Venerdì, Aprile 01 2011 00: 48

Rischi hardware

Vota questo gioco
(13 voti )

Questo articolo affronta i pericoli "macchina", quelli che sono specifici delle apparecchiature e dell'hardware utilizzati nei processi industriali associati a recipienti a pressione, apparecchiature di processo, macchine potenti e altre operazioni intrinsecamente rischiose. Questo articolo non affronta i rischi per i lavoratori, che implicano le azioni e il comportamento degli individui, come lo scivolamento sulle superfici di lavoro, la caduta dall'alto e i pericoli derivanti dall'uso di strumenti ordinari. Questo articolo si concentra sui rischi della macchina, che sono caratteristici di un ambiente di lavoro industriale. Poiché questi pericoli minacciano chiunque sia presente e possono anche costituire una minaccia per i vicini e l'ambiente esterno, i metodi di analisi ei mezzi di prevenzione e controllo sono simili ai metodi utilizzati per affrontare i rischi per l'ambiente derivanti dalle attività industriali.

Rischi della macchina

L'hardware di buona qualità è molto affidabile e la maggior parte dei guasti è causata da effetti secondari come incendio, corrosione, uso improprio e così via. Tuttavia, l'hardware può essere evidenziato in alcuni incidenti, perché un componente hardware difettoso è spesso l'anello più evidente o visibilmente prominente della catena di eventi. Sebbene il termine hardware è usato in senso lato, esempi illustrativi di guasti hardware e dei loro immediati "dintorni" nella causa degli incidenti sono stati presi dai luoghi di lavoro industriali. I candidati tipici per l'indagine sui pericoli della "macchina" includono, a titolo esemplificativo ma non esaustivo, quanto segue:

  • recipienti a pressione e tubi
  • motori, motori, turbine e altre macchine rotanti
  • reattori chimici e nucleari
  • ponteggi, ponti, ecc.
  • laser e altri radiatori di energia
  • macchine per il taglio e la perforazione, ecc.
  • attrezzatura per saldatura.

 

Effetti dell'energia

I rischi legati all'hardware possono includere usi errati, errori di costruzione o frequenti sovraccarichi, e di conseguenza la loro analisi e mitigazione o prevenzione può seguire direzioni piuttosto diverse. Tuttavia, le forme di energia fisica e chimica che sfuggono al controllo umano sono spesso al centro dei pericoli dell'hardware. Pertanto, un metodo molto generale per identificare i pericoli dell'hardware è cercare le energie che sono normalmente controllate con l'effettivo pezzo di attrezzatura o macchinario, come un recipiente a pressione contenente ammoniaca o cloro. Altri metodi utilizzano lo scopo o la funzione prevista dell'hardware effettivo come punto di partenza e quindi cercano i probabili effetti di malfunzionamenti e guasti. Ad esempio, un ponte che non assolve alla sua funzione primaria esporrà i soggetti sul ponte al rischio di caduta; altri effetti del crollo di un ponte saranno quelli secondari della caduta di oggetti, siano essi parti strutturali del ponte o oggetti situati sul ponte. Più in basso nella catena delle conseguenze, potrebbero esserci effetti derivati ​​relativi a funzioni in altre parti del sistema che dipendevano dal fatto che il ponte svolgesse correttamente la sua funzione, come l'interruzione del traffico veicolare di risposta alle emergenze a causa di un altro incidente.

Oltre ai concetti di "energia controllata" e "funzione prevista", le sostanze pericolose devono essere affrontate ponendo domande come "Come potrebbe essere rilasciato l'agente X da recipienti, serbatoi o sistemi di tubazioni e come potrebbe essere prodotto l'agente Y?" (uno o entrambi possono essere pericolosi). L'agente X potrebbe essere un gas pressurizzato o un solvente, e l'agente Y potrebbe essere una diossina estremamente tossica la cui formazione è favorita dalle “giuste” temperature in alcuni processi chimici, oppure potrebbe essere prodotta da una rapida ossidazione, come risultato di un incendio . Tuttavia, i possibili pericoli si sommano a molto di più dei semplici rischi delle sostanze pericolose. Potrebbero esistere condizioni o influenze che consentono alla presenza di un particolare componente hardware di portare a conseguenze dannose per l'uomo.

Ambiente di lavoro industriale

I pericoli della macchina implicano anche fattori di carico o stress che possono essere pericolosi a lungo termine, come i seguenti:

  • temperature di lavoro estreme
  • intensità elevate di luce, rumore o altri stimoli
  • qualità dell'aria inferiore
  • richieste o carichi di lavoro estremi.

 

Questi pericoli possono essere riconosciuti e le precauzioni prese perché le condizioni pericolose sono già presenti. Non dipendono da qualche cambiamento strutturale nell'hardware per verificarsi e funzionare con un risultato dannoso, o da qualche evento speciale per provocare danni o lesioni. Anche i pericoli a lungo termine hanno origini specifiche nell'ambiente di lavoro, ma devono essere identificati e valutati osservando i lavoratori e le mansioni, invece di limitarsi ad analizzare la struttura e le funzioni dell'hardware.

Rischi hardware o macchina pericolosi di solito sono eccezionali e piuttosto raramente si trovano in un ambiente di lavoro solido, ma non possono essere evitati del tutto. Diversi tipi di energia incontrollata, come i seguenti agenti di rischio, può essere la conseguenza immediata di un malfunzionamento dell'hardware:

  • rilasci nocivi di gas, liquidi, polveri o altre sostanze pericolose
  • fuoco ed esplosione
  • alte tensioni
  • oggetti che cadono, missili, ecc.
  • campi elettrici e magnetici
  • taglio, intrappolamento, ecc.
  • spostamento dell'ossigeno
  • radiazioni nucleari, raggi X e luce laser
  • allagamento o annegamento
  • getti di liquido caldo o vapore.

 

Agenti di rischio

Oggetti in movimento. Oggetti che cadono e volano, flussi di liquidi e getti di liquido o vapore, come quelli elencati, sono spesso le prime conseguenze esterne di guasti hardware o apparecchiature e rappresentano un'ampia percentuale di incidenti.

Sostanze chimiche. I rischi chimici contribuiscono anche agli incidenti sul lavoro e incidono sull'ambiente e sul pubblico. Gli incidenti di Seveso e Bhopal hanno comportato rilasci di sostanze chimiche che hanno colpito numerosi membri del pubblico, e molti incendi ed esplosioni industriali rilasciano sostanze chimiche e fumi nell'atmosfera. Gli incidenti stradali che coinvolgono camion per la consegna di benzina o prodotti chimici o altri trasporti di merci pericolose, uniscono due agenti di rischio: oggetti in movimento e sostanze chimiche.

Energia elettromagnetica. Campi elettrici e magnetici, raggi X e raggi gamma sono tutte manifestazioni dell'elettromagnetismo, ma sono spesso trattati separatamente in quanto si incontrano in circostanze piuttosto diverse. Tuttavia, i pericoli dell'elettromagnetismo hanno alcuni tratti generali: i campi e le radiazioni penetrano nei corpi umani invece di entrare in contatto solo con l'area di applicazione e non possono essere rilevati direttamente, sebbene intensità molto elevate causino il riscaldamento delle parti del corpo interessate. I campi magnetici sono creati dal flusso di corrente elettrica e campi magnetici intensi si trovano in prossimità di grandi motori elettrici, attrezzature per la saldatura ad arco elettrico, apparecchi per l'elettrolisi, lavori in metallo e così via. I campi elettrici accompagnano la tensione elettrica, e anche le normali tensioni di rete da 200 a 300 volt provocano l'accumulo di sporcizia per diversi anni, segno visibile dell'esistenza del campo, effetto noto anche in relazione a linee elettriche ad alta tensione, cinescopi televisivi , monitor di computer e così via.

I campi elettromagnetici si trovano per lo più piuttosto vicini alle loro sorgenti, ma elettromagnetici radiazione è un viaggiatore a lunga distanza, come esemplificano i radar e le onde radio. La radiazione elettromagnetica viene diffusa, riflessa e smorzata mentre attraversa lo spazio e incontra oggetti, superfici, sostanze e atmosfere diverse e simili; la sua intensità è quindi ridotta in diversi modi.

Le caratteristiche generali delle fonti di pericolo elettromagnetico (EM) sono:

  • Gli strumenti sono necessari per rilevare la presenza di campi EM o radiazioni EM.
  • EM non lascia tracce primarie sotto forma di “contaminazione”.
  • Gli effetti pericolosi sono generalmente ritardati oa lungo termine, ma nei casi più gravi sono causate ustioni immediate.
  • I raggi X ei raggi gamma sono smorzati, ma non fermati, dal piombo e da altri elementi pesanti.
  • I campi magnetici ei raggi X vengono immediatamente interrotti quando la sorgente viene diseccitata o l'apparecchiatura spenta.
  • I campi elettrici possono sopravvivere per lunghi periodi dopo aver spento i sistemi di generazione.
  • I raggi gamma provengono da processi nucleari e queste sorgenti di radiazioni non possono essere spente come molte sorgenti EM.

 

Radiazione nucleare. I pericoli associati alle radiazioni nucleari sono di particolare interesse per i lavoratori delle centrali nucleari e degli impianti che lavorano con materiali nucleari come la produzione di combustibili e il ritrattamento, il trasporto e lo stoccaggio di materiale radioattivo. Le sorgenti di radiazioni nucleari sono utilizzate anche in medicina e da alcune industrie per la misurazione e il controllo. Un utilizzo più comune è negli allarmi antincendio/rilevatori di fumo, che utilizzano un emettitore di particelle alfa come l'americio per monitorare l'atmosfera.

I rischi nucleari sono principalmente incentrati su cinque fattori:

  • raggi gamma
  • neutroni
  • particelle beta (elettroni)
  • particelle alfa (nuclei di elio)
  • contaminazione.

 

I pericoli derivano dal radioattivo processi di fissione nucleare e decadimento di materiali radioattivi. Questo tipo di radiazione viene emessa dai processi del reattore, dal combustibile del reattore, dal materiale moderatore del reattore, dai prodotti di fissione gassosi che possono essere sviluppati e da alcuni materiali da costruzione che vengono attivati ​​dall'esposizione alle emissioni radioattive derivanti dal funzionamento del reattore.

Altri agenti di rischio. Altre classi di agenti di rischio che rilasciano o emettono energia includono:

  • Radiazione UV e luce laser
  • infrasuoni
  • suono ad alta intensità
  • vibrazione.

 

Attivazione dei rischi hardware

Entrambi improvviso ed graduale il passaggio dalla condizione controllata - o "sicura" - a una condizione di maggiore pericolo può avvenire attraverso le seguenti circostanze, che possono essere controllate attraverso mezzi organizzativi appropriati come l'esperienza dell'utente, l'istruzione, le competenze, la sorveglianza e il test delle apparecchiature:

  • usura e sovraccarichi
  • impatto esterno (incendio o urto)
  • invecchiamento e fallimento
  • errato approvvigionamento (energia, materie prime)
  • manutenzione e riparazione insufficienti
  • errore di controllo o di processo
  • uso improprio o applicazione errata
  • rottura dell'hardware
  • malfunzionamento della barriera.

 

Poiché operazioni corrette non possono compensare in modo affidabile una progettazione e un'installazione improprie, è importante considerare l'intero processo, dalla selezione e progettazione fino all'installazione, all'uso, alla manutenzione e al collaudo, al fine di valutare lo stato e le condizioni effettive dell'articolo hardware.

Caso di pericolo: il serbatoio del gas pressurizzato

Il gas può essere contenuto in contenitori adatti per lo stoccaggio o il trasporto, come le bombole di gas e ossigeno utilizzate dai saldatori. Spesso il gas viene movimentato ad alta pressione, consentendo un notevole aumento della capacità di stoccaggio, ma con un maggior rischio di incidenti. Il fenomeno accidentale chiave nello stoccaggio di gas in pressione è la creazione improvvisa di un foro nel serbatoio, con questi risultati:

  • cessa la funzione di confinamento del serbatoio
  • il gas confinato ha accesso immediato all'atmosfera circostante.

 

Lo sviluppo di un tale incidente dipende da questi fattori:

  • il tipo e la quantità di gas nel serbatoio
  • la situazione del foro in relazione al contenuto del serbatoio
  • la dimensione iniziale e il successivo tasso di crescita del foro
  • la temperatura e la pressione del gas e dell'apparecchiatura
  • le condizioni nell'ambiente circostante (fonti di ignizione, persone, ecc.).

 

Il contenuto del serbatoio può essere rilasciato quasi immediatamente o per un periodo di tempo e comportare diversi scenari, dall'esplosione di gas libero da un serbatoio rotto, a rilasci moderati e piuttosto lenti da piccole forature.

Il comportamento di vari gas in caso di perdita

Quando si sviluppano modelli di calcolo del rilascio, è molto importante determinare le seguenti condizioni che influenzano il potenziale comportamento del sistema:

  • la fase gassosa dietro il foro (gassosa o liquida?)
  • condizioni di temperatura e vento
  • l'eventuale ingresso di altre sostanze nel sistema o la loro eventuale presenza nell'ambiente circostante
  • barriere e altri ostacoli.

 

I calcoli esatti relativi a un processo di rilascio in cui il gas liquefatto fuoriesce da un foro sotto forma di getto e poi evapora (o, in alternativa, diventa prima una nebbia di goccioline) sono difficili. Anche la specificazione della successiva dispersione delle nubi risultanti è un problema difficile. Occorre considerare i movimenti e la dispersione dei rilasci di gas, se il gas forma nubi visibili o invisibili e se il gas sale o rimane a livello del suolo.

Mentre l'idrogeno è un gas leggero rispetto a qualsiasi atmosfera, il gas di ammoniaca (NH3, con un peso molecolare di 17.0) salirà in una normale atmosfera di ossigeno-azoto simile all'aria alla stessa temperatura e pressione. Cloro (cl2, con un peso molecolare di 70.9) e butano (C4H10, mol. wt.58) sono esempi di sostanze chimiche le cui fasi gassose sono più dense dell'aria, anche a temperatura ambiente. Acetilene (c2H2, mol. peso. 26.0) ha una densità di circa 0.90g/l, prossima a quella dell'aria (1.0g/l), il che significa che in un ambiente di lavoro il gas di saldatura fuoriuscito non avrà una marcata tendenza a fluttuare verso l'alto o ad affondare verso il basso; quindi può mescolarsi facilmente con l'atmosfera.

Ma l'ammoniaca rilasciata da un recipiente a pressione come liquido inizialmente si raffredderà a causa della sua evaporazione e potrebbe quindi fuoriuscire attraverso diversi passaggi:

  • L'ammoniaca liquida pressurizzata emana dal foro nel serbatoio come getto o nuvola.
  • Sulle superfici più vicine possono formarsi mari di ammoniaca liquida.
  • L'ammoniaca evapora, raffreddando se stessa e l'ambiente circostante.
  • Il gas di ammoniaca scambia gradualmente calore con l'ambiente circostante e si equilibra con la temperatura ambiente.

 

Anche una nuvola di gas leggero potrebbe non sollevarsi immediatamente da un rilascio di gas liquido; può prima formare una nebbia - una nuvola di goccioline - e rimanere vicino al suolo. Il movimento della nube di gas e la sua graduale miscelazione/diluizione con l'atmosfera circostante dipende dai parametri meteorologici e dall'ambiente circostante: area chiusa, area aperta, case, traffico, presenza di pubblico, lavoratori e così via.

Guasto del serbatoio

Le conseguenze del guasto del serbatoio possono comportare incendio ed esplosione, asfissia, avvelenamento e soffocamento, come dimostra l'esperienza con i sistemi di produzione e trattamento del gas (propano, metano, azoto, idrogeno, ecc.), con i serbatoi di ammoniaca o cloro e con la saldatura a gas ( utilizzando acetilene e ossigeno). Ciò che effettivamente avvia la formazione di un buco in un serbatoio ha una forte influenza sul "comportamento" del buco - che a sua volta influenza il deflusso del gas - ed è cruciale per l'efficacia degli sforzi di prevenzione. Un recipiente a pressione è progettato e costruito per resistere a determinate condizioni di utilizzo e impatto ambientale e per gestire un determinato gas, o forse una scelta di gas. Le effettive capacità di un serbatoio dipendono dalla sua forma, dai materiali, dalle saldature, dalla protezione, dall'uso e dal clima; pertanto, la valutazione della sua adeguatezza come contenitore per gas pericolosi deve tenere conto delle specifiche del progettista, della storia del serbatoio, delle ispezioni e dei test. Le aree critiche includono i cordoni di saldatura utilizzati sulla maggior parte dei recipienti a pressione; i punti di collegamento alla nave di pertinenze quali prese, prese, sostegni e strumenti; le estremità piatte di serbatoi cilindrici come i serbatoi ferroviari; e altri aspetti di forme geometriche ancora meno ottimali.

I cordoni di saldatura vengono esaminati visivamente, mediante raggi X o mediante test distruttivi di campioni, poiché questi possono rivelare difetti locali, ad esempio sotto forma di resistenza ridotta che potrebbe mettere in pericolo la resistenza complessiva della nave, o addirittura essere un punto di innesco per il serbatoio acuto fallimento.

La robustezza del serbatoio è influenzata dalla storia di utilizzo del serbatoio, in primo luogo dai normali processi di usura e dai graffi e dagli attacchi di corrosione tipici del particolare settore e dell'applicazione. Altri parametri storici di particolare interesse includono:

  • sovrapressione casuale
  • riscaldamento o raffreddamento estremo (interno o esterno)
  • impatti meccanici
  • vibrazioni e stress
  • sostanze che sono state immagazzinate o sono passate attraverso il serbatoio
  • sostanze utilizzate durante la pulizia, la manutenzione e la riparazione.

 

Il materiale di costruzione - lamiera di acciaio, lamiera di alluminio, calcestruzzo per applicazioni non pressurizzate e così via - può subire deterioramenti a causa di queste influenze in modi che non è sempre possibile controllare senza sovraccaricare o distruggere l'apparecchiatura durante il collaudo.

Caso di incidente: Flixborough

L'esplosione di una grande nube di cicloesano a Flixborough (Regno Unito) nel 1974, che uccise 28 persone e causò ingenti danni alle piante, costituisce un caso molto istruttivo. L'evento scatenante è stata la rottura di una tubazione temporanea che fungeva da sostituto in un'unità reattore. L'incidente è stato "causato" dalla rottura di un pezzo di ferramenta, ma a un'indagine più attenta è emerso che il guasto è stato causato da un sovraccarico e che la costruzione temporanea era in realtà inadeguata per l'uso previsto. Dopo due mesi di servizio, il tubo è stato esposto a forze di flessione dovute a un leggero aumento di pressione dei 10 bar (106 Pa) contenuto di cicloesano a circa 150°C. I due soffietti tra il tubo ei reattori vicini si sono rotti e sono state rilasciate da 30 a 50 tonnellate di cicloesano che sono state presto incendiate, probabilmente da una fornace a una certa distanza dalla perdita. (Vedi figura 1.) Un resoconto molto leggibile del caso si trova in Kletz (1988).

Figura 1. Connessione temporanea tra serbatoi a Flixborough

SAF030F1

Hazard Analysis

I metodi che sono stati sviluppati per trovare i rischi che possono essere rilevanti per un'apparecchiatura, per un processo chimico o per una determinata operazione sono indicati come "analisi dei rischi". Questi metodi pongono domande come: "Cosa potrebbe andare storto?" "Potrebbe essere grave?" e "Cosa si può fare al riguardo?" Diversi metodi di conduzione delle analisi sono spesso combinati per ottenere una copertura ragionevole, ma nessuno di questi set può fare di più che guidare o assistere un gruppo di analisti intelligenti nelle loro determinazioni. Le principali difficoltà con l'analisi dei pericoli sono le seguenti:

  • disponibilità di dati pertinenti
  • limiti di modelli e calcoli
  • materiali, costruzioni e processi nuovi e sconosciuti
  • complessità del sistema
  • limiti dell'immaginazione umana
  • limitazioni alle prove pratiche.

 

Per produrre valutazioni del rischio utilizzabili in queste circostanze è importante definire rigorosamente l'ambito e il livello di "ambizione" appropriato all'analisi in questione; ad esempio, è chiaro che non è necessario lo stesso tipo di informazioni per scopi assicurativi come per scopi di progettazione, o per la pianificazione di schemi di protezione e la costruzione di dispositivi di emergenza. In generale, il quadro di rischio deve essere compilato mescolando tecniche empiriche (cioè statistiche) con ragionamento deduttivo e immaginazione creativa.

Diversi strumenti di valutazione del rischio, anche programmi per computer per l'analisi del rischio, possono essere molto utili. Lo studio dei pericoli e dell'operabilità (HAZOP) e l'analisi delle modalità e degli effetti dei guasti (FMEA) sono metodi comunemente usati per indagare sui pericoli, specialmente nell'industria chimica. Il punto di partenza del metodo HAZOP è la tracciatura di possibili scenari di rischio sulla base di un insieme di parole guida; per ogni scenario si devono identificare probabili cause e conseguenze. Nella seconda fase, si cerca di trovare mezzi per ridurre le probabilità o mitigare le conseguenze di quegli scenari giudicati inaccettabili. Una revisione del metodo HAZOP può essere trovata in Charsley (1995). Il metodo FMEA pone una serie di domande "what if" per ogni possibile componente di rischio al fine di determinare accuratamente quali modalità di errore possono esistere e quindi identificare gli effetti che possono avere sulle prestazioni del sistema; tale analisi sarà illustrata nell'esempio dimostrativo (per un sistema a gas) presentato più avanti in questo articolo.

Alberi di guasto e gli alberi degli eventi e le modalità di analisi logica proprie delle strutture di causalità degli incidenti e del ragionamento probabilistico non sono in alcun modo specifici dell'analisi dei pericoli hardware, in quanto sono strumenti generali per la valutazione dei rischi del sistema.

Tracciamento dei rischi hardware in un impianto industriale

Per identificare possibili pericoli, informazioni sulla costruzione e sul funzionamento possono essere ricercate da:

  • attrezzature e impianti veri e propri
  • sostituti e modelli
  • disegni, schemi elettrici, schemi di tubazioni e strumentazione (P/I), ecc.
  • descrizioni di processo
  • schemi di controllo
  • modalità e fasi di funzionamento
  • ordini di lavoro, ordini di modifica, rapporti di manutenzione, ecc.

 

Selezionando e digerendo tali informazioni, gli analisti formano un'immagine dell'oggetto di rischio stesso, delle sue funzioni e del suo effettivo utilizzo. Dove le cose non sono ancora costruite - o non sono disponibili per l'ispezione - non possono essere fatte osservazioni importanti e la valutazione deve basarsi interamente su descrizioni, intenzioni e progetti. Tale valutazione potrebbe sembrare piuttosto scadente, ma in realtà la maggior parte delle valutazioni pratiche del rischio viene effettuata in questo modo, sia per ottenere l'approvazione autorevole per le domande di intraprendere nuove costruzioni, sia per confrontare la relativa sicurezza di soluzioni progettuali alternative. I processi di vita reale saranno consultati per le informazioni non mostrate nei diagrammi formali o descritte verbalmente da interviste e per verificare che le informazioni raccolte da queste fonti siano fattuali e rappresentino condizioni reali. Questi includono quanto segue:

  • prassi e cultura attuali
  • ulteriori meccanismi di guasto/dettagli costruttivi
  • "percorsi furtivi" (vedi sotto)
  • cause di errore comuni
  • rischi da fonti esterne/missili
  • particolari esposizioni o conseguenze
  • incidenti passati, incidenti e quasi incidenti.

 

La maggior parte di queste informazioni aggiuntive, in particolare i percorsi nascosti, è rilevabile solo da osservatori creativi e qualificati con una notevole esperienza, e alcune delle informazioni sarebbero quasi impossibili da tracciare con mappe e diagrammi. Percorsi furtivi denotano interazioni non intenzionali e impreviste tra sistemi, in cui il funzionamento di un sistema influenza la condizione o il funzionamento di un altro sistema attraverso modi diversi da quelli funzionali. Ciò accade in genere quando parti funzionalmente diverse sono situate l'una vicino all'altra o (ad esempio) una sostanza che perde gocciola sull'apparecchiatura sottostante e provoca un guasto. Un'altra modalità di azione di un percorso invisibile può comportare l'introduzione di sostanze o parti sbagliate in un sistema per mezzo di strumenti o strumenti durante il funzionamento o la manutenzione: le strutture previste e le loro funzioni previste vengono modificate attraverso i percorsi nascosti. Di guasti di modo comune uno significa che determinate condizioni, come allagamenti, fulmini o interruzioni di corrente, possono disturbare più sistemi contemporaneamente, portando forse a blackout o incidenti inaspettatamente estesi. In generale, si cerca di evitare effetti di percorso nascosto e guasti di modo comune attraverso layout adeguati e introducendo distanza, isolamento e diversità nelle operazioni di lavoro.

Un caso di analisi dei rischi: consegna di gas da una nave a un serbatoio

La figura 2 mostra un sistema per la consegna di gas da una nave da trasporto a un serbatoio di stoccaggio. Una perdita potrebbe apparire ovunque in questo sistema: nave, linea di trasmissione, serbatoio o linea di uscita; dati i due invasi del serbatoio, una perdita da qualche parte sulla linea potrebbe rimanere attiva per ore.

Figura 2. Linea di trasmissione per la consegna di gas liquido dalla nave al serbatoio di stoccaggio

SAF030F2

I componenti più critici del sistema sono i seguenti:

  • il serbatoio di accumulo
  • la tubazione o tubo flessibile tra il serbatoio e la nave
  • altri tubi, linee, valvole e connessioni
  • la valvola di sicurezza sul serbatoio di accumulo
  • le valvole di arresto di emergenza ESD 1 e 2.

 

Un serbatoio di stoccaggio con un grande inventario di gas liquido è posto in cima a questo elenco, perché è difficile fermare una perdita da un serbatoio con breve preavviso. Il secondo elemento dell'elenco - il collegamento alla nave - è fondamentale perché le perdite nel tubo o nel tubo flessibile e le connessioni allentate o gli accoppiamenti con guarnizioni usurate e le variazioni tra le diverse navi potrebbero rilasciare il prodotto. Le parti flessibili come tubi flessibili e soffietti sono più critiche delle parti rigide e richiedono manutenzione e ispezione regolari. I dispositivi di sicurezza come la valvola di rilascio della pressione sulla parte superiore del serbatoio e le due valvole di arresto di emergenza sono fondamentali, poiché devono essere utilizzati per rivelare guasti latenti o in via di sviluppo.

Fino a questo punto, la classifica dei componenti del sistema per quanto riguarda la loro importanza rispetto all'affidabilità è stata solo di carattere generale. Ora, per scopi analitici, si attirerà l'attenzione sulle funzioni particolari del sistema, la principale essendo ovviamente il movimento del gas liquefatto dalla nave al serbatoio di stoccaggio fino a quando il serbatoio della nave collegato è vuoto. Il pericolo prevalente è una fuga di gas, i possibili meccanismi contributivi sono uno o più dei seguenti:

  • raccordi o valvole che perdono
  • rottura del serbatoio
  • rottura del tubo o del tubo flessibile
  • rottura del serbatoio.

 

Applicazione del metodo FMEA

L'idea centrale dell'approccio FMEA, o analisi "what if", è registrare esplicitamente, per ogni componente del sistema, le sue modalità di guasto, e per ogni guasto trovare le possibili conseguenze per il sistema e per l'ambiente. Per i componenti standard come un serbatoio, un tubo, una valvola, una pompa, un flussometro e così via, le modalità di guasto seguono schemi generali. Nel caso di una valvola, ad esempio, le modalità di guasto potrebbero includere le seguenti condizioni:

  • La valvola non può chiudersi su richiesta (il flusso è ridotto attraverso una valvola “aperta”).
  • La valvola perde (c'è un flusso residuo attraverso una valvola “chiusa”).
  • La valvola non può aprirsi su richiesta (la posizione della valvola oscilla).

 

Per una pipeline, le modalità di errore considererebbero elementi come:

  • un flusso ridotto
  • una perdita
  • un flusso interrotto a causa di un blocco
  • un'interruzione della linea.

 

Gli effetti delle perdite sembrano evidenti, ma a volte gli effetti più importanti potrebbero non essere i primi effetti: cosa succede, ad esempio, se una valvola è bloccata in una posizione semiaperta? Una valvola di intercettazione sulla linea di mandata che non si apre completamente su richiesta ritarderà il processo di riempimento del serbatoio, una conseguenza non pericolosa. Tuttavia, se la condizione di "blocco semiaperto" si verifica contemporaneamente a una richiesta di chiusura, in un momento in cui il serbatoio è quasi pieno, potrebbe verificarsi un riempimento eccessivo (a meno che la valvola di arresto di emergenza non venga attivata con successo). In un sistema progettato e gestito correttamente, la probabilità che entrambe queste valvole siano bloccate contemporaneamente sarà mantenuto piuttosto basso.

Chiaramente una valvola di sicurezza che non funziona su richiesta potrebbe significare un disastro; infatti, si potrebbe legittimamente affermare che i guasti latenti minacciano costantemente tutti i dispositivi di sicurezza. Le valvole limitatrici di pressione, ad esempio, possono essere difettose a causa di corrosione, sporco o vernice (tipicamente a causa di una cattiva manutenzione) e, nel caso di gas liquido, tali difetti in combinazione con la diminuzione della temperatura in caso di fuga di gas potrebbero produrre ghiaccio e quindi ridurre o forse arrestare il flusso di materiale attraverso una valvola di sicurezza. Se una valvola limitatrice di pressione non funziona su richiesta, la pressione può accumularsi in un serbatoio o nei sistemi di serbatoi collegati, provocando infine altre perdite o la rottura del serbatoio.

Per semplicità, gli strumenti non sono mostrati in figura 2; non mancheranno ovviamente gli strumenti relativi a pressione, flusso e temperatura, che sono parametri essenziali per il monitoraggio dello stato del sistema, i relativi segnali vengono trasmessi alle console operatore o ad una sala di controllo per scopi di controllo e monitoraggio. Inoltre, saranno previste linee di alimentazione diverse da quelle destinate al trasporto dei materiali - per l'energia elettrica, idraulica e così via - e ulteriori dispositivi di sicurezza. Un'analisi completa deve passare anche attraverso questi sistemi e cercare le modalità di guasto e anche gli effetti di questi componenti. In particolare, il lavoro di investigazione sugli effetti di modo comune e sui percorsi furtivi richiede di costruire il quadro integrale dei principali componenti del sistema, controlli, strumenti, forniture, operatori, orari di lavoro, manutenzione e così via.

Esempi di effetti di modo comune da considerare in relazione ai sistemi a gas sono affrontati da domande come queste:

  • I segnali di attivazione delle valvole di mandata e delle valvole di arresto di emergenza vengono trasmessi su una linea comune (cavi, canali di cablaggio)?
  • Due valvole date condividono la stessa linea elettrica?
  • La manutenzione viene eseguita dalla stessa persona secondo un programma prestabilito?

 

Anche un impianto ottimamente progettato con ridondanza e linee di alimentazione indipendenti può soffrire di una manutenzione inferiore, dove, ad esempio, una valvola e la sua valvola di riserva (nel nostro caso la valvola di arresto di emergenza) sono state lasciate in uno stato errato dopo un test. Un importante effetto di modo comune con un sistema di gestione dell'ammoniaca è la situazione di perdita stessa: una perdita moderata può rendere tutte le operazioni manuali sui componenti dell'impianto piuttosto scomode - e ritardate - a causa dell'implementazione della necessaria protezione di emergenza.

In breve

I componenti hardware sono molto raramente le parti colpevoli nello sviluppo di incidenti; anzi, ci sono cause profonde da ricercare in altri anelli della catena: concetti sbagliati, cattiva progettazione, errori di manutenzione, errori di operatore, errori di gestione e così via. Sono già stati forniti diversi esempi delle condizioni e degli atti specifici che possono portare al fallimento dello sviluppo; un'ampia raccolta di tali agenti terrebbe conto di quanto segue:

  • collisione
  • corrosione, incisione
  • carichi eccessivi
  • supporto difettoso e parti invecchiate o usurate
  • lavori di saldatura di bassa qualità
  • missili
  • parti mancanti
  • surriscaldamento o raffreddamento
  • vibrazione
  • materiale da costruzione sbagliato utilizzato.

 

Il controllo dei rischi hardware in un ambiente di lavoro richiede la revisione di tutte le possibili cause e il rispetto delle condizioni che risultano essere critiche con i sistemi reali. Le implicazioni di ciò per l'organizzazione dei programmi di gestione del rischio sono trattate in altri articoli, ma, come indica chiaramente l'elenco precedente, il monitoraggio e il controllo delle condizioni dell'hardware possono essere necessari fino alla scelta dei concetti e dei progetti per il sistemi e processi selezionati.

 

Di ritorno

Leggi 9461 volte Ultima modifica il Giovedi, Settembre 08 2022 16: 51
Pubblicato in 57. Verifiche, ispezioni e indagini
Altro in questa categoria: « Analisi dei rischi: il modello di causalità degli incidenti Analisi dei rischi: fattori organizzativi - mort »
torna in cima

" DISCLAIMER: L'ILO non si assume alcuna responsabilità per i contenuti presentati su questo portale Web presentati in una lingua diversa dall'inglese, che è la lingua utilizzata per la produzione iniziale e la revisione tra pari del contenuto originale. Alcune statistiche non sono state aggiornate da allora la produzione della 4a edizione dell'Enciclopedia (1998)."

Contenuti

Audit, ispezioni e indagini Riferimenti

Comitato consultivo sui grandi rischi. 1976, 1979, 1984. Primo, secondo e terzo rapporto. Londra: HMSO.

Bennis WG, KD Benne e R Chin (a cura di). 1985. La pianificazione del cambiamento. New York: Holt, Rinehart e Winston.

Casti, JL. 1990. Alla ricerca della certezza: ciò che gli scienziati possono sapere sul futuro. New York: William Morrow.

Charsley, P. 1995. HAZOP e valutazione del rischio (DNV London). Sconfitta Precedente Toro 124:16-19.

Cornelison, JD. 1989. Analisi delle cause alla radice basata su MORT. Documento di lavoro n. 27. Idaho Falls, USA: System Safety Development Center.

Gleick, J. 1987. Caos: fare una nuova scienza. New York: pinguino vichingo.

Groeneweg, J. 1996. Controllo del controllabile: la gestione della sicurezza. 3a edizione riveduta. Paesi Bassi:
DSWO Press, Università di Leida.

Haddon, W. 1980. Le strategie di base per ridurre i danni da pericoli di ogni tipo. Pericolo precedente a settembre/ottobre: ​​8-12.

Hendrick K e L Benner. 1987. Indagare sugli incidenti con STEP. New York: Decker.

Johnson, WG. 1980. Sistemi di garanzia della sicurezza MORT. New York: Marcel Dekker.

Kjellén, U e RK Tinmannsvik. 1989. SMORT— Säkerhetsanalys av industriell organization. Stoccolma: Arbetarskyddsnämnden.

Kletz, T. 1988. Imparare dagli incidenti nell'industria. Londra: Butterworth.

Knox, NW e RW Eicher. 1992. MORT Manuale dell'utente. Rapporto n. SSDC-4, Rev. 3. Idaho Falls, Stati Uniti: Centro per lo sviluppo della sicurezza dei sistemi.

Kruysse, HW. 1993. Condizioni per un comportamento stradale sicuro. Tesi di dottorato, Facoltà di Scienze Sociali, Università di Leiden, Paesi Bassi.

Netney, RJ. 1975. Manuale di preparazione all'uso dell'occupazione: considerazioni sulla sicurezza. Rapporto n. SSDC-1. Idaho Falls, Stati Uniti: Centro per lo sviluppo della sicurezza dei sistemi.

Pascale, RTA e AG Athos. 1980. L'arte della gestione giapponese. Londra: Pinguino.

Peters, TJ e RH Waterman. 1982. Alla ricerca dell'eccellenza. Lezioni dalle migliori aziende americane. New York: Haysen & Row.

Petroski, H. 1992. Ingegnere è umano: il ruolo del fallimento nella progettazione di successo. New York: vintage.

Rasmussen, J. 1988. Elaborazione delle informazioni e interazione uomo-macchina e approccio all'ingegneria cognitiva. Amsterdam: Elsevier.

Motivo, J.T. 1990. Errore umano. Cambridge: COPPA.

Reason, JT, R Shotton, WA Wagenaar e PTW Hudson. 1989. TRIPOD, una base di principio per operazioni più sicure. Rapporto preparato per Shell Internationale Petroleum Maatschappij, Exploration and Production.

Roggeveen, V. 1994. Care Structuur in Arbeidsomstandighedenzorg. Lettore del corso Post Hoger Onderwijs Hogere Veiligheids, Amsterdam.

Ruuhilehto, K. 1993. La supervisione della gestione e l'albero del rischio (MORT). In Quality Management of Safety and Risk Analysis, a cura di J Suokas e V Rouhiainen. Amsterdam:Elsevier.


Schein, EH. 1989. Cultura organizzativa e leadership. Oxford: Jossey-Bass.

Scott, W.R. 1978. Prospettive teoriche. In Ambienti e organizzazioni, a cura di MW Meyer. San Francisco:Jossey-Bass.

Gestione della salute e della sicurezza di successo: Appl.1. 1991. Londra: HMSO.

Van der Schrier, JH, J Groeneweg e VR van Amerongen. 1994. Analisi degli incidenti con il metodo top-down TRIPOD. Tesi di laurea, Centro per la ricerca sulla sicurezza, Università di Leida, Paesi Bassi.

Waganar, WA. 1992. Influenzare il comportamento umano. Verso un approccio pratico per E&P. J Benzina Tech 11:1261-1281.

Wagenaar, WA e J Groeneweg. 1987. Incidenti in mare: cause multiple e conseguenze impossibili. Giornale internazionale di studi sull'uomo-macchina 27: 587-598.