Propongo, con questo intervento, una riflessione su un argomento spesso trascurato e riguardante la relazione tra la sicurezza funzionale e il rischio di esplosione.
Un aspetto particolarmente innovativo presente nella nuova norma di classificazione CEI EN 60079-10-1:2016 (entrata definitivamente in vigore ad ottobre 2018) è legato all’introduzione del concetto di riduzione del rischio ALARP (tanto basso quanto ragionevolmente praticabile, As Low As Reasonably Practicable) in relazione alla possibilità che l’eliminazione dell’ATEX[1] e/o delle sorgenti di accensione non risulti tecnicamente praticabile. Tale concetto, diffusamente presente in ambito anglosassone, appare sostanzialmente assente nel contesto prevenzionistico italiano . Anche laddove le tecniche di valutazione del rischio sono più sviluppate, come per l’applicazione della Direttiva Seveso III (D.Lgs. n. 105/2015), ci si ferma sempre “un po’ prima”, calcolando sia le frequenze dei vari TOP EVENT sia simulando gli effetti prevedibili di rilascio senza combinare linearmente, però, i due parametri. A questo proposito l’articolo 5.1 della Ed. 2 della EN 60079-10-1 specifica che i sistemi di controllo progettati e installati conformemente a standard relativi la sicurezza funzionale (es. IEC 61508, IEC 61511, IEC 62061, IEC 60079-29-3) possono ridurre la potenzialità di una sorgente di emissione e/o la quantità del relativo rilascio (es. controlli di sequenza in cicli batch, sistemi di inertizzazione).
Dove applicabili, le Funzioni Strumentate di Sicurezza (SIF) connesse a Sistemi Strumentati di Sicurezza (SIS) possono essere considerate nella classificazione delle aree pericolose. A questo riguardo si ricorda che un SIS è composto da almeno tre elementi:
- sensore: rileva un potenziale pericolo e produce un segnale elettrico che viene inviato ad un solutore logico. Esempi di sensori sono i trasmettitori di pressione, i trasmettitori di livello, i misuratori di temperatura ecc;
- solutore logico: rileva il segnale elettrico che supera una determinata soglia e invia un segnale agli elementi finali. I solutori logici possono essere computer, controllori elettronici programmabili (PLC) e circuiti relè;
- elemento finale: svolge la funzione di sicurezza. Esempi di elementi finali sono le valvole di arresto, gli interruttori automatici, i motori, i ventilatori ecc.
Una SIF è una funzione che “fa qualcosa” a seguito della rilevazione sopra/sottosoglia del parametro di processo monitorato (es. intercettazione di valvole di interblocco, disalimentazione utenze elettriche e/o fluidiche, attivazione di sistemi di ventilazione di emergenza, ecc.). I tre sottosistemi devono peraltro agire di concerto per individuare la deviazione (cioè la domanda) e portare l’Apparecchio Sotto Controllo (EUC) in uno stato sicuro. In breve, le SIF associate al SIS:
INDIVIDUANO -> REAGISCONO -> SCONGIURANO
Si riportano di seguito alcuni esempi di SIF in ambito ATEX:
- sistemi di controllo della ventilazione artificiale generale (VAG);
- sistemi di controllo della ventilazione artificiale locale (VAL);
- sistemi controllo del flussaggio di gas inerte in impianti di processo operanti con fluidi infiammabili;
- sistemi di controllo del purgaggio con gas inerte in impianti di processo operanti con fluidi infiammabili;
- sistemi di controllo di livello alto-alto in serbatoi contenenti fluidi infiammabili;
- sistemi di controllo di livello alto-alto in silos di contenimento polveri combustibili;
- ambienti con controllo di esplodibilità dell’atmosfera;
- ambienti con controllo di temperatura dell’atmosfera;
- sistemi di monitoraggio delle tenute d’albero in pompe centrifughe dedicate al trasferimento di liquidi infiammabili;
A titolo illustrativo si riepilogano (adattate) le prescrizioni contenute nell’articolo 8 della guida CEN TR 15281 (Guida all’inertizzazione per la prevenzione delle esplosioni). Tale articolo dettaglia le specifiche di affidabilità richieste ai sistemi di inertizzazione. In particolare la definizione dei requisiti per i SIS destinati al presidio di sistemi di inertizzazione presuppone le seguenti fasi:
- definizione delle strategie di sicurezza per le apparecchiature inertizzate. Ciò può comportare l’utilizzo dell’inertizzazione per modificare la probabilità di formazione di ATEX;
- identificazione sistemi strumentati di sicurezza (SIS) distinti dai sistema di controllo di processo base (BPCS[2]) secondo le definizioni contenute nelle norme da IEC 61508-1 a IEC 61508-3;
- conformità dei SIS ai Requisiti Essenziali di Sicurezza (RES) della direttiva europea 2014/34/UE nonché essere oggetto di una specifica valutazione di conformità;
- effettuazione della valutazione dei rischi conformemente alla norma IEC 61508-1 alla IEC 61508-3 o ad una norma di sicurezza equivalente o superiore. I SIS dovranno essere conformi alla IEC 61511-1 alla IEC 61511-3 o ad una norma di sicurezza equivalente (o a maggiore sicurezza).
Il dimensionamento del livello di integrità di sicurezza (SIL) delle varie funzioni strumentate di sicurezza (SIF) relative al SIS dovrà partire necessariamente, nella logica ALARP, dall’identificazione dei confini tra “tollerabilità” e “tollerabilità generalizzata” del rischio in ambito ATEX. Tale parametro è calcolabile adottando una definizione di rischio e determinando numericamente i parametri critici in essa contenuti.
— — —
A margine della riflessione complessiva più sopra esposta, si rileva che a seguito dell’abrogazione della linea guida CEI 31-35:2012 si apre la grande partita sul valore aggiunto da dare (ora) all’installazione di sistemi di controllo dell’esplodibilità in luoghi classificati a rischio di esplosione. L’art. 7 della CEI 31-35:2012 consentiva, infatti, la parziale declassificazione del campo lontano ATEX in presenza di tali sistemi.
“Consentiva di declassificare”
AND
“Prima dell’abrogazione”
⇒ E ora? ⇐
— — —
[1] ATEX: Atmosfera Esplosiva
[2] BPCS: Basic Process Control System