Uno su mille ce la fa? O uno su un milione?

Nell’ambito della valutazione d’affidabilità dei sistemi tecnologici è consuetudine procedere al calcolo della probabilità di accadimento di un dato evento incidentale.

Tale parametro viene chiamato frequenza del TOP EVENT, dell’evento apicale.

Questo calcolo viene condotto attraverso la costruzioni di connessioni logiche le quali, confluendo via via, portano all’elaborazione di un albero (al contrario), che viene chiamato, appunto, “albero di guasto” (Fault Tree per riprendere la terminologia anglosassone).

La forma è più o meno quella che si vede nella figura seguente [Fault Tree del disastro del 16 marzo 1978 che coinvolse la petroliera Amoco Cadiz. Si noti come, qualitativamente, un’anomalia banale (rottura di tubazione), posta alla base dello schema, ebbe la possibilità di propagarsi progressivamente fino al TOP EVENT a causa dell’esclusiva presenza di porte logiche OR, bypassando tutti i sistemi di sicurezza e rendendo, così, la nave ingovernabile. La presenza anche di una sola porta logica AND nel percorso, cioè un azionamento/controllo ridondato, avrebbe impedito l’evento].

Visivamente, lo schema, ricorda le radici più che la chioma di un albero. Sarebbe più corretto, quindi, chiamare la metodologia “Radici dell’albero di guasto”?

Probabilmente NO perché, se è vero che visivamente la costruzione appare come una chioma messa a testa in giù, la sua costruzione parte dall’evento che si vuole studiare (TOP EVENT) e, via via (in modo deduttivo e cartesiano), vengono individuate prima le cause prossimali e successivamente quelle remote, correlandole tra loro da relazioni logiche ereditate dall’algebra booleana. Si costruiscono e disegnano così i rami dell’albero.

Insomma albero e non radici, ok?

Ce ne sarebbe da dire su questa metodica, sia sul COME dovrebbe essere applicata sia specificandone i LIMITI che possiede (parecchi. Per esempio connessi al fatto che non possediamo -spesso- adeguata affidabilità negli input, non è detto che il tasso sia costante, non si tiene conto della dispersione dei dati ma della sola media(na), possono essere presenti fenomeni “emergenti” che si palesano solo ad incidente avviato e che non vengono per questo computati nell’albero. Senza poi contare le cause di guasto comune, la forte variabilità nella costruzione dell’albero da parte di gruppi di lavoro differenti applicati al medesimo problema, il pressoché assente utilizzo dell’INHIBIT GATE… and so on).

Lo scopo di questo post è tuttavia un altro: una volta determinata la probabilità di accadimento, con cosa la confronto? Qual è, cioè, il limite di probabilità che possiamo ritenere sufficientemente remoto?

La risposta è spesso concorde: 10^-6 eventi/anno.

Una probabilità di accadimento non superiore ad un evento su un milione (all’anno).

Quello che abbiamo ora incontrato è uno dei grandi “dogmi” nelle valutazioni d’affidabilità dei sistemi complessi.

Il dieci alla meno sei.

Qualcuno, un po’ di tempo fa, lo definì “mito” e non riuscì a darsi una compiuta giustificazione dell’adozione così estesa di tale parametro numerico.

Moltissimi tuttavia sono i riferimenti in questo campo e sterminata la letteratura scientifica e tecnica che dettaglia i motivi di questa assunzione [Nota: si, il parametro vale anche nel multiverso ATEX].

Ma siamo di fronte ad una macchinetta del caffè virtuale e questo non è un articolo per “Nature”. Eviterei quindi le citazioni.

Personalmente, riesco a raffigurarmi questa probabilità facendo il seguente ragionamento (non è mio. L’ho rubato ad un convegno dell’Ing. Edoardo Galatola).

Considerando i valori medi degli ultimi venticinque anni in Italia si possono calcolare una media di 100 morti/anno per terremoti, 30 per alluvioni, 20 per fulminazioni e 40 per punture insetti/morsi animali, per una frequenza totale pari a 3,3E-6 decessi/anno

Rapportando il numero di decessi annuo al numero totale di abitanti ecco che spunta quindi il 10^-6 che rappresenta, quindi, la misura della mortalità, per soli eventi naturali, vivendo  “semplicemente” nel territorio italiano. 

Un rischio non eliminabile: vivere in un dato luogo (ok, ci sarebbe da discutere della nostra straordinaria vulnerabilità sismica e idrogeologica ma, insomma, ci siamo capiti).

Esiste peraltro, sempre in termini di quantificazione di rischi con probabilità di accadimento trascurabile, il riferimento autorevole dato da Émile Borel, un matematico e statistico francese vissuto a cavallo tra ‘800 e ‘900. Egli asseriva, nel suo testo “Probabilities and Life”[1] del 1962 (originalmente pubblicato in francese nel 1943) che:

• le probabilità trascurabili su scala umana sono inferiori a 10^-6;
• le probabilità trascurabili su scala terrestre sono inferiori 10^-15;
• le probabilità trascurabili su scala cosmica sono inferiori a 10^-50.

In altri termini Borel asseriva, nelle prime pagine del suo piccolo manuale, che una probabilità inferiore a 10^-6 eventi/anno dovrebbe essere trascurata poiché risulterebbe talmente improbabile che, nel corso di una intera vita, non dovremmo avere la possibilità statistica di sperimentarla.

Chiuderei qui.

Per il momento.

Alla prossima!

Marzio

© Marzio Marigo

[1] Il testo di Borel venne poi preso quale riferimento per molte delle affermazioni “Creazioniste” volte a contestare le evidenze portate da Darwin sull’origine delle specie. Lascerei perdere… 😐