Mi sono persuaso, ormai da molti anni, che una “buona” valutazione di rischio debba necessariamente partire dall’individuazione degli scenari pericolosi connessi all’attività indagata. Necessita, quindi, non già della rilevazione, identificazione e valutazione puntuale di una o più non conformità in termini di sicurezza bensì di un quadro complessivo d’insieme nel quale tali anomalie interagiscono e lavorano generando a loro volta “eventi”. Ritengo ci si debba, cioè, concretamente calare nella realtà di stabilimento pensando a tutto quello che può ragionevolmente “andar storto” avendo sempre chiaro in mente il contesto e le dinamiche complessive dell’ambiente nel quale ci si trova.
Una valutazione per scenari di rischio, quindi.
Sono molti i motivi che mi hanno fatto giungere a questa conclusione e, magari, un giorno ne darò conto.
CREDIBILITÀ VS. POSSIBILITÀ
Partendo dall’assunzione appena esposta ci si troverà, conseguentemente, a dover gestire un’infinita-infinità di possibili concatenazioni che possono condurre all’evento apicale (=incidente).
Come orientarsi?
In questo caso la risposta si fonda sulla distinzione tra scenari di rischio “astrattamente possibili” e configurazioni d’eventi più “concretamente credibili”.
Ricorrendo ad un parallelismo automobilistico è possibile, per esempio, che l’automezzo ci lasci a piedi perché[1]:
si rimane senza carburante (1)
AND
si guasta il circuito di raffreddamento motore (2)
AND
cede la cinghia di distribuzione (3)
AND
esplode, per falso positivo, l’airbag del guidatore (4)
AND
un meteorite colpisce il parabrezza (5)
AND
(…)
Tutti accadimenti contemporanei.
Tuttavia, poiché la probabilità che tutto si verifichi simultaneamente è data dalla produttoria delle frequenze relative ai singoli modi di guasto, a meno di cause di guasto comuni, risulta molto (molto) più probabile che l’auto ci abbandoni in corsia di emergenza in autostrada a causa di solo uno tra i guasti elencati. E quindi[2]:
(1) OR (2) OR (3) OR (4) OR (5) OR (…)
Il primo insieme di eventi (e i suoi sottoinsiemi) li classificheremo come scenari possibili mentre le evenienze del secondo insieme verranno battezzate scenari credibili.
Gli scenari possibili sono di gran lunga più numerosi degli scenari credibili.
Quest’ultima considerazione non è certo trascurabile nel momento in cui ci viene posto in capo un incarico di consulenza per la valutazione del rischio. Le risorse economiche messe a disposizione sono infatti “finite” così come lo è il tempo e non possiamo condurre valutazioni di rischio che portino a spasso noi e la nostra committenza per decenni valutando migliaia e migliaia di combinazioni di scenari differenti.
Credo convengano tutti su questo, giusto?
Incidentalmente (!) il fine ultimo della valutazione dei rischi non è la “valutazione” in quanto tale ma l’individuazione “(delle) adeguate misure di prevenzione e di protezione e (…) il programma delle misure atte a garantire il miglioramento nel tempo dei livelli di salute e sicurezza” (cfr. Art. 2, c. 1, lett. q, D.Lgs. n. 81/2008)[3].
Ci siamo, quindi, sulla distinzione tra possibilità e credibilità di un dato accadimento? Gli eventi credibili sono, in prima ipotesi, solo un sottoinsieme minimo del totale degli accadimenti possibili.
Ritornando più pragmaticamente alla sicurezza industriale, nel corso degli anni sono state ideate metodologie utili a “separare il grano dal loglio” (HAZOP, FMEA, LOPA, ETA, FTA. Molte altre). Le grandi filiere industriali, che da sempre si trovano a dover gestire il tema del rischio incidentale con a disposizione le risorse economiche per approfondire tali specifiche tematiche (chimica, aeronautica, nucleare, automotive, solo per citarne alcune), hanno risposto in forme e modi differenti a questo tema. Ciò che nondimeno colpisce è il nucleo di base delle valutazioni: sempre il medesimo a prescindere dal settore e finalizzato a fornire i criteri per filtrare tutto quello che è astrattamente possibile da ciò che è invece concretamente credibile.
Ovviamente a monte dell’evento.
A valle, con l’intero albero degli eventi completamente sviluppato, “son buoni tutti” a fare gli esperti di rischio[4].
A dire il vero: “quasi tutti”.
Anzi, pensandoci bene: “molto pochi”[5].
E qual è dunque questo “filtro”? Cito, a fini esemplificativi, quanto riportato dal Perry’s[6] sull’argomento:
“Una guida suggerita per valutare la credibilità in funzione del numero e della frequenza di eventi causali indipendenti è la seguente:
- ogni singolo guasto è credibile
- due o più guasti contemporanei non sono credibili
- due eventi in sequenza sono credibili
- tre o più eventi in sequenza non sono credibili”
Detto questo i più attenti tra i pochi lettori residui si saranno accorti di una grave mancanza: la fondazione della nostra mirabile (?) trattazione appoggia presupposti traballanti. Non abbiamo infatti specificato cosa sia un guasto e nemmeno se questo sia rilevabile oppure no.
GUASTI, AVARIE E DOVE TROVARLI
Facciamo un esempio, ritornando alla nostra automobile un po’ sfortunata.
Immaginiamo che questa possieda una pompa del carburante un po’ “sifolina”. Questa, un po’ deteriorata, fornisce una prevalenza inferiore a quella di progetto. A serbatoio pieno, e quindi con un alto battente liquido nel serbatoio, l’automobile funziona. Poi, al diminuire del livello del gasolio, diminuisce la pressione in ingresso della pompa e magari, pur con serbatoio pieno a metà, l’auto si ferma per mancanza di alimentazione del carburante. La pompa da sola non ce la fa a trasferire il gasolio al motore.
Quanto descritto è un guasto? In fondo la funzione primaria dell’auto è preservata a serbatoio pieno e almeno fino a metà riempimento.
Oppure il guasto è definibile a partire dall’istante in cui la pompa comincia a manifestare i primi problemi, magari in accelerazione e frenata con il livello di battente “ballerino”.
Oppure, infine, è guasto solo quando la pompa si arresta del tutto?
Insomma, abbiamo compreso che forse il problema della valutazione del rischio è più complesso della già complicata combinatoria tra guasti poiché è necessario definire:
- Cos’è un guasto: ovvero del B/N o della scala di grigi. Il guasto di una funzione (es. funzionamento dell’encoder di un centro di lavoro, di un ventilatore, di un cuscinetto) è schematizzabile in bianco (=funzionante) o nero (=guasto) oppure esiste una scala di grigi che porta ogni singolo nodo funzionale dalle condizioni operative di progetto alle condizioni di guasto in un tempo dato? Un transiente di guasto?
- Com’è possibile intercettarlo: ovvero del guasto occulto o palese. Mi accorgo di un airbag in avaria probabilmente solo in caso di incidente. Non funziona quando dovrebbe funzionare. Il guasto rimane occulto fino a quando non lo scopro: troppo tardi, tuttavia. Esistono poi guasti palesi: mi accorgo subito di un fanale anteriore che si guasta. L’intercettabilità del guasto, quindi, è in stretta relazione alla presenza di guasti palesi oppure occulti. In genere i primi sono legati a funzioni di processo regolarmente monitorate mentre i secondi si correlano ai sistemi di protezione (rilevatori fire&gas, arresti di emergenza, ecc.)[7]
- A che livello si manifesta il guasto: ovvero della gerarchia tra avarie. Ogni macchina possiede una funzione primaria (es. tornire lunghezze da x a X con diametri da d a D a velocità di taglio da v a V). Se qualcuno di noi ha dimestichezza con la direttiva macchine, la funzione primaria è, in genere, la funzione ben determinata prevista dalla direttiva 2006/42/CE in fondo, no? Ma a fronte di una data funzione primaria esisteranno una miriade di funzioni secondarie attuate dai componenti o dai sottoinsiemi della macchina medesima. Per poter eseguire correttamente le operazioni di tornitura previste dalla funzione primaria, i cuscinetti, le viti a ricircolazione di sfere, i motori elettrici, l’attuazione pneumatica, l’encoder, la memoria degli zeri macchina e pezzo e, davvero, moltissimo altro deve funzionare entro i parametri di progetto. Di più: una macchina si guasta non al livello della funzione primaria bensì a causa del malfunzionamento di funzioni meno appariscenti (secondarie, terziarie, ecc.).
- Quali sono gli avvertimenti di un guasto incipiente: ovvero dei segnali deboli. L’idea che una qualsiasi attrezzatura possa guastarsi senza preavviso, di schianto, appartiene più al mondo umanistico (o elettronico) che all’universo tecnico/meccanico/chimico, insomma, di processo. Qualsiasi componente, dal più insignificante al più critico, prima di guastarsi emette quelli che vengono chiamati “segnali deboli”. Il cedimento di una assile ferroviario, il guasto di un cuscinetto volvente, una pompa centrifuga che perde prevalenza (potrei continuare per un bel po’) emettono preavvisi anche molto prima che avvenga il guasto. È sufficiente stare ad ascoltarli. In genere le piccole dispersioni di energia connesse al periodo di pre-failure si presentano, per esempio, con alterazioni nel tempo della firma vibrazionale di un ventilatore oppure con modifiche nel tempo della termografia all’infrarosso in una centralina oleodinamica oppure, ancora, con anomalie magnetoscopiche nell’assile in un tram oppure, infine, con piccole perdite da tenute su recipienti a pressione che possono preannunciare rilasci più consistenti. E molto altro. Moltissimo altro. L’intervallo di incubazione del guasto viene definito P-F Interval (intervallo di pre-guasto).
Molto altro ci sarebbe da dire sulla “tassonomia linneana” dei guasti. Mi fermo però qui.
Riepiloghiamo: per valutare i rischi è necessario stabilire quali siano gli scenari pericolosi che si devono indagare. Tali scenari sono articolati a partire dalla multiforme fenomenologia dei guasti correlati alla macchina e/o attrezzatura di lavoro e/o impianto.
Ed ora la domanda delle cento pistole: è pensabile svolgere attività di valutazione dei rischi senza considerare le barriere tecniche che vengono poste per arginare i guasti? In altri termini:
possiamo condurre analisi di rischio affidabili senza conoscere quale sia la politica di manutenzione preventiva presente nel sito di produzione oggetto delle nostre attenzioni?
Risposta: NO (stentoreo).
Se pongo dei limiti alla credibilità degli scenari di incidente limitandoli all’accadimento del primo guasto non posso chiudere gli occhi sulla metodologia con la quale il sistema organizzativo previene, intercetta e gestisce il guasto medesimo.
MANUTENZIONE E MODERNITÀ
Se non esiste una politica di manutenzione preventiva in grado, almeno, di intercettare il primo guasto ogni scenario possibile diventa credibile. Anche quelli che prevedono, perché abbia luogo l’incidente, l’accadimento di “enne” guasti in sequenza. Con la conseguenza di avere una quantità illimitata di traiettorie che possono portare all’evento incidentale. Le politiche di manutenzione basate su approcci di tipo correttivo (=fai funzionare fino a quando si guasta), tipiche degli anni ’50, sono purtroppo ancora ben presenti nel nostro panorama produttivo (vedi figura seguente tratta da: Basson, 2019[8]).
La moderna sicurezza di macchine, impianti ed attrezzature NON PUO’ essere disgiunta da uno specifico piano di manutenzione preventiva.
La sicurezza degli impianti, delle macchine e dei luoghi di lavoro dipende dalla manutenzione preventiva.
E implementare politiche di manutenzione preventiva si traduce in sicurezza sul lavoro.
Giunti a questo punto ci si potrebbe chiedere se sia indispensabile “proteggere” gli impianti, tutti gli impianti, con politiche di manutenzione preventiva di tipo gesuitico.
Risposta: NO (ancora stentoreo)
Anche in questo caso serve una specifica analisi che identifichi ciò che è critico per l’azienda (sicurezza, ambiente, produzione) da ciò che non lo è.
Affare complicato: magari ne parleremo in un’altra occasione.
CONCLUSIONI (PROVVISORIE, PARZIALI, INCOMPLETE)
La metodologia di valutazione del rischio per scenario è un potente strumento di analisi poiché, agganciandosi a consolidati procedimenti affinati nel corso dei decenni nei più svariati settori industriali, permette di dar corso allo studio del livello di sicurezza di attrezzature di lavoro, macchine, impianti nonché procedure e consuetudini di lavoro in ambienti a rischio (ATEX, incendio, chimico, spazi confinati, ecc.). Tutto, però, deve partire dalla chiara comprensione di cosa si intenda per scenario di incidente credibile e guasto potenziale. L’inestimabile valore aggiunto della metodica è l’affinazione, svolta necessariamente in contemporanea con l’analisi di rischio, della politica di manutenzione aziendale per lo specifico asset. Una valutazione del rischio che non comprenda l’identificazione degli strumenti indispensabili per mantenerne stabile il livello nel corso del tempo è destinata ad invecchiare in fretta. Troppo in fretta.
Un po’ come le foto polaroid del nostro recente passato: immagini catturate e sviluppate in velocità ma destinate presto a scolorirsi. E svanire.
—
A gennaio 2021 lo Studio Marigo organizza il seguente workshop online, nel quale si discuterà anche dell’importanza della manutenzione nei luoghi a rischio di esplosione.
RISCHIO ATMOSFERE ESPLOSIVE ATEX: WORKSHOP 2022, IV EDIZIONE [8 ORE, 27÷28 gennaio 2022]
I posti sono limitati.
Se vuoi saperne di più clicca QUI.
—
[1] Chiamiamolo primo insieme di eventi
[2] Chiamiamolo secondo insieme di eventi
[3] Si ricorda, in ogni caso, che la mancata elaborazione del documento di valutazione dei rischi comporta la sospensione dell’attività imprenditoriale.
[4] “del senno di poi ne son piene le fosse”. Alessandro Manzoni. I promessi sposi. Capitolo XXIV
[5] La sensazione, spesso, è che a valle di un incidente si identifichino cause che diventano tali solo posteriormente all’evento stesso. Cause che non sono cause, insomma.
[6] Green, D. W., & Perry, R. H. (2008). Perry’s chemical engineers’ handbook. McGraw-Hill Education.
[7] Certamente esiste il concetto definito “copertura diagnostica” nell’ambito applicativo delle norme IEC 61511 e ISO 13849-1, per esempio. Questo post, tuttavia, vuole avere una valenza più generale.
[8] Basson M. (2019). RCM3: Risk-Based Reliability Centered Maintenance. Industrial Press.