Sicurezza, metodologie e applicazioni

di Renato Rota - Enciclopedia della Scienza e della Tecnica (2008)

Sicurezza, metodologie e applicazioni

Renato Rota

Il termine sicurezza, pur nella sua accezione generale di cautela contro evenienze spiacevoli, può assumere diversi significati in funzione del campo in cui lo si utilizza. In particolare, si possono distinguere due ambiti molto diversi: il primo riguarda incidenti che accadono involontariamente (la sicurezza in questo caso è indicata solitamente con il termine safety; per es., cautela contro i sinistri); il secondo riguarda invece episodi spiacevoli che vengono causati volontariamente (in questo caso la sicurezza è indicata con il termine security; per es., cautela contro gli attentati terroristici).

Nel solo ambito della safety, viene individuata una grande varietà di situazioni: dagli incidenti domestici, a quelli stradali, fino a quelli legati alle attività lavorative. Queste ultime saranno oggetto della nostra trattazione nella quale si affronteranno specificamente solo le problematiche relative alla cosiddetta sicurezza industriale.

L’entità delle conseguenze sociali legate alla sicurezza industriale è tale da giustificare ampiamente gli sforzi che si compiono per cercare di aumentare il livello di sicurezza nell’industria. Un indicatore dell’incidenza della mortalità legata a cause lavorative è il FAR (Fatal accident rate), che sintetizza il numero di morti attesi per 108 ore lavorate (108 ore lavorate corrispondono alle ore lavorate da 1000 persone con una vita lavorativa di 50 anni e che lavorano 50 settimane l’anno e 40 ore la settimana; quindi il valore del FAR indica l’ordine di grandezza del numero di persone che si stima possano morire per cause lavorative ogni 1000 addetti). I dati relativi all’Italia nei primi anni del XXI sec. mostrano una notevole variabilità tra i diversi settori industriali, con valori massimi che si attestano intorno a 20÷30, portando complessivamente il numero di morti per cause lavorative intorno a 1200/anno.

Analogo impatto sociale possono avere gli eventi incidentali di notevole entità, in grado cioè di coinvolgere anche il territorio esterno all’insediamento industriale. Nel 1984, per esempio, a Bhopal in India la fuoriuscita di una nube di vapori tossici, contenenti metilisocianato, da un impianto per la produzione di un insetticida provocò circa 3000 morti e oltre 200.000 feriti, di cui circa 10.000 con invalidità permanenti. Mentre, nel 1974 a Flixborough in Inghilterra, la fuoriuscita di una nube di vapori infiammabili contenenti cicloesano provocò una vasta esplosione causando circa 30 morti e 90 feriti, e danneggiando circa 2000 edifici fino a 2,5 km di distanza.

Questi dati esemplificativi mostrano con estrema chiarezza l’importanza di tenere adeguatamente in conto, sia nella fase di progettazione sia in quella di gestione degli impianti e dei processi industriali, gli aspetti legati alla sicurezza industriale. A questo fine è necessario definire degli indicatori quantitativi del livello di sicurezza di un insediamento industriale, che consentano sia di confrontarne le diverse soluzioni progettuali e gestionali sia di valutarne il livello di sicurezza confrontandolo con valori ritenuti accettabili. L’indicatore più utilizzato nel contesto della sicurezza industriale è il rischio.

Una volta definito concettualmente e caratterizzato matematicamente il rischio, è possibile delineare e pianificare una serie di misure di prevenzione e protezione volte alla sua riduzione e al controllo della sua componente residua.

La sicurezza industriale: definizione e gestione del rischio

Nell’ambito della sicurezza industriale riveste un ruolo fondamentale la definizione di pericolo (detto anche fattore o sorgente di rischio). Esso viene definito come una proprietà intrinseca di un materiale, di un macchinario, o di un impianto in grado di arrecare un danno alle cose, all’ambiente o alle persone. In particolare, i pericoli presenti in un’attività industriale si possono classificare in due tipologie: (a) pericoli legati a un’esposizione prolungata a fenomeni di bassa intensità con conseguenze a lungo termine (cioè con effetti cronici), le cui problematiche sono affrontate nell’ambito dell’igiene industriale e sono tipicamente (anche se non esclusivamente) correlate alle malattie professionali dei lavoratori; (b) pericoli legati a una breve esposizione a fenomeni di elevata intensità con conseguenze a breve termine (cioè con effetti acuti), le cui problematiche sono affrontate nell’ambito della sicurezza del lavoro sia quando gli effetti dell’incidente hanno ricadute solo all’interno dell’insediamento industriale (per es., l’emissione di una piccola quantità di composti tossici che provocano l’intossicazione dei lavoratori presenti in un reparto, oppure la caduta di un carico sospeso che provoca lo schiacciamento di un lavoratore) sia nell’ambito dei grandi rischi, quando gli effetti dell’incidente hanno ricadute anche all’esterno dell’insediamento industriale coinvolgendo la popolazione residente intorno all’insediamento stesso, come nel caso dell’emissione di una grande nube di composti tossici.

Le metodologie illustrate fanno riferimento in particolare ai pericoli con effetti acuti, anche se la logica con cui vengono affrontati i problemi con esiti cronici non è concettualmente differente. I diversi ambiti culturali che storicamente hanno affrontato le due tematiche, insieme alle ovvie differenze insite nelle due problematiche, hanno però portato allo sviluppo di metodologie che presentano alcune differenze formali.

Nella definizione di rischio occorre esaminare quali siano i pericoli associati a una determinata attività industriale. Alla presenza di benzina, per esempio, è intrinsecamente associato il pericolo di incendio, in quanto la benzina se innescata può facilmente bruciare; alla presenza di una pressa è intrinsecamente associato il pericolo di schiacciamento di una parte del corpo, in quanto la parte in movimento di una pressa schiaccia qualsiasi cosa si frapponga al suo movimento. Trattandosi di una proprietà intrinseca, un pericolo o è presente o è assente; in altri termini, un pericolo può essere eliminato (eliminando o sostituendo il materiale, il macchinario, l’impianto a cui è associato), ma non può essere ridotto.

La presenza di un pericolo in un insediamento industriale può avere conseguenze pratiche molto diverse in funzione sia della probabilità che il pericolo si concretizzi o meno in un evento indesiderato, sia dell’entità del danno che l’evento indesiderato può causare. Quest’ultima dipende a sua volta dall’intensità del fenomeno generato dall’evento indesiderato (per es., la sovrapressione generata da un’esplosione) e della vulnerabilità delle persone e dell’ambiente che subiscono l’impatto di tale evento (come la tipologia della popolazione esposta: bambini piuttosto che adulti). La combinazione dell’intensità del fenomeno e della vulnerabilità (comprensiva anche della frazione di tempo per cui il bersaglio risulta effettivamente esposto al pericolo) definisce, con un termine comunemente utilizzato nell’ambito della sicurezza industriale, la magnitudo delle conseguenze dell’evento indesiderato. Come indicatore della probabilità che il pericolo si concretizzi in un evento indesiderato può essere utilizzata sia una probabilità in senso stretto (cioè un numero adimensionale compreso tra 0 e 1 che indica la frazione del numero di volte che un dato evento atteso può avvenire su un grande numero di ripetizioni di una certa situazione; quindi 0 rappresenta un evento impossibile e 1 un evento certo), sia una frequenza (cioè un numero avente come dimensioni l’inverso di un tempo che rappresenta il numero di volte che un dato evento atteso può avvenire in un dato intervallo temporale). Un pericolo con una probabilità remota di concretizzarsi in un evento indesiderato che provochi danni trascurabili è ovviamente meno preoccupante di un pericolo con una probabilità elevata di concretizzarsi in un evento indesiderato che provochi enormi danni. Tornando all’esempio relativo alla presenza di benzina sul luogo di lavoro e considerando il pericolo d’incendio, il livello di sicurezza sarà diverso se la benzina viene conservata in un recipiente aperto all’interno di un reparto dove è consentito fumare (situazione che comporta un’alta probabilità che il pericolo d’incendio si trasformi nell’evento indesiderato e cioè incendio in reparto), oppure in un recipiente chiuso conservato in un deposito attrezzato con adeguati dispositivi antincendio (situazione che comporta una bassa probabilità che il pericolo d’incendio si trasformi nell’evento indesiderato). Analogamente, in funzione per esempio della quantità di benzina presente e dei dispositivi di protezione individuale a disposizione degli operatori, il danno atteso a seguito del concretizzarsi dell’evento indesiderato, incendio in reparto, potrà essere riconducibile a piccole ustioni a un operatore (situazione che comporta una bassa magnitudo delle conseguenze dell’evento indesiderato) o a morte di diversi operatori (situazione che comporta un’alta magnitudo delle conseguenze dell’evento indesiderato). Anche in questo caso le due situazioni implicano due differenti livelli di sicurezza.

Il concetto di rischio sintetizza in un solo parametro la credibilità che il pericolo possa concretizzarsi in un danno (in altri termini la probabilità o frequenza di accadimento dell’evento indesiderato, indicata con P) e l’entità del danno atteso (cioè la magnitudo delle conseguenze dell’evento indesiderato, indicata con M). In termini matematici, il rischio R è una funzione della probabilità di accadimento di un evento indesiderato e della magnitudo delle conseguenze che tale evento è in grado di provocare:

[1] R = f (P,M)

Per gli eventi che provocano effetti acuti, è possibile riportare il valore sia della probabilità di accadimento sia della magnitudo del danno a una scala uniforme a tutti gli eventi indesiderati e spesso viene utilizzato un semplice operatore moltiplicativo come relazione funzionale

[2] R = P × M.

Questa scelta implica che eventi con elevata probabilità di accadimento e bassa magnitudo siano caratterizzati dallo stesso livello di rischio di eventi con bassa probabilità di accadimento e alta magnitudo, e siano quindi parimenti indesiderabili.

fig. 2

Utilizzando questa relazione, le curve isorischio su un diagramma cartesiano sono rappresentate nella fig. 2 da un’iperbole. Concettualmente, se è possibile definire un valore di rischio ritenuto accettabile, la curva isorischio a esso relativa divide il piano cartesiano in due regioni: (a) la regione al di sotto della curva rappresenta le situazioni con un livello di sicurezza adeguato in quanto in essa il rischio è inferiore a quello accettabile; (b) la regione al di sopra della curva, caratterizzata dai valori del rischio superiori a quello accettabile, rappresenta situazioni con un livello di sicurezza non adeguato.

È importante sottolineare che mentre la stima del rischio comporta valutazioni di tipo tecnico-scientifico, la definizione di un livello accettabile di rischio comporta valutazioni di carattere etico, morale, economico, politico e sociale e non è quindi univoca. In altri termini, un livello di rischio può essere definito come accettabile solo all’interno di un dato contesto e sulla base di valori condivisi da una società. Qualunque siano i criteri utilizzati per definire il livello di accettabilità del rischio, è comunque essenziale che essi siano esplicitati in modo non ambiguo preliminarmente a qualsiasi analisi volta alla stima del rischio, al fine di disporre di un criterio uniforme e chiaro per la valutazione dei risultati dell’analisi. Questo consente di confrontare in modo onesto i diversi pericoli e quindi di scegliere su quali di essi intervenire (ovviamente quelli caratterizzati dal valore di rischio più elevato), implementando modifiche alla situazione esistente al fine di ridurre il livello di rischio e aumentare quindi la sicurezza complessiva dell’insediamento industriale.

Sul diagramma di fig. 2 sono illustrate due modalità diverse ma equivalenti (almeno finché la relazione [2] è assunta come valida) di riduzione del rischio: la prima prevede una diminuzione della probabilità di accadimento dell’evento indesiderato (attraverso l’implementazione di misure di prevenzione), la seconda prevede una riduzione della magnitudo delle conseguenze dell’evento indesiderato (attraverso l’implementazione di misure di protezione dai danni da esso derivati). Ovviamente è possibile, e solitamente opportuno, implementare contemporaneamente misure di prevenzione e di protezione.

Dalle definizioni elencate in precedenza risulta evidente che i pericoli presenti in un ambiente di lavoro possono essere eliminati, mentre i rischi possono essere soltanto ridotti. In altri termini, mentre è possibile eliminare un pericolo, non è possibile annullare un rischio se non eliminando il pericolo che lo genera: il rischio zero in presenza di un pericolo non può essere mai raggiunto.

L’individuazione della probabilità e della magnitudo come le due componenti fondamentali del rischio consente di classificare gli eventi indesiderati con effetti acuti in due grandi tipologie: eventi a bassa frequenza di accadimento e alta magnitudo (identificati con la sigla BFAM e tipicamente associati ai grandi rischi), ed eventi ad alta frequenza di accadimento e bassa magnitudo (identificati con la sigla AFBM e tipicamente associati alla sicurezza sul lavoro). Si noti che i concetti di alta e bassa frequenza sono ovviamente relativi, nel senso che un incidente sul lavoro che provochi la morte di un lavoratore ha una magnitudo alta in assoluto, ma bassa rispetto al cedimento di un serbatoio contenente un gas tossico che potrebbe provocare la morte di decine di residenti nelle vicinanze di un insediamento industriale.

Assodato che ogni attività industriale (come ogni altra attività umana) implica un certo rischio, si pone il problema della corretta gestione dello stesso, così che sia garantito un adeguato livello di sicurezza. In generale, il processo di gestione del rischio si articola nei seguenti passi sequenziali in seguito brevemente discussi: (a) l’identificazione del contesto in cui il rischio deve essere gestito; (b) l’identificazione dei pericoli; (c) l’analisi qualitativa di rischio; (d) l’analisi di rischio quantitativa; (e) la pianificazione delle misure di protezione e prevenzione; (f) il monitoraggio e il controllo del rischio.

Identificazione del contesto e determinazione delle sorgenti di rischio

La prima fase del processo di gestione del rischio riguarda l’identificazione degli obiettivi e delle risorse disponibili e comporta la definizione del livello di dettaglio adeguato e degli strumenti da utilizzare nell’analisi di rischio, cioè nella procedura utilizzata per stimare il suo valore associato a un dato insediamento industriale. Infatti, gli strumenti utilizzabili per stimare il valore del rischio, possono essere molto differenti in funzione sia degli obiettivi (per es., sicurezza sul lavoro o grandi rischi), della fase di vita dell’insediamento industriale (quali la fase di progetto di massima o di dettaglio di un nuovo impianto, oppure di modifica significativa di un impianto esistente), sia delle dimensioni e della complessità degli impianti (come una piccola azienda con poche macchine semplici, oppure una grande azienda con complessi impianti di processo). La scelta corretta del grado di approfondimento e degli strumenti da utilizzare evita che l’analisi risulti eccessivamente superficiale (e quindi inutile) o inutilmente approfondita (e quindi inutilmente onerosa).

fig. 3

Un elemento essenziale nella definizione del livello di approfondimento possibile è la quantità di informazioni disponibili al momento dell’analisi, che varia durante la vita dell’impianto (fig. 3). In situazioni in cui le informazioni disponibili sono limitate o poco affidabili è inutile utilizzare metodi di analisi particolarmente complessi e onerosi in quanto nessun metodo potrà fornire risultati più affidabili delle informazioni disponibili. Viceversa, nel momento in cui sono disponibili molte informazioni, queste consentono l’utilizzo di metodi di analisi più sofisticati e quindi in grado di fornire risultati più affidabili.

La seconda fase coinvolge tutte le attività finalizzate all’identificazione dei pericoli presenti nell’insediamento industriale in esame e delle loro caratteristiche. Tutte le sorgenti di rischio devono essere preliminarmente identificate al fine di effettuare una stima del rischio: è infatti evidente che non è possibile stimare il rischio associato a una sorgente che non sia stata identificata. Per questo un’analisi volta all’identificazione dei pericoli deve essere omogenea e completa, in grado di analizzare le possibili sorgenti di rischio senza pregiudizi e riuscendo a identificarle tutte.

fig. 4

La struttura generale di un’analisi volta all’identificazione di tutti i pericoli presenti in un insediamento industriale è schematizzata nella fig. 4. Il primo passo consiste nell’individuazione del gruppo di lavoro in quanto l’identificazione dei pericoli richiede competenze e informazioni diverse. Nel gruppo sarà sempre coinvolto un esperto di analisi di rischio che sarà incaricato di coordinare il gruppo di lavoro, oltre a esperti di vari settori (impiantisti, progettisti, gestori, manutentori, operatori, medici) in funzione del tipo di insediamento industriale da analizzare. I progettisti o i gestori (ossia, i principali depositari delle conoscenze relative all’insediamento industriale da analizzare) non possono coordinare l’analisi di rischio in quanto la consuetudine con una certa situazione potrebbe portare a sottovalutare i pericoli che non si sono mai manifestati, durante la loro esperienza, in un danno e viceversa a sopravvalutare tutti quei pericoli che si sono concretizzati almeno una volta in un danno. Tale situazione violerebbe uno dei requisiti fondamentali per una corretta analisi riguardante l’identificazione dei pericoli: l’omogeneità di giudizio. Si procede quindi ad acquisire tutte le informazioni disponibili, quali manuali operativi, procedure di lavoro, schemi di impianto e di marcia (i cosiddetti P&ID, Piping and instrumentation diagram, che riportano lo schema di un impianto tracciato secondo una terminologia standard), l’elenco delle materie prime, degli intermedi, dei prodotti e loro caratteristiche chimico-fisiche e tossicologiche, l’elenco delle macchine presenti, e così via.

Sulla base delle informazioni disponibili, degli obiettivi generali dell’analisi definiti in precedenza, delle risorse disponibili e dalla complessità dell’insediamento industriale da analizzare, si seleziona la tecnica di analisi. La tecnica di base sempre utilizzata almeno come primo stadio è l’analisi storica che consiste nella ricerca di tutti gli eventi indesiderati avvenuti in passato in insediamenti industriali simili a quello in esame. Un’analisi storica non può mai essere considerata esaustiva in quanto è in grado di fornire informazioni solo sugli eventi indesiderati già avvenuti; se un evento indesiderato non è mai avvenuto, questo non significa né che non possa avvenire, né che la sua probabilità di accadimento sia trascurabile. Ovviamente, le informazioni ottenibili da un’analisi storica sono statisticamente tanto più significative quanto più la base dei dati analizzata è considerevole. Questo significa che l’analisi storica per eventi AFBM è uno strumento molto potente in quanto il numero di lavoratori con mansioni analoghe in insediamenti industriali simili (e di conseguenza di incidenti avvenuti in condizioni di lavoro simili) è molto alto e può portare alla costruzione dei cosiddetti profili di rischio, cioè dell’elenco delle situazioni che con maggior frequenza portano a incidenti sul lavoro in un dato comparto industriale. Viceversa, per eventi di tipo BFAM, proprio la ridotta frequenza di accadimento degli eventi indesiderati rende statisticamente meno significative le informazioni derivanti da un’analisi storica. Ciò non significa naturalmente che tali informazioni siano inutili: eventi indesiderati già accaduti possono ovviamente ripetersi e da essi si possono trarre insegnamenti molto utili.

tab. 1
tab. 2

Un elenco di alcune delle tecniche di analisi disponibili, completato da alcune informazioni generali sul loro uso, è riportato in tab. 1, mentre in tab. 2 è riportato l’ordine di grandezza del tempo necessario per un’analisi completa con le diverse tecniche per un piccolo insediamento industriale (per es., una stazione di scarico e stoccaggio di un prodotto chimico liquido). Il tempo necessario è ripartito nelle tre fasi tipiche di un’analisi di questo tipo: (a) preparazione del materiale necessario per effettuare l’analisi; (b) analisi vera e propria; (c) documentazione e discussione critica dei risultati ottenuti.

Tutte le tecniche di analisi consentono un’identificazione delle sorgenti di rischio (o in modo equivalente, degli eventi indesiderati), delle cause prime che portano a ciascuno degli eventi indesiderati, nonché dei sistemi di protezione e di prevenzione presenti. Queste informazioni saranno riassunte nel documento conclusivo in cui verranno riportati sia l’elenco dei pericoli identificati sia tutti quegli elementi utili alla successiva quantificazione della probabilità di accadimento e della magnitudo degli eventi individuati e gli eventuali suggerimenti tesi a eliminare il pericolo (se possibile) o a ridurre il rischio (se questo è ritenuto già in prima approssimazione necessario).

Stima qualitativa del rischio

La stima del rischio richiede una valutazione sia della probabilità di accadimento sia della magnitudo delle conseguenze di un dato evento indesiderato. Questa stima viene sempre effettuata in via preliminare in modo semiquantitativo (o qualitativo), cioè senza una quantificazione dettagliata della probabilità e della magnitudo. In molte situazioni i risultati ottenuti con una stima semiquantitativa sono sufficienti per definire la necessità o meno di implementare le misure di prevenzione o protezione. Anche nel caso in cui sia necessario procedere con una quantificazione di dettaglio per poter prendere delle decisioni, l’analisi semiquantitativa condotta in via preliminare consente di identificare i pericoli a cui non è associato un livello di rischio significativo e che possono essere quindi esclusi a priori dalla seguente quantificazione del rischio, riducendo così significativamente le risorse (temporali ed economiche) da utilizzare per l’analisi completa.

3
4

La stima semiquantitativa del rischio richiede una classificazione ordinale sia della probabilità di accadimento sia della magnitudo delle conseguenze di un evento indesiderato. Questa classificazione non può essere definita in modo univoco in quanto dipende dalle particolari situazioni analizzate. In generale si suddividono sia la probabilità sia la magnitudo in quattro classi, poiché un numero inferiore rende difficoltoso differenziare le diverse situazioni possibili, mentre un numero superiore rende le differenze tra una classe e l’altra troppo piccole per poter essere apprezzate senza una quantificazione. In ogni caso, tale classificazione deve essere coerente con gli obiettivi fissati all’inizio dell’analisi (per es., attenzione prevalente ai danni alle persone o all’ambiente) e al contesto analizzato (grandi rischi o sicurezza del lavoro), e deve essere concordata in via preliminare tra i componenti del gruppo di lavoro che effettua l’analisi di rischio. Alcuni esempi di classificazione della magnitudo e della probabilità sono riportati rispettivamente nelle tabb. 3 e 4, dove alla classe 1 sono associati gli effetti meno significativi e alla classe 4 quelli più significativi.

fig. 5

Le informazioni necessarie per assegnare a ciascun evento indesiderato una classe di probabilità e di magnitudo vengono raccolte nel corso dell’analisi per l’identificazione dei pericoli. Una volta associata a ciascun evento indesiderato una classe di probabilità e di magnitudo è possibile rappresentare tutti gli eventi all’interno di una matrice, detta matrice di rischio. Come mostrato nella fig. 5, in essa viene evidenziato anche un criterio di valutazione, identificando alcune combinazioni di probabilità e magnitudo che portano a un livello di rischio ritenuto inaccettabile. L’obiettivo è ovviamente quello di evitare la presenza di pericoli a cui sia associato un tale livello di rischio. Sono inoltre evidenziate alcune combinazioni a cui corrisponde un livello di rischio definito critico, nel senso che pur essendo accettabile la magnitudo delle conseguenze è tale da richiedere sia un’attenta valutazione del rischio e dei costi legati a una sua eventuale riduzione, sia un suo costante monitoraggio al fine di evitarne la degenerazione a un livello inaccettabile.

La classificazione degli eventi indesiderati in una matrice di rischio può portare direttamente a delle conclusioni circa l’accettabilità dello stesso, oppure può fornire un criterio di selezione degli eventi indesiderati per cui non è necessario un approfondimento quantitativo, in quanto evidentemente poco significativi, dal punto di vista del livello di rischio associato. Nel primo caso (comune nell’ambito di eventi di tipo AFBM, quali quelli incontrati nelle problematiche inerenti la sicurezza del lavoro) si passa direttamente alla fase di valutazione del rischio, mentre nel secondo caso si procede alla quantificazione dello stesso.

Stima quantitativa del rischio

La stima quantitativa del rischio richiede la definizione di indici specifici che diano una sua misura. Tra i diversi indici che possono essere utilizzati ve ne sono tre di uso comune: l’indice di rischio locale, individuale e sociale.

Rischio locale. Viene definito come la probabilità (in termini di frequenza) che un individuo, presente in modo permanente e senza alcuna possibilità di fuga o di protezione in un dato punto dello spazio, subisca un determinato danno (per es., la morte) a seguito di un evento indesiderato. Il rischio locale dipende quindi solo dalle caratteristiche dell’evento indesiderato (probabilità di accadimento e intensità degli effetti) e dalla posizione del punto considerato (che definisce l’intensità degli effetti in funzione della distanza dalla sorgente dell’evento indesiderato).

Rischio individuale. Rappresenta la probabilità (in termini di frequenza) che un individuo, in un dato punto dello spazio, subisca un determinato danno a seguito di un evento indesiderato. Il rischio individuale dipende quindi non solo dalle caratteristiche dell’evento indesiderato e dalla posizione del punto considerato, ma anche dalla probabilità che un dato punto sia effettivamente occupato da un individuo e dalla capacità dell’individuo di proteggersi dagli effetti dell’evento indesiderato, cioè dalla sua esposizione e vulnerabilità. Pertanto se il rischio locale dipende dall’intensità degli effetti, quello individuale dipende dalla magnitudo delle conseguenze. Ne deriva che il rischio individuale sarà sempre inferiore o uguale a quello locale e viene solitamente rappresentato su una mappa della regione analizzata attraverso delle curve isorischio.

Rischio sociale. È definito come il numero di persone che possono essere colpite da un certo danno, considerando il numero di persone effettivamente presenti sul territorio interessato dagli effetti dei possibili eventi indesiderati e la frazione del tempo totale in cui tali persone stazionano in un punto, nonché la loro localizzazione rispetto alla fonte del danno e le protezioni eventualmente presenti. Il rischio sociale viene solitamente rappresentato utilizzando le cosiddette curve F-N, cioè dei diagrammi che riportano la frequenza attesa, F, che un dato danno interessi più di N persone. Mentre gli indicatori di rischio locale o individuale sono indicatori puntuali (indicano il livello di rischio associato a una certa posizione sul territorio), il rischio sociale è un indicatore integrale in quanto considera il rischio a cui viene esposta l’intera popolazione presente sul territorio.

La valutazione quantitativa di questi indici richiede (oltre alla conoscenza della vulnerabilità ed esposizione della popolazione, in termini per es., di tipologia di popolazione e di permanenza della stessa nell’area dell’insediamento industriale) una quantificazione degli effetti e della frequenza di accadimento degli eventi indesiderati identificati. Utilizzando l’ipotesi di additività dei rischi (il rischio totale è dato dalla somma dei rischi originati dai diversi eventi indesiderati) e assumendo che i singoli eventi incidentali siano indipendenti tra loro, l’indice di rischio individuale nel punto P(x,y) può essere calcolato come:

[3] formula

formula

dove con RIk si è indicato l’indice di rischio individuale associato al k-esimo evento indesiderato (degli N totali) i cui effetti possono interessare il punto P(x,y), che può essere calcolato come:

[4] RIk(x,y) = fk × Pk(x,y)

dove fk in anni−1, è la frequenza di accadimento del k-esimo evento indesiderato, mentre Pk(x,y) è la probabilità che l’esposizione all’effetto del k-esimo evento incidentale provochi il danno considerato nel punto P(x,y). Il valore di fk deriva dall’analisi della frequenza di accadimento dell’evento indesiderato k, mentre il valore di Pk(x,y) deriva dall’analisi delle conseguenze dell’evento k.

L’analisi della frequenza di accadimento di un evento indesiderato, per esempio l’esplosione di un serbatoio, si basa sulla ricomposizione logica delle frequenze di accadimento delle cause che portano a tale evento, come il malfunzionamento di una pompa simultaneamente alla chiusura di una valvola per un errore umano. Una delle tecniche più utilizzate per ottenere tale quantificazione, a parte una semplice analisi storica di eventi simili a quello in esame (la frequenza di accadimento di un evento indesiderato può essere stimata se si conosce il numero di eventi indesiderati che sono accaduti rispetto al numero totale di eventi di quel tipo che sarebbero potuti accadere; questo è possibile solo per quegli eventi indesiderati che coinvolgono un gran numero di realtà simili, quali gli AFBM), è quella dell’albero dei guasti.

L’albero dei guasti è una tecnica di analisi utilizzata per determinare, da un lato, i modi credibili di accadimento di un evento indesiderato causato da un concatenarsi complesso di altri eventi, dall’altro, la frequenza di accadimento dell’evento indesiderato sulla base delle frequenze di accadimento degli eventi che lo causano. Definito un evento indesiderato (solitamente indicato con il termine top event, per es., il collasso di un serbatoio) si rappresentano in modo grafico tutte le combinazioni di eventi che possono portare all’evento indesiderato. In estrema sintesi, un albero dei guasti non è altro che un insieme di porte (o gate) che consentono o non consentono il passaggio della logica di guasto attraverso l’albero. Un gate può indicare, per esempio, che affinché si verifichi l’evento in uscita, è necessario che avvengano contemporaneamente tutti gli eventi in ingresso (porta AND), oppure che si dia almeno uno degli eventi in ingresso (porta OR); l’assunzione di base della tecnica è che ciascun evento analizzato possa esistere solo in due stati (per es., nel caso di un componente, questo può solo funzionare perfettamente o non funzionare del tutto).

fig. 6

La costruzione dell’albero parte dall’identificazione di un evento indesiderato, da cui si procede con una logica deduttiva identificando tutte le cause immediate, necessarie e sufficienti che possono condurre all’evento stesso. Identificati tutti gli eventi intermedi che attraverso porte OR o AND possono portare a quello indesiderato, si ripete l’analisi per ciascun evento intermedio identificando tutti gli accadimenti che possono portare all’evento intermedio, e così via fino ad arrivare a eventi che, nell’ambito dell’analisi che si sta effettuando, possono essere considerati come eventi primari, cioè non ulteriormente analizzati. La fig. 6 riporta un albero dei guasti per il classico esempio di un impianto di illuminazione costituito da due lampadine L1 e L2, un generatore di energia P e un interruttore I. In questo caso l’evento indesiderato (o top event) è la mancanza di luce. Le cause che possono essere ipotizzate sono: (a) interruttore I rotto in posizione aperta; (b) generatore P non funzionante; (c) entrambe le lampadine L1 e L2 rotte. Queste tre cause sono quindi collegate da una porta OR che indica che l’evento in uscita ‘niente luce’ può essere dovuto a una qualsiasi di queste tre cause. I primi due eventi (P o I non funzionanti) possono essere considerati primari, mentre il mancato funzionamento di entrambe le lampadine può essere considerato un evento intermedio, le cui cause sono che sia la lampadina L1 sia la lampadina L2 siano simultaneamente rotte: questi due eventi sono quindi in entrata a una porta AND la cui uscita è appunto L1 e L2 rotte. Si vede che esistono degli eventi primari che possono causare direttamente il top event (I oppure P rotto); questa è una situazione estremamente pericolosa che solitamente non può essere accettata in quanto a seguito di un singolo malfunzionamento si verifica l’evento indesiderato.

Sulla base di informazioni relative alla frequenza di accadimento degli eventi primari (per es., in termini di indisponibilità, cioè della probabilità che a un certo tempo il sistema non sia in grado di svolgere la sua funzione, oppure di frequenza di accadimento, definita come il numero di volte che il sistema è atteso non essere in grado di svolgere la sua funzione nel suo tempo di missione), è possibile calcolare anche per sistemi molto complessi la frequenza attesa di accadimento fk dell’evento indesiderato di partenza.

L’analisi delle conseguenze di un evento indesiderato richiede la stima degli effetti di tale evento (riconducibili in prima approssimazione, per eventi rientranti nell’ambito dei grandi rischi, a concentrazioni non nulle di composti tossici – nel caso di rilascio di composti tossici che possono disperdersi in atmosfera – a sovrapressioni o proiezioni di frammenti – nel caso di esplosioni – oppure a flussi termici – nel caso di incendi – in funzione della distanza dalla sorgente dell’evento indesiderato. Questo può essere fatto utilizzando opportuni modelli matematici in grado di simulare il fenomeno di interesse, come per esempio la dispersione di un composto tossico in atmosfera.

I modelli di simulazione di un evento incidentale basati su leggi fisiche (solitamente formalizzate in termini di bilanci di materia, energia e quantità di moto) possono essere classificati in: (a) modelli a parametri distribuiti; (b) a parametri concentrati; (c) a sorgente puntiforme, in funzione della complessità matematica delle equazioni che li costituiscono.

I modelli a parametri distribuiti (che da un punto di vista matematico originano un sistema di equazioni differenziali alle derivate parziali) utilizzano la forma in-definita delle equazioni di bilancio e sono in grado dirappresentare la grandezza di interesse (per es., la concentrazione di un composto tossico che si disperde inatmosfera) come una funzione delle tre coordinate spaziali e del tempo. L’elevato numero di informazioni richieste da questi modelli, così come l’ingente quantità di risorse necessarie per il loro utilizzo limitano l’uso di questi modelli all’analisi di eventi incidentali che per la loro gravità o per la loro particolarità ne giustificano l’investimento.

I modelli a parametri concentrati (che da un punto di vista matematico originano un sistema di equazioni differenziali alle derivate ordinarie) nascono da una semplificazione dei modelli a parametri distribuiti che consiste essenzialmente nel considerare una coordinata, lungo cui seguire l’evoluzione del fenomeno, prevalente su tutte le altre. L’andamento della grandezza di interesse (per es., la concentrazione di un composto tossico che si disperde in atmosfera) lungo le altre coordinate viene ricostruita attraverso opportune ipotesi. La quantità ragionevolmente ridotta di informazioni richieste da questi modelli, così come la quantità non elevata di risorse necessarie per il loro utilizzo, rendono questi modelli particolarmente adatti alla pratica quotidiana di lavoro, anche grazie al fatto che solitamente la loro affidabilità è garantita da un esteso lavoro di convalida e taratura attraverso il confronto con i dati sperimentali.

I modelli a sorgente puntiforme (che da un punto di vista matematico originano equazioni algebriche risolubili analiticamente in forma chiusa) assumono che la sorgente del fenomeno considerato possa essere considerata concentrata in un punto, approssimazione lecita nel caso in cui le dimensioni di tale sorgente siano trascurabili rispetto alle dimensioni caratteristiche del dominio di integrazione in cui si è interessati a valutare le conseguenze dell’incidente, cioè nel caso in cui si è interessati agli effetti nel cosiddetto campo lontano. Questi modelli conservano solo i principali comportamenti qualitativi del fenomeno analizzato; l’accordo quantitativo con la realtà viene recuperato introducendo parametri aggiustabili il cui valore viene ottenuto per confronto con i dati sperimentali disponibili. La loro estrema semplicità d’uso li rende molto utili sia per una stima di massima, sia per un controllo dell’ordine di grandezza dei risultati ottenuti con modelli più sofisticati la cui complessità matematica preclude però un controllo dettagliato dei calcoli effettuati.

Qualunque modello venga utilizzato, questo fornirà il valore dell’intensità degli effetti dell’evento considerato (in termini essenzialmente di concentrazione, sovrapressione o flusso termico) nel punto di interesse, eventualmente in funzione del tempo. Per confronto con modelli di vulnerabilità che forniscono il danno atteso per una popolazione esposta a una certa intensità, è quindi possibile calcolare il valore di Pk(x,y) per l’evento indesiderato e per la posizione sul territorio considerato.

tab. 5

I più semplici modelli di vulnerabilità considerano i valori soglia per l’intensità degli effetti dell’evento considerato oltre i quali si registrano determinati danni (tab. 5). Questi valori sono indicativi in quanto gli effetti dell’esposizione a una data intensità di un fenomeno non dipendono solo dall’intensità stessa, ma anche da altri fattori, tra cui il principale è il tempo di esposizione.

Le stesse informazioni discusse in precedenza consentono anche la stima del valore dell’indice di rischio sociale, che viene calcolato analogamente all’indice di rischio individuale, pesandolo però sul numero di persone effettivamente esposte agli effetti dei vari incidenti; ne consegue che l’indice di rischio sociale non riguarda i singoli punti di un’area ma quest’ultima considerata nel suo complesso. In pratica questo indice, per un dato incidente, fornisce un numero atteso di persone che subiscono il danno considerato (per es., la morte), e può essere calcolato come:

[5] formula

formula

in cui Nk è il numero di persone che subiscono il danno considerato a causa del k-esimo incidente, PE (x,y) è la densità di popolazione, in abitanti/km2, presente nel punto P(x,y) e Pk(x,y), come nel caso dell’indice di rischio individuale, è la probabilità che l’esposizione all’effetto dell’evento k-esimo provochi il danno considerato nel punto P(x,y). In questo modo si calcola, per ciascun incidente, il numero totale di persone che subiscono il danno considerato (per es., il numero di morti attesi a causa di ciascun evento incidentale).

Per ciascun evento indesiderato è anche possibile calcolare il valore della frequenza di accadimento. Da questi dati è quindi possibile determinare la frequenza cumulata FN cioè la frequenza attesa di accadimento di un evento indesiderato qualsiasi in grado di causare un numero di morti che sia pari o superiore a N, sommando la frequenza di accadimento di tutti gli incidenti in grado di causare almeno N morti:

[6] formula.

formula
fig. 7

Queste informazioni sono riassunte nelle cosiddette curve F-N, in cui in ascissa è riportato il numero atteso di persone che subiscono il danno considerato e in ordinata la frequenza cumulata relativa a tale danno (fig. 7), e che forniscono quindi l’informazione relativa alla frequenza attesa di un evento incidentale in grado di causare almeno N morti.

Valutazione del rischio, prevenzione e protezione, e rischio residuo

Una volta stimato il rischio (in modo qualitativo e/o quantitativo) è necessario procedere alla sua valutazione per decidere se l’insediamento industriale è sufficientemente sicuro o se è necessario introdurre azioni di prevenzione o di protezione. Per prendere una tale decisione è necessario confrontare gli indici di rischio stimati con un valore soglia ritenuto accettabile. Come detto in precedenza, mentre la stima del rischio è un problema tecnico, la definizione del valore soglia non lo è. L’incertezza legata alla definizione di tale valore porta a volte a definire due soglie: una soglia superiore, al di sopra della quale il rischio è ritenuto sicuramente inaccettabile, e una soglia inferiore al di sotto della quale il rischio è ritenuto sicuramente accettabile. La regione dei valori di rischio compresi tra i due valori soglia inferiore e superiore viene detta regione di ALARP (As low as reasonably practicable, così basso com’è ragionevolmente realizzabile in pratica). In questa zona c’è la tendenza ad accettare il rischio solo se gli interventi per la sua riduzione richiedono investimenti spropositati rispetto ai miglioramenti attesi.

Un valore soglia per il rischio individuale può essere derivato (considerando per es., come danno la morte) dal confronto tra il valore a cui risultano normalmente esposti i lavoratori (che rappresenta un valore inaccettabile per la popolazione) e il valore di eventi casuali, quale la morte a seguito di un fulmine (che rappresenta un valore di fatto accettato dall’intera popolazione). A mero titolo esemplificativo, un valore soglia spesso utilizzato è dell’ordine di 10–6 anni–1.

Per quanto riguarda l’indicatore di rischio sociale, la logica con cui vengono definiti i criteri di accettabilità si basa sull’assunto che una situazione con un elevato numero di morti attesi risulta inaccettabile anche se la frequenza di accadimento attesa è bassa, così come è inaccettabile una situazione con un basso numero di morti se la sua frequenza di accadimento è elevata. Questo porta a identificare regioni di accettabilità, non accettabilità e ALARP sui diagrammi che riportano le curve F-N, come mostrato a mero titolo di esempio in fig 7. Qualsiasi curva F-N che intersechi la regione non accettabile rappresenta una situazione inaccettabile.

Infine le stime qualitative del rischio, sintetizzate in matrici di rischio sono riportate in fig. 5 con i possibili criteri di accettabilità; sempre a mero titolo di esempio.

Qualsiasi evento indesiderato classificato in una delle caselle della zona non accettabile rappresenta una situazione inaccettabile.

Nel caso di situazioni inaccettabili è necessario prevedere misure di mitigazione del rischio che possono essere strutturali o non strutturali, e che possono agire sulle due componenti del rischio attraverso la riduzione della magnitudo degli eventi indesiderati (misure di protezione) o della probabilità di accadimento degli stessi (misure di prevenzione). Le misure possono essere di diversa natura, per esempio di tipo tecnico, organizzativo, gestionale, di pianificazione territoriale.

Di seguito sono riportate alcune misure che tipicamente vengono considerate per la riduzione del rischio derivante da un insediamento industriale.

Misure tese alla riduzione dell’intensità degli effetti dell’evento indesiderato: (a) sostituzione dei materiali utilizzati con altri meno pericolosi e riduzione della pressione e della temperatura a cui vengono utilizzati o stoccati, attraverso modifiche e ottimizzazioni del processo; (b) riduzione delle quantità di materiali pericolosi presenti attraverso modifiche dell’impianto; (c) riduzione delle eventuali emissioni attraverso sistemi di identificazione e intercettazione rapida delle perdite; (d) accelerazione della dispersione dei composti rilasciati attraverso barriere d’acqua o di vapore; (e) riduzione della probabilità di un effetto domino attraverso distanze di sicurezza e barriere fisiche per la protezione delle apparecchiature; (f) riduzione dei danni derivanti da incendi attraverso la creazione di sistemi antincendio.

Misure tese alla riduzione della probabilità di accadimento dell’evento indesiderato: (a) riduzione della probabilità di guasto delle apparecchiature, attraverso un adeguato progetto, selezione e manutenzione delle apparecchiature stesse; (b) riduzione della probabilità di ignizione attraverso l’utilizzo di apparecchiature progettate per lavorare in presenza di atmosfere esplosive; (c) installazione di sistemi di sicurezza che entrino in funzione quando i sistemi di controllo falliscono, quali per esempio i dispositivi di scarico di emergenza (valvole di sicurezza e dischi di rottura) per la protezione delle apparecchiature dalle pressioni eccessive; (d) riduzione della probabilità di malfunzionamento dei sistemi di controllo e di sicurezza attraverso il principio della ridondanza, consistente nel duplicare completamente le apparecchiature critiche così che il malfunzionamento richieda il guasto simultaneo di due sistemi di controllo o di sicurezza; (e) riduzione della probabilità di errori umani attraverso interblocchi che impediscano operazioni scorrette particolarmente critiche per la sicurezza; (f) un adeguato programma di formazione del personale e la creazione di adeguate procedure di lavoro.

Misure tese alla riduzione del danno: (a) riduzione della popolazione esposta in caso di incidente attraverso misure di pianificazione territoriale, compresa la localizzazione degli insediamenti industriali; (b) riduzione dei danni della popolazione colpita attraverso la predisposizione di piani di emergenza.

Una volta che tali misure siano state decise, è necessario ripercorrere le fasi precedenti e rifare l’analisi di rischio per la nuova situazione al fine di verificare da un lato che l’obiettivo di riduzione del rischio al di sotto della soglia di accettabilità sia stato raggiunto, e dall’altro che le modifiche introdotte non abbiano creato inavvertitamente delle situazioni con maggior rischio di quelle di partenza.

Raggiunta una situazione soddisfacente è poi necessario monitorare continuamente che il rischio residuo (cioè quello che si è deciso di accettare) non si aggravi significativamente nel corso della vita dell’insediamento industriale. A questo importante compito risponde un sistema di gestione della sicurezza, che deve sempre essere presente nell’organigramma di un insediamento industriale per sovrintendere tutte le modifiche che normalmente si rendono necessarie durante la vita dell’insediamento stesso e per garantire il permanere in completa efficienza delle misure di prevenzione e protezione ritenute necessarie.

Bibliografia

CCPS (Center for Chemical Process Safety) 1999: Guidelines for chemical process quantitative risk analysis, New York, Wiley, 1999.

CCPS (Center for Chemical Process Safety) 2007: Guidelines for risk based process safety, New York, Wiley, 2007.

Mannan 2005: Lee’s loss prevention in the process industries, 3. ed., edited by Sam Mannan, London, Elsevier Butterworth-Heinemann, 2005, 3 v.

Ridley, Channing 2003: Safety at work, 6. ed., edited by John Ridley, John Channing, Amsterdam-London, Butterworth-Heinemann, 2003.

Vedi anche
tecnologia Settore di ricerca multidisciplinare con oggetto lo sviluppo e l’applicazione di strumenti tecnici, ossia di quanto è applicabile alla soluzione di problemi pratici, all’ottimizzazione di procedure, alla presa di decisioni, alla scelta di strategie finalizzate a dati obiettivi, sulla base di conoscenze ... sovrapressione Eccesso di pressione rispetto a un valore di riferimento, per es. rispetto alla pressione atmosferica ambiente; nelle condotte in pressione possono manifestarsi pericolose s. in fase di chiusura. produzione L’insieme delle operazioni, semplici o complesse, attraverso le quali si produce un bene trasformando altri beni. Costo di p. Le spese sopportate per produrre, cioè il complesso dei beni e servizi che viene consumato per produrre altri beni o servizi (➔ costo). Fattore, mezzo o agente di p. Ogni bene ... industria In senso generico, l’attività umana diretta alla produzione di beni e servizi, anche nelle sue forme più semplici e non organizzate. In senso specifico, ogni attività produttiva del settore secondario (diversa quindi dalla produzione agricola o settore primario, e dalle attività commerciali e di servizi, ...
Indice
Categorie
Tag
Vocabolario
sicurézza
sicurezza sicurézza s. f. [der. di sicuro]. – 1. a. Il fatto di essere sicuro, come condizione che rende e fa sentire di essere esente da pericoli, o che dà la possibilità di prevenire, eliminare o rendere meno gravi danni, rischi, difficoltà,...
piano-sicurezza
piano-sicurezza (piano sicurezza), loc. s.le m. ◆ [tit.] Natale, scatta il piano sicurezza «Sul territorio 200 agenti in più» [testo] […] L’obiettivo è alzare gli standard di sicurezza nella capitale sia sul fronte dell’antiterrorismo sia...