Analisi di Sicurezza di Apparecchiature
ed Impianti in Pressione
Analisi di Sicurezza - Introduzione
In relazione alle apparecchiature in pressione per sistemi di prevenzione si intendono ad
esempio i dispositivi di controllo e regolazione, allarme, blocco e le soluzioni progettuali
finalizzate a prevenire il verificarsi di un’anomalia.
Per sistemi di protezione si intendono i dispositivi che intervengono una volta che
l’anomalia si è gia verificata e che hanno la funzione di limitare le conseguenze e riportare
i parametri di funzionamento nelle normali condizioni di processo.
Analisi di Sicurezza & Normativa
Vecchio Approccio (DM 21.11.72 – DM 21.5.74 – DM 1.12.75)
Per la fase di esercizio relativa agli apparecchi a pressione (di gas, vapori o miscele) deve
essere redatta una relazione tecnica (relazione di primo impianto) che ha lo scopo di
dimostrare che le condizioni di esercizio degli apparecchi in esame ed i relativi dispositivi
di controllo/regolazione e di protezione sono confomi alle norme (ossia sono idonei a
mantenere i parametri di esercizio nei limiti di processo, evitando che si creino le
condizioni che possono portare ad un incidente, Raccolta E – E1B5).
La relazione deve contenere, inoltre, il programma dei controlli atti a giustificare
l’affidabilità dei dispositivi nel periodo tra due verifiche successive.
L’obbligo della relazione impone di fatto la necessità di una prima analisi di sicurezza
dell’impianto affidata all’utente o al progettista.
Analisi di Sicurezza & Normativa
Nuovo Approccio (Direttiva 97/23/CE – PED)
Il fabbricante dell’attrezzatura ha preliminarmente l’obbligo di analizzare i rischi per
individuare quelli connessi con la sua attrezzatura a causa della pressione e deve quindi
progettarla e costruirla tenendo conto della sua analisi (art.3).
La direttiva, impone i seguenti obblighi al fabbricante delle attrezzature:
ƒ Analizzare i rischi ed identificare quelli applicabili alla propria attrezzatura;
ƒ Eliminare o ridurre questi rischi;
ƒ Applicare misure di protezione riguardo i rischi che non possono essere eliminati;
ƒ Informare l’utilizzatore dell’attrezzatura circa i rischi residui;
ƒ Ove sia prevedibile un uso scorretto, l’attrezzatura in pressione deve essere
progettata in modo da eliminare i pericoli derivanti da tale uso.
Dispositivi di Protezione
Le apparecchiature (i.e. serbatoio, reattore chimico, generatore di vapore, etc.)
all’interno delle quali possano avvenire reazioni tali da produrre esplosioni
termiche o chimiche, con conseguenti rapidi aumenti di pressione, debbono
essere munite di dispositivi di sicurezza in modo da garantire che la pressione
e/o la temperatura non superi quella di progetto delle apparecchiature stesse o
dell’impianto.
Per ogni anomalia che può causare una sovrapressione all’interno di una o più
apparecchiature viene calcolata la portata di fluido da scaricare attraverso i
dispositivi di protezione (valvole di sicurezza, dischi a frattura prestabilita, etc)
affinchè
non
venga
superata
dell’apparecchiatura stessa.
la
pressione/temperatura
di
progetto
Dimensionamento dei dispositivi
Il dimensionamento dei dispositivi di sicurezza è strettamente connesso con la
disposizione impiantistica di cui l’apparecchiarura da proteggere fa parte e con le cause
che determinano l’intervento di detti dispositivi; queste cause possono essere le seguenti:
1. anomalie di esercizio: ossia per errori di manovra, disservizi dei controlli automatici
o dei meccanismi di regolazione automatica compresi i dispositivi di riduzione di
pressione con o senza by-pass, apporto di calore da sorgenti esterne non dovuto ad
incendio, etc.;
2. incendio esterno (di sostanze infiammabili, solide o liquide presenti nel locale di
installazione dell’apparecchio o nelle immediate vicinanze e presenti in quantità tali
da poter alimentare un’incendio).
Per il dimensionamento del dispositivo di sicurezza si assume, come valore di portata q, il
il maggiore tra quello relativo al caso riconducibile ad anomalie di esercizio
dell’apparecchio e quello calcolato per incendio esterno allo stesso.
Dispositivi di Sicurezza
PSV
pe
R. Disk
pi
Valvole di sicurezza (PSV)
corpo valvola
Le valvole di sicurezza (PSV) hanno lo scopo di
proteggere le membrature delle apparecchiature a
pressione da qualsiasi innalzamento anomalo della
pressione al di sopra della pressione massima
consentita (pressione di bollo delle membrature).
Hanno la funzione di scaricare il fluido contenuto
all’interno
dell’apparecchiatura
quando
viene
raggiunta una pressione max stabilita.
uscita fluido
ingresso fluido
Valvole di Sicurezza (PSV)
esempio di valvola a molla diretta
Una valvola di sicurezza è costituita da un
corpo metallico al cui interno è ricavato un
condotto che ha lo scopo di mettere in
comunicazione diretta con l’atmosfera la parte
in pressione del recipiente; questo condotto in
molla
esercizio è chiuso da un accessorio valvola
denominato «otturatore».
Le
valvole
di
sicurezza
sede
vengono
comunemente distinte, a seconda del sistema
con cui viene realizzato l’otturatore, in:
ƒ a peso diretto;
ƒ a peso e leva;
ƒ a molla diretta.
otturatore
Valvola a Molla Diretta
E’ il tipo di valvola di uso più comune.
In questo tipo di valvola il carico
sull’otturatore
è
dovuto
all’azione
asta
guidamolla
superiore
esercitata da una molla antagonista
(compressa tra una parte fissa e
molla
uscita
l’otturatore stesso).
Quando la forza dovuta alla pressione
otturatore
interna all’apparecchio da proteggere
supera la forza agente, per azione della
molla sull’otturatore, questo si alza e
permette la rapida fuoriuscita del fluido
contenuto nell’apparecchiatura.
ingresso fluido
PSV & Dimensionamento
Il dimensionamento di una valvola di sicurezza consiste fondamentalmente nella scelta
dell’area della sezione minima trasversale di entrata valvola.
Il metodi di calcolo utilizzabili sono diversi a seconda del fenomeno fisico che genera la
sovrapressione nell’apparecchiatura da proteggere.
Generalmente le valvole di sicurezza sono utilizzate per proteggere un’apparecchiatura da
sovrapressioni originate da fenomeni non chimici (surriscaldamenti, occlusioni della linea
di scarico, etc.), in questo caso per la non eccessiva rapidità del fenomeno è possibile
determinare “a priori” la portata che deve essere scaricata.
Il successivo dimensionamento della sezione trasversale di ingresso valvola è
relativamente semplice in quanto basato sull’applicazione delle equazioni che descrivono
l’efflusso di un fluido da un recipiente; si riportano di seguito le equazioni indicate nella
normativa italiana sull’esercizio degli apparecchi a pressione (DM 21.5.74 – Raccolta E)
PSV & Metodo di dimensionamento
Caso di miscele gassose o vapori
Occorre innanzitutto distinguere il caso di efflusso sonico o da quello subsonico del gas; il
primo caso si realizza quando il rapporto tra la pressione p1 nell’apparecchiatura durante
la fase di scarico della valvola e la contropressione p2 (pressione a valle del dispositivo) è
maggiore del valore critico:
⎛ p1 ⎞
⎡ k + 1⎤
⎜⎜
⎟⎟ = ⎢
⎥
⎝ p2 ⎠c ⎣ 2 ⎦
k
k −1
in cui k è l’esponente dell’equazione di espansione isentropica, calcolato alla pressione p1
ed alla temperatura del gas o vapore T1 nell’apparecchio.
...segue – PSV & Dimensionamento
Nel caso di efflusso sonico (di gas o vapore), la norma italiana sull’esercizio (DM 21.5.74 Raccolta E cap.E1D2) riporta la formulazione per la verifica della sezione minima
trasversale netta dell’entrata valvola:
A =
q
⋅
( 0 . 9 ⋅ K ) ⋅ (113 . 8 ⋅ C )
v1
p1
...segue – PSV & Dimensionamento
⎛
⎞
q
⎟⎟ ⋅
A = ⎜⎜
(
.
⋅
)
⋅
(
.
⋅
)
0
9
K
113
8
C
⎝
⎠
nella formula si considera:
v1
p1
ƒ A è l’area della sezione minima trasversale netta dell’ingresso valvola (cm2);
ƒ q è la portata ponderale massima da scaricare (kg/h);
ƒ K è il coefficiente di efflusso (è determinato sperimentalmente e certificato dal
costruttore della valvola – rappresenta il rapporto tra la portata di fluido effettiva/portata
teorica);
ƒ p1 rappresenta la pressione corrispondente alla massima portata q: è la pressione
nell’apparecchio protetto durante la fase di scarico - è espressa in (bar);
ƒ T1 è la temperatura del fluido all’ingresso della valvola durante la fase di scarico (in K);
ƒ v1 è il volume specifico del fluido (in m3/kg) alle condizioni di scarico p1 – T1;
ƒ C è il coefficiente di espansione:
C =
⎛ 2 ⎞
k ⋅⎜
⎟
+
k
1
⎝
⎠
⎛ k +1 ⎞
⎜
⎟
⎝ k −1 ⎠
(se il rapporto k è sconosciuto si assume k=1 → C=0,607).
...segue – PSV & Dimensionamento
Nel caso la pressione interna risulti inferiore al valore critico per lo scarico (di gas o
vapore) a velocità sonica, la portata di scarico è dipendente anche dalla contropressione a
valle della valvola (ossia la p2); in tal caso per il dimensionamento, la norma italiana,
raccomanda di utilizzare la medesima formulazione moltiplicata per un coefficiente di
sicurezza (>1), dichiarato dal costruttore della valvola stessa.
Per quel che riguarda le valvole destinate a scaricare liquidi (surriscaldati o non) il
dimensionamento viene effettuato dal costruttore della valvola (o dall’utente) tenendo
conto delle caratteristiche termodinamiche del fluido da scaricare.
...segue – PSV & Dimensionamento
Caso di incendio esterno
La normativa italiana, per i recipienti contenenti liquidi in equilibrio con la loro fase
gassosa il valore della portata q in caso di incendio, riporta la seguente formulazione:
0.82
F⋅S
q = 155.000 ⋅
L
nella formula si considera:
ƒ S la superficie esposta al fuoco del recipiente a contatto del liquido (in m2);
ƒ F fattore di isolamento termico ();
ƒ L il calore latente di vaporizzazione del liquido alla pressione dell’apparecchio p1
(kJ/kg).
...segue – PSV & Dimensionamento
0.82
...segue - Caso di incendio esterno
F⋅S
q = 155.000 ⋅
L
Per quel che riguarda la superficie esposta al fuoco S si deve considerare quella inclusa in
un’altezza di almeno 8 metri sopra ogni piano sul quale possono accumularsi le sostanze
infiammabili, o nel caso di sfere, quella compresa tra il piano precedente e la quota del
diametro orizzontale massimo oppure 8 metri (prendendo la maggiore tra le due).
Nella superficie S deve includersi, nel caso il serbatoio è installato a distanza inferiore a 7
metri da manufatti suscettibili di incendio, la porzione del recipiente esposto alla
radiazione termica.
...segue – PSV & Dimensionamento
F ⋅ S0.82
q = 155000 ⋅
L
...segue - Caso di incendio esterno
Il fattore di isolamento termico F () è funzione del coefficiente di trasmissione U della
coibentazione (W/m2°C):
ƒ per serbatoi nudi e U > 22 →
F=1;
ƒ per 11 < U ≤22
→
F=0,5
ƒ per U ≤ 11
→
F=0,3
Si ricorda che U=λ/s dove s (espresso in metri) rappresenta lo spessore dell’isolante e λ
(espresso W/m°C) è la conducibilità termica dello stesso.
In ogni caso l’isolante deve essere termicamente incombustibile.
Dischi di Rottura (RD)
Un disco di rottura (o dispositivo a frattura prestabilita)
è costituito da una membrana, generalmente, in
materiale metallico (Al, Ag, Fe, Ni, Ta, etc.)
in alcuni casi sono ricoperti di materiale plastico inerte
(i.e. teflon, resine, etc. quando vi sono problemi di
corrosione)
o materiali fragili quale grafite o porcellana (hanno
principalmente proprietà meccaniche indipendenti dalla
temperatura di funzionamento).
...segue - Dischi di Rottura (RD)
La membrana è trattenuta tra due flange che sono
connesse all’apparecchio da proteggere.
La scelta del materiale costituente il disco va fatta
tenendo conto della pressione di rottura richiesta, del
diametro del disco, della resistenza alla deformazione ed
alla corrosione, delle temperature di lavoro.
I dischi convenzionali sono del tipo piano o concavo
nella
direzione
dell’ambiente
da
proteggere
dalla
sovrapressione; essi lavorano in trazione e si rompono
automaticamente per cedimento del materiale quando la
pressione raggiunge un limite prefissato.
...segue - Dischi di Rottura (RD)
È utilizzato anche il tipo rovesciato (reverse buckling), sono
cioè convessi verso la zona da proteggere e lavorano a
compressione. La rottura avviene lungo apposite linee a
minor resistenza (incisi) o perchè opportunamente tagliati
da lame incorporate nel supporto; viene così realizzata la
rottura del materiale in regime elastico e non plastico.
Questi dischi sono maggiormente adatti per applicazioni
nelle quali il disco deve essere resistente a condizioni di
vuoto o a contropressioni generate nell’apparecchio da
proteggere.
Disco di Rottura (reverse)
Dischi di Rottura & Proprietà
I dischi di rottura sono utilizzati quando è necessaria la protezione contro rapidi
innalzamenti di pressione che possono verificarsi per esplosioni di gas o polveri o per
sviluppo incontrollato di una reazione esotermica.
Il disco di rottura può garantire che in tempi molto brevi (∝ millisecondi) si renda
disponibile una grande superficie di scarico in grado di proteggere in modo efficace
l’apparecchiatura interessata dalla sovrapressione di esercizio.
Il dischi di rottura non hanno meccanismi o parti mobili e quindi sono stagni sia sotto
pressione che sotto vuoto; necessitano di una minore manutenzione rispetto alle valvole.
Principale inconveniente dei dischi si presenta quando si ha la rottura, in quanto il
contenuto del recipiente sul quale è istallato si espande sino alla pressione atmosferica
(esterna) ed è parzialmente scaricato all’esterno; questo comporta la fermata dell’impianto
(per la sostituzione del disco) e l’emissione in atmosfera di prodotti che possono essere
combustibili/infiammabili o tossici.
Dischi di Rottura & Dimensionamento
Il dimensionamento dei dischi a rottura consiste nella determinazione dell’area di efflusso
e della pressione di frattura (ossia la pressione alla quale è prevista la rottura del
dispositivo). I metodi di calcolo utilizzabili sono diversi a seconda del fenomeno fisico che
genera la sovrapressione nell’apparecchiatura.
Anche per i dispositivi a frattura prestabilita vale la considerazione secondo la quale se la
sovrapressione all’interno dell’apparecchio è dovuta a fenomeni non chimici è piuttosto
semplice schematizzare il campo di moto generato dall’efflusso del fluido attraverso il
dispositivo e quindi la determinazione della portata che deve essere scaricata mediante il
dispositivo stesso.
Dischi di Rottura & Dimensionamento
Miscele Gassose
Occorre sempre distinguere il caso di efflusso sonico o da quello subsonico; il caso di
efflusso sonico, come visto, si ha quando il rapporto tra la pressione dell’apparecchiatura
da proteggere (che si suppone pari alla pressione di rottura del dispositivo pr) e la
contropressione (la pressione esterna pa) è maggiore del valore critico:
⎛ pr ⎞
⎡ k + 1⎤
⎜⎜
⎟⎟ = ⎢
⎥
⎝ pa ⎠ c ⎣ 2 ⎦
k
k −1
in cui k è l’esponente dell’equazione di espansione isentropica, calcolato alla pressione di
rottura pr ed alla temperatura del gas T nell’apparecchio.
...segue – R.D. & Dimensionamento
In condizioni di salto critico ossia di efflusso sonico (di solo gas), la norma
italiana sull’esercizio degli apparecchi a pressione (Raccolta E cap.E1D4)
riporta la seguente formulazione per il dimensionamento della sezione minima
trasversale netta del disco e dei condotti di ingresso e uscita in corrispondenza
del dispositivo a frattura prestabilita:
A =
q
⋅
0 . 62 ⋅ ( 394 . 9 ⋅ C ) ⋅ p1
Z ⋅T
M
...segue – R.D. & Dimensionamento
si considera:
⎞
⎛
q
⎟⎟ ⋅
A = ⎜⎜
0
.
62
394
.
9
C
p
1
⋅
⋅
⋅
⎠
⎝
Z ⋅T
M
•
A è l’area della sezione minima trasversale netta dell’orifizio (cm2);
•
q è la portata ponderale massima da scaricare (kg/h);
•
p1 rappresenta la pressione corrispondente alla massima portata q: è la pressione
nell’apparecchio protetto durante la fase di scarico (corrisponde a pr) - è espressa in
(bar);
•
T è la temperatura del gas a monte del disco durante la fase di scarico (K);
•
Z è il fattore di comprimibilità del fluido alla pressione p1-T1 (si assume uguale ad 1 se
non si conosce il valore effettivo);
•
M è il peso molecolare del gas (kg/kmol);
•
C è il coefficiente di efflusso o espansione:
⎛ 2 ⎞
C = k ⋅⎜
⎟
⎝ k +1⎠
(se il rapporto k è sconosciuto si assume k=1 → C=0,607).
⎛ k +1 ⎞
⎜
⎟
⎝ k −1 ⎠
...segue – R.D. & Dimensionamento
In caso di salto non critico la pressione risulta inferiore al valore critico pc (caso
di efflusso subsonico del gas), la portata di scarico è dipendente anche dalla
pressione a valle del disco (pa); in tal caso per il dimensionamento del disco, la
norma italiana citata, prescrive di utilizzare la medesima formulazione
moltiplicata per un coefficiente di sicurezza (>1), dichiarato dal costruttore del
dispositivo a frattura prestabilita che si è scelto di utilizzare.
Recipienti in Pressione
&
Tecniche di Analisi dei Rischi
PV & Tecniche di Analisi dei Rischi
Identificazione dei pericoli
ƒ FMEA/FMECA Failure Mode and Effects Analysis (& Criticality Analysis)
Stima delle probabilità di accadimento
ƒ FAULT TREE Albero dei Guasti (FTA)
PV & Tecniche di Analisi dei Rischi
FMEA/FMECA
Sono metodi di analisi di affidabilità intesi ad identificare i guasti di componenti o
dispositivi di sicurezza che hanno conseguenze significative sulla funzionalità del
sistema nella applicazione considerata.
Partendo dalle caratteristiche dei guasti degli elementi base del sistema (modi di
guasto) e dalla struttura del sistema, la FMEA determina gli effetti di tali modi di
guasto sulla funzionalità complessiva, la FMECA associa anche una valutazione
numerica di tali effetti (criticità).
Esempio di applicazione - FMEA
HLS
HLA
LIC
T1
Vr1
A
LLS
G
P1
B
Esempio di applicazione - FMEA
FMEA – Failure Mode & Effects Analysis
EFFETTI
COMPONENTE
MODO DI GUASTO
Mancata apertura
SUL COMPONENTE
Basso livello in T1
Cavitazione
P1
Valvola di
regolazione Mancata chiusura
Vr1
Perdita tenuta stelo
valvola
Mancata
alimentazione
sistema B
pompa
Alto livello in T1
DISPOSITIVI DI
PROTEZIONE
SUL SISTEMA
al
TOP
EVENT
TOP 2
Blocco pompa P1
TOP 3
per basso livello LLS
Tracimazione
bacino
contenimento
Blocco alto livello
HLS,
con
segnalazione
di
nel allarme HLA per
di intervento operatore. TOP 1
Rilevazione di vapori
infiammabili
nel
bacino
-------
Rilascio di liquido
Rilevazione di vapori
infiammabile
nel
infiammabili
nel TOP 1
bacino
di
bacino
contenimento
Analisi FMECA
impianto
impianto
serbatoio
serbatoio-accumulatore
accumulatoredidiv.v.
dispositivi
dispositivididi
alimentazione
alimentazione
generatore
generatoredidi
vapore
vaporen.1
n.1
dispositivi
dispositivididi
allarme
allarme
linee
lineediditrasporto
trasporto
dispositivi
dispositivididi
sicurezza
sicurezza
PSV
PSV
...Analisi FMECA
asta
Se si suppone di aver individuato tra i modi
principali di guasto gli eventi relativi:
- trafilamento di vapore (o mancata chiusura)
della valvola di sicurezza (PSV) installata sul
corpo del generatore di vapore;
- mancata apertura della valvola stessa.
Questi
eventi
hanno
conseguenze
otturatore
sulla
funzionalità dell’intero impianto o sistema....
ingresso fluido
...Analisi FMECA
PROBABILITÀ
Probabilità
Classe
Probabilità
(accadimento/anno)
Frequenza
0
Improbabile
P ≤ 10E-7
non ci sono eventi
1
Molto raro
10E-7 ≤ P ≤ 10E-5
evento
che
richiede
combinazione di eventi rari
10E-5 ≤ P ≤10E-3
evento che è occorso su un
equipaggiamento
avente
più
sicurezze
2
Raro
una
3
Possibile
10E-3 ≤ P ≤ 10E-1
evento occorrente da una volta
ogni mille anni a una volta ogni 10
anni
4
Frequente
P > 10E-1
evento occorrente più di una volta
ogni 10 anni
...Analisi FMECA
GRAVITÀ
Gravità
Lesione Fisica
Danno Ambientale
Danno alla Proprietà (ovvero alla
Produzione)
0
Nessuna
Nessun danno
Nessun danno alla proprietà (ovvero
alla produzione)
1
Lesione minore
Danno moderato senza
effetti sul lungo termine
Danno minore alla proprietà (ovvero
breve perdita di produzione)
Lesione importante
Danno grave sul quale è
possibile intervenire
Danno
maggiore
alla
proprietà/produzione (perdita della
produzione quantificabile in diversi
giorni)
3
Morte accidentale
Danno grave a lungo
termine (danno al sito ed
alle aree circostanti)
Danno
maggiore
proprietà/produzione
quantificabile in mesi)
4
Incidente maggiore
Disastro ecologico
Distruzione alla proprietà/agli impianti
(perdita totale della produzione)
2
alla
(perdita
...segue - Analisi FMECA (esempio PSV)
CRITICITÀ = Probabilità x Gravità
...Analisi FMECA
MATRICE DELLE CRITICITÀ
Gravità
0
1
2
3
4
0
04
14
24
34
44
1
03
13
23
33
43
2
02
12
22
32
42
3
01
11
21
31
41
4
00
10
20
30
40
Evento
area di
rischio basso
area di
rischio limite
area di rischio
non accettabile
...Analisi FMECA (esempio PSV)
Se si introduce un fattore "individuabilità" relativo al trafilamento ovvero alla mancata
apertura della PSV, definito come:
Individuabilità (I)
descrizione
tipologia di controllo o ispezione
1
molto facile
componente presidiato a distanza
durante l’esercizio/turno di lavoro
2
facile
è prevista l’ispezione ovvero il
controllo visivo dell’operatore durante
l’esercizio o turno
3
difficile
il componente non è presidiato nè
ispezionato in esercizio
4
molto difficile
il componente è disposto in posizione
o area non facilmente ispezionabile
...segue - Analisi FMECA (esempio PSV)
Risk Priority N. (RPN) = Criticità x Individuabilità
...Analisi FMECA
Funzione
Modo di Guasto
(solo alcuni)
CRITICITÀ
Cause
RPN
P
G
I
PSV Chiusa
Mancata chiusura
(o perdita per
trafilamento)
diverse
3
1
1
11
PSV Aperta
Mancata apertura
errore di
taratura
1
3
4
132
............
.............
............
...
...
..
....
Tecniche di Analisi dei Rischi
FTA (Fault Tree Analysis)
L’albero dei guasti è un diagramma logico delle interrelazioni tra gli eventi che coinvolgono i
singoli componenti (eventi primari) ed un evento finale del sistema (top event).
Definito l’evento finale di interesse, che di solito è un guasto del sistema, ad ogni elemento
vengono associati uno o più eventi primari che lo caratterizzano, in relazione alla funzione
da esso svolta e si traccia un albero orientato, con radice nell’evento finale in cui ogni
evento (conseguenza) è connesso agli eventi che provocano (causa).
In questo modo è possibile stimare la probabilità del verificarsi dell’evento finale tramite
l’unione e l’intersezione dei vari eventi primari.
I due passi fondamentali per FTA sono la:
ƒ costruzione dell’albero logico degli eventi;
ƒ sua valutazione in termini probabilistici.
Tecniche di Analisi dei Rischi
FTA (Fault Tree Analysis)
I singoli eventi elementari sono legati fra loro tramite una serie di porte logiche di
tipo AND e OR le quali esplicano le seguenti funzioni logiche:
Porta AND: fornisce l’evento descritto in uscita se
and
tutti gli eventi in ingresso si avverano.
Porta OR: fornisce l’evento descritto in uscita se
almeno uno degli eventi in ingresso si avvera.
or
and
or
SCOPPIO
or
and
cricca o
cedimento
strutturale
superamento
pressione max
di esercizio
il dispositivo
di sicurezza
non funziona
or
incendio
esterno
anomalie
di esercizio
or
and
and
innesco
accidentale
accumulo di
sostanze
combustibili
nel locale
incendio
provocato da
altri locali
mancato
funzionamento
sistemi di
regolazione
mancato
funzionamento
sistemi di
blocco
Affidabilità & definizioni
L’affidabilità (reliability) di un elemento rappresenta la caratteristica ovvero l’attitudine
dell’elemento stesso a svolgere una funzione richiesta, in condizioni date, per un dato
intervallo di tempo - ovvero la capacità dell’elemento a restare funzionante.
In termini quantitativi essa è espressa dalla probabilità che l’elemento possa eseguire la
funzione richiesta in condizioni date per un dato intervallo di tempo.
Il guasto (failure) è la cessazione dell’attitudine dell’elemento ad eseguire la funzione
richiesta; in altri termini è l’evento corrispondente alla cessazione del servizio offerto.
Si indica con avaria (damage) lo stato in cui viene a trovarsi l’elemento in seguito al
verificarsi di un guasto.
Affidabilità dei Componenti
L’affidabilità R(t) di un oggetto (elemento, circuito o sistema) rappresenta la probabilità di
sopravvivenza funzionale in condizioni operative specificate dopo un certo tempo t dalla sua
messa in funzione. Questa funzione può essere stimata mettendo in funzione N(0) oggetti
ad un dato istante (t=0) e determinando quanti di essi N(t) sopravvivono in funzione del
tempo trascorso t. Si ottiene così la stima dell’affidabilità (funzione del tempo):
R(t)=N(t)/(N(0)
Il complemento ad uno dell’affidabilità e la probabilità di guasto F(t) (ovvero inaffidabilità):
F(t)= 1- R(t)
Si definisce, ancora, densità di probabilità di guasto la funzione:
f(t)= dF(t)/dt=-dR(t)/dt
che ha il significato di probabilità che l’oggetto, in esercizio da t=0, si guasti nell’intervallo dt.
...segue- Affidabilità dei Componenti
Derivando la relazione R(t) rispetto al tempo, dividendo per N(t) e cambiando di segno si
ottiene:
-1/N(t)·dN/dt = - [1/R(t)]·dR/dt
La probabilità di guasto istantaneo per un elemento, prende il nome di tasso di guasto
istantaneo (failure rate) ed è definito come:
λ(t) = −
1 dN
⋅
N( t ) dt
pertanto combinando le espressioni precedenti si ottiene:
λ(t) = −
1 dN
1 dR f ( t )
⋅
=−
⋅
=
N( t ) dt
R ( t ) dt R ( t )
La funzione λ(t) rappresenta la frazione di popolazione che si guasta in un intervallo dt
rapportata al numero dei componenti ancora funzionanti all’istante t.
Il tasso di guasto ha le dimensioni di un tempo-1; normalmente si misura in fit (failure in
time)=10-9 (1/h).
...segue - Affidabilità dei Componenti
Integrando la precedente relazione e tenendo conto che R=1 per t=0, si possono ricavare le
seguenti espressioni generali:
⎛
⎜
R(t) = exp ⎜ −
⎜
⎝
t
∫
0
⎞
⎟
λ( τ )d τ ⎟
⎟
⎠
⎛
⎜
f(t) = λ ( t ) ⋅ exp ⎜ −
⎜
⎝
t
∫
0
⎞
⎟
λ( τ )d τ ⎟
⎟
⎠
Il valore atteso del tempo di guasto (mean time to failure) è espresso, infine, dalla relazione:
∞
MTTF
=
∫ R ( t ) dt
0
Questa grandezza rappresenta il tempo medio fra il tempo 0 (componente funzionante) ed il
suo guasto.
...segue - Affidabilità dei Componenti
invecchiamento
λ(t)
vita utile
t
In generale l’andamento nel tempo di λ non è costante; in molti casi di interesse pratico,
l’andamento è quello a forma di vasca da bagno (bathtube) mostrato in figura.
Spesso, a livello di schematizzazione semplice, si assume per i componenti un tasso di
guasto costante nel tempo λ(t)=λ, allora si trova che l’affidabilità segue la
esponenziale:
R(t) = exp(-λt)
f(t) = λ exp(-λt)
e il tempo medio fra i guasti MTTF (mean time to failure) diventa:
MTTF=1/λ
legge
Affidabilità: sistema serie
R1
R2
Un insieme di elementi tali che il guasto di uno implichi il guasto del sistema è detto in serie;
ovvero: il sistema funziona solo se tutti gli elementi funzionano.
L’evento W=“sistema funziona” è dato da:
W=R1∩R2 (∩≡AND)
In termini di probabilità possiamo scrivere che:
P(W)= P(R1) · P(R2|R1)
(la notazione P(R2|R1) denota la probabilità di R2 quando si suppone che R1 si sia
verificato – cioè sia funzionante).
Se gli eventi sono indipendenti (cioè P(R2|R1)=P(R2)) allora :
P(W)= P(R1)·P(R2)
L’affidabilità complessiva di un sistema serie è quindi data dal prodotto delle affidabilità
delle singole unità:
n
Rs(t) =
∏ Ri(t)
i
Siccome le R(t) sono probabilità da ciò segue che l’affidabilità complessiva di questo
sistema decresce al crescere delle unità presenti.
Sistema serie (esempio)
4
2
1
Componente
3
tasso di guasto λ (g./h)
R(t*) (per distribuzione esponenziale)
(t* tempo di missione = 1 Y = 8760 h)
1- Indicatore di Pressione
2·10-6
R1=0,983
2- Controllore Logico
5·10-6
R2=0,957
3- Gruppo Motore/Pompa
20·10-6
R3=0,839
4- Valvola
10·10-6
R4=0,916
n
Rs(t) =
∏
i
⎛
Ri(t) = exp⎜⎜
⎝
4
∑
1
⎞
λi ⋅ t * ⎟⎟ = 0.723
⎠
MTTF =
4
λs =
∑
λi = 37 ⋅ 10
1
1
= 2703 h ≅ 0,31 Y
λs
−6
(g / h )
R1
Affidabilità: sistema parallelo
R2
Un insieme di elementi tali che ciascuno basta ad assicurare il funzionamento del sistema
stesso è detto in parallelo; ovvero: il sistema è guasto quando entrambe le unità sono
guaste.
L’evento W=“sistema guasto” è dato da:
W=R1UR2 (U≡OR)
In termini di probabilità possiamo scrivere:
P(W)=P(R1UR2)=P(R1)+P(R2)-P(R1∩R2)
Se gli eventi sono indipendenti allora:
P(W)=P(R1)+P(R2)-P(R1)·P(R2)=1-[1-P(R1)]·[1-P(R2)]
L’affidabilità complessiva di un sistema parallelo è esprimibile come:
n
Rp(t) = 1 −
∏ (1- Ri(t))
i
Da tanto si riscontra iI vantaggio di questa configurazione che porta ad un aumento
dell’affidabilità complessiva del sistema rispetto a quelle delle singole unità.
FT & Esempio di applicazione
HTS
fluido di
spegnimento
TCS
T1
V2
P1
V1
acqua di
raffreddamento
FT & Esempio di applicazione
Esaminiamo il caso di un recipiente in pressione (i.e. reattore chimico o un serbatoio)
funzionante in condizioni di esercizio alla pressione p ed alla temperatura t.
La temperatura nel recipiente è controllata mediante la sonda TCS, la quale agisce sulla
apertura della valvola V1.
In caso di raggiungimento della temperatura interna al recipiente ad un valore limite di
stabilità dello stesso (i.e valore della temperatura di progetto delle membrature), il sensore
HTS agisce sulla valvola V2 provocando l’immissione del fluido di spegnimento all’interno
del recipiente.
Si vuole studiare il Top Event
strutturale dell’apparecchio”
“raggiungimento della temperatura limite tcr di stabilità
FT & Esempio di applicazione
raggiungimento della
temperatura tcr
and
T
or
and
E
F
mancanza
acqua di
raffreddamento
mancanza fluido
di spegnimento
or
V1 è chiusa
A
or
TCS è guasto
B
HTS è guasto
C
V2 è chiusa
D
FT & Esempio di applicazione
Le relazioni di struttura del sistema possono essere espresse in funzione degli eventi
primari di guasto PA,PB,PC,PD, nel seguente modo:
P(T ) = PE ⋅ PF
PE = 1 − [1 − PA ] ⋅ [1 − PB]
PF = 1 − [1 − PC] ⋅ [1 − PD ]
Infine, l’espressione P(T) può essere opportunamente raggruppata come:
P(T ) = 1 − [1 − PA ⋅ PC] ⋅ [1 − PA ⋅ PD ] ⋅ [1 − PB ⋅ PC] ⋅ [1 − PB ⋅ PD ]
Affidabilità & Criteri per l'incremento
I criteri che possono essere seguiti in fase di progettazione dei sistemi allo scopo di
ottenere un’elevata affidabilità complessiva consistono in generale:
ƒ nel prevedere che i componenti siano utilizzati in esercizio ad un livello di
sollecitazione (meccanica, elettrica, termica, etc.) inferiore a quello per cui essi sono
stati progettati;
ƒ nell’uso di tecniche di ridondanza o tolleranza ai guasti (fault tolerance).
Circa il primo criterio dobbiamo osservare che, in generale, l’affidabilità dipende dal livello di
sollecitazione in condizioni di esercizio; essa in particolare, per i componenti in pressione,
diminuisce all’aumentare della temperatura e delle sollecitazioni meccaniche ripetute.
Relativamente al criterio della ridondanza, essa consiste nel far sì che il funzionamento di
un sistema non dipenda criticamente dal funzionamento di tutti i suoi componenti; si dice
che in tal caso i componenti non sono disposti “in serie“ (il guasto di uno di essi produce il
guasto dell’intero sistema) dal punto di vista affidabilistico, ma “in parallelo“ (il sistema è
soggetto a guasto solo quando si sono guastati tutti i suoi componenti).
Analisi di Sicurezza
di
Apparecchiature ed Impianti in Pressione
O&GSA/SAPVY04/cdg