitino, per manifestarsi, l’accadimento di più di due eventi in sequenza non sono scenari credibili;
4) Un guasto che si verifica mentre un dispositivo a funzionamento indipendente è in attesa di riparazione si può inquadrare come un guasto che accade durante il periodo dell’apertura dell’emergenza ed è quindi credibile. La mancanza di disponibilità del dispositivo non riparato è una condizione preesistente.
Il Cigno Nero può quindi apparire per un difetto di previsione connaturato alla natura stessa della metodologia di valutazione del rischio. Al di là del settore dei grandi rischi industriali, anche tutte le analisi e valutazioni del rischio condotte in applicazione del D.Lgs. n. 81/08 possiedono un certo grado di affidabilità, che non sarà tuttavia mai assoluta.
Sia l’analista sia il datore di lavoro (e le molte altre figure che partecipano al processo di analisi e valutazione dei rischi) fondano le loro valutazioni su previsioni simulazioni e non su divinazioni, come purtroppo alcune sentenze della magistratura, elaborate sulla scorta del “senno di poi”,  lascerebbero intendere. Non tutto è prevedibile e non tutto è prevenibile a priori.
L’adozione del “senno di poi” nelle indagini successive all’infortunio illumina invece l’evento incidentale da una prospettiva radicalmente differente rispetto a quella presente prima dell’evento stesso. Il “senno di poi” rende a posteriori credibili anche scenari di rischio che erano semplicemente possibili in fase di analisi preventiva.
La perturbazione introdotta dal “senno di poi” è rilevantissima dato che:
1)“il senno di poi” permette di guardare indietro, dall’esterno, la sequenza di eventi che hanno portato all’evento che già si conosce (perchè si è manifestato);
2)“il senno di poi” fornisce un accesso quasi illimitato alla vera natura della situazione che circonda le persone al momento dell’evento;
3)“il senno di poi” permette di individuare ciò che le persone non hanno fatto ma avrebbero potuto/dovuto fare.
Tale approccio induce una pericolosa equivalenza tra le cause e le relative conseguenze che, in molti casi, prima dell’evento incidentale risultano inconoscibili a chi le vive direttamente.

Un miglioramento dell’affidabilità delle metodologie di valutazione del rischio è permesso dall’analisi degli incidenti accaduti nel passato, siano essi stati causa o meno di infortunio o di danni materiali.
Osserviamo infatti che gli infortuni sul lavoro e la loro gravità risultano, in genere, correlati all’insieme degli incidenti che avvengono durante i normali cicli di produzione aziendale. Alcuni studi evidenziano e dimostrano questa nostra considerazione preliminare.
Il primo, e più citato, è stato pubblicato nel 1959 da William Heinrich; in esso si conclude che il rapporto tra gli incidenti che causano infortuni gravi/infortuni non gravi/nessuna lesione risulta pari a 1/29/300.
Più recentemente (1985) Bird, studiando 1,75 milioni di incidenti sul lavoro accaduti in Germania deduce che il rapporto tra incidenti che causano infortuni gravi/infortuni non gravi/danneggiamenti alla proprietà/nessuna conseguenza sono in relazione tra loro secondo il seguente rapporto: 1/10/30/600.
Pure l’HSE Britannico si è cimentato nella verifica delle conseguenze degli incidenti sul lavoro e queste sono le loro conclusioni: il rapporto tra infortuni invalidanti/infortuni minori/infortuni da primo soccorso/danni alla proprietà/nessuna conseguenza è pari a 1/3/50/80/400. A questo proposito l’HSE propone una sezione tematica molto interessante relativa al calcolo dei costi dovuti ad incidenti sul lavoro.
Le precedenti considerazioni ci spingono quindi a considerare sia l’incidente, sia l’infortunio grave, sia l’infortunio non grave, come eventi collegati tra loro. In particolare, al di là delle differenze numeriche presenti nei vari studi, possiamo assumere che nell’insieme complessivo degli incidenti che accadono sul luogo di lavoro, una grande parte non causerà danni significativi, una parte minore (1-10%) causerà infortuni reversibili ed una frazione molto limitata, inferiore all’1% può causare infortuni dalle conseguenze permanenti. Una possibile rappresentazione grafica di quanto detto è la seguente (cd. piramide di Heinrich), dove N1, N2 ed N3 rappresentano rispettivamente le percentuali relative agli infortuni invalidanti, infortuni temporanei ed incidenti privi di conseguenze.

Questa modalità di collegare tra loro gli eventi consente di concludere che solo una riduzione complessiva del numero degli incidenti permette una reale limitazione del tasso infortunistico aziendale. A questo fine si rende pertanto indispensabile un’analisi post incidentale non limitata ai soli eventi apicali (infortunio invalidante e temporaneo). Solo una riduzione del numero complessivo degli incidenti (attraverso misure di prevenzione e protezione) consente una complessiva riduzione degli eventi con coinvolgimento dei lavoratori. A questo proposito, l’art. 4.5.3 della norma gestionale OHSAS 18001 prevede che l’organizzazione stabilisca, attui e mantenga attiva una procedura per registare, investigare ed analizzare gli incidenti accaduti nel luogo di lavoro. Le azioni correttive conseguenti contribuiranno a limitare gli eventi posti alla base degli infortuni sul lavoro.
Le modalità di indagine dovranno tuttavia essere il più possibile svincolate dall’approccio perturbante del “senno di poi”.
Concludendo, la risposta alla domanda: “l’infortunio sul lavoro è sempre un Cigno Nero?” è no, nella maggior parte dei casi. Le cause che portano all’infortunio sono infatti prevenibili attraverso una metodologia di valutazione affidabile ed, in ogni caso, risultano già scritte all’interno degli incidenti che non hanno generato lesioni ai lavoratori. Un’accurata indagine su tutti gli incidenti può consentire una reale e stabile riduzione del tasso infortunistico aziendale.
Tuttavia il Cigno Nero può purtroppo manifestarsi insinuandosi negli scenari di rischio possibili ma non credibili oppure generando l’infortunio al primo atto imprudente compiuto dal lavoratore.

(Post pubblicato originariamente su Postilla.it il 27/9/2010)

© Marzio Marigo

Share