Process Safety (Sicurezza di Processo) è una branca della gestione di salute e sicurezza in ambito lavorativo, distinta dalla classica sicurezza personale, che si occupa di gestire processi critici o operazioni ad alto rischio attraverso un approccio integrato e ingegnerizzato, prevenendo o mitigando le conseguenze di eventi catastrofici. Process Safety nasce storicamente nell’ambito di impianti chimici, in cui la necessità di controllare la sicurezza del processo in maniera dedicata si palesa già mezzo secolo orsono a seguito di incidenti di rara frequenza ma con conseguenze particolarmente pesanti in termini di infortuni e perdite di vite umane, rilascio di quantità di sostanze inquinanti, danni agli impianti e fino a impatti significativamente negativi sulle comunità limitrofe al luogo dell’incidente. In ambito petrolifero (Oil&Gas) la disciplina viene introdotta a valle del tragico incidente della piattaforma petrolifera Deepwater Horizon nel golfo del Messico del 2010, particolarmente pesante in termini di conseguenze ma non unico in un’industria che non ha saputo fino a quel punto autoregolarsi e convergere verso standard condivisi.
Introduzione
Nell’ambito della process safety, l’identificazione delle sorgenti di pericolo (Hazards) in tutte le forme che contribuiscono all’energia di sistema (System Energy) con potenziale di elevato rilascio energetico (Unintended release) e delle conseguenze relative alla loro perdita di controllo è il primo livello di determinazione del rischio; nel seguente schema si evidenzia la relazione descritta nella Figura 1.
Per il segmento IET (Industrial & Energy Technology) di Baker Hughes, date le implicazioni che esistono per i vari sistemi integrati, questo rischio si sviluppa in varie fasi di vita del prodotto ed in maniera diversa in base alla tipologia di applicazione delle macchine; in ogni caso è sempre utile avere presente che il rischio di processo è generato da tutto quanto compone l’impianto ed in tal senso come OEM è sempre richiesto di supportare la mitigazione.
In questo schema si riassumono le fasi di vita di un prodotto ivi incluse quelle di uso nel quale riconosciamo il ruolo prevalente del cliente finale ma anche quelle di installazione e messa a punto così come la fase di manutenzione nella Figura 2.
In termini di approccio generale al rischio possiamo dire che, seguendo lo schema della ISO31000, la gestione del rischio passa da varie fasi; in sequenza possiamo citare l’identificazione, la valutazione e il trattamento dello stesso.
Per quanto riguarda l’identificazione, la circostanza a rischio è identificabile nel rilascio incontrollato di energia che si può configurare in varie forme. Essendo noto che le macchine operano nella gestione di sostanze ad alto contenuto energetico potenziale (es. idrocarburi, sostanze chimiche altamente reagenti o infiammabili, fluidi in particolari condizione di pressione e/o temperatura) possiamo dire che il loro rilascio nella forma di fluido energizzato è l’elemento centrale da evitare.
Gli stadi fondamentali attraverso i quali Baker Hughes supporta la mitigazione del rischio, che si manifesta in tutte le fasi presentate nello schema, si configurano nei seguenti passi:
- Identificazione del pericolo
- Controllo del pericolo
- Identificazione dei processi coinvolti e delle procedure applicabili
- Gestione del cambiamento
- Miglioramento continuo basato sulle esperienze
Specificità del Business IET e metodi adottati
IET opera sia come produttore di turbo-macchine che nell’ambito di fornitura di interi impianti, motivo per il quale la visione della sicurezza del processo assume due distinti approcci: in un caso focalizzandosi sulla sicurezza di prodotto che viene inserito nell’impianto mentre nel secondo caso come valutazione generale dei rischi del processo e degli elementi che, lavorando insieme, ove si guastino, possono elevare il rischio a livello di impianto.
Per quanto riguarda la sicurezza del prodotto, intrinsecamente si può dire che derivi dalle buone pratiche di progettazione ma anche da tutte le norme e gli standard esistenti; quando si passa invece a valutare la sicurezza del prodotto integrato nel processo, la complessità aumenta e per questo motivo, valorizzando quanto adottato dagli altri business Baker Hughes, IET ha adottato il metodo di analisi del rischio (risk assessment) denominato Bow-Tie, per ricondurre al valore più basso raggiungibile (ALARP) il rischio derivante dalla gestione dei fluidi energizzati (Hazard) e dalla interazione tra le macchine in esercizio.
Il risk assesment eseguito con metodo Bow-Tie prevede la valutazione dell’elemento centrale (Top Event) che rappresenta l’evento da evitare ed associa a questo una mappatura delle barriere preventive (preventive barriers) e contenitive (mitigative barriers) tali da frapporsi tra le minacce (threats) e l’evento e tra l’evento e le conseguenze.
Nel presente schema generico di bowtie si ritrovano gli elementi appena citati (Figura 3).
In questa schematizzazione si analizza l’azione delle minacce che devono essere definite con l’ausilio di esperti di macchina/sistema e di processo. A tale scopo ci si può riferire ad una base storica di osservazioni cosi come alla divulgazione a livello di industria. IET si avvale di una casistica di eventi a registro dalla quale i gruppi di lavoro che eseguono i vari risk assesment attingono per alimentare il sistema.
Facendo un esempio pratico, l’evento centrale può essere il rilascio di idrocarburi in forma di fluido di processo all’interno di un modulo produttivo, la minaccia può essere una sovrapressione del contenitore del fluido mentre le barriere possono essere molteplici tra cui il design del contenitore, il modo in cui ne verifico l’esecuzione, le istruzioni per l’assemblaggio e tutto quanto contribuisca al suo corretto funzionamento incluse attività manutentive.
Da quanto descritto possiamo suddividere le barriere in due principali tipologie: fisiche e procedurali. Queste ultime, necessitando a diverse riprese dell’intervento umano sono considerate meno robuste di quelle fisiche; tuttavia anche le barriere fisiche (idealmente dei sistemi ingegnerizzati capaci di controllare il pericolo indipendentemente dalle azioni dell’operatore) sono legate anch’esse a una corretta installazione, gestione, manutenzione: dunque in ultima analisi devono essere realizzate e mantenute a regola d’arte per soddisfare il loro scopo.
Le varie barriere che si frappongono tra le minacce e l’evento centrale costituiscono le opportunità di prevenire il rischio mentre le barriere a destra sono barriere atte a contenere gli effetti prodotti dall’evento centrale. È facile intuire che le barriere preventive sono da preferire a quelle mitigative in quanto offrono l’opportunità di evitare l’evento centrale e possibilità di intervento su tempi in genere più dilatati.
IET - Esperienze e primi risultati
Avendo introdotto il metodo possiamo citare alcune aree critiche e primi apprendimenti in questo ambito.
Sulla base dei rapporti storici degli eventi investigati ad alta severità, si è dapprima provveduto a fare una rilettura critica degli eventi occorsi in modo da categorizzare gli eventi su due dimensioni: quella delle cause e quella degli effetti. La standardizzazione delle cause e degli effetti prodotti ha consentito da un lato la creazione di una matrice con un indice di ricorrenza, dall’altra ha portato a definire dei sottoinsiemi di casi di maggior rilievo. In tal modo si sono potuti indirizzare gli sforzi sulle casistiche più critiche generando i primi risk assesment. La matrice delle ricorrenze mostrava 13 categorie di cause e 11 categorie di effetti. In figura un fac-simile della matrice reale (Matrice).
Creando delle scale relative si è potuto prioritizzare le aree di intervento per procedere con i relativi Bow tie.
Le analisi hanno sostanzialmente confermato la solidità del design offrendo però spesso degli ottimi spunti per coprire sviluppi dei sistemi o introdurre opzioni da utilizzare in applicazioni critiche.
A titolo esemplificativo sono stati affrontati ad esempio i seguenti sistemi critici:
- Giunti flessibili di carico
- Perdite di gas
- Perdite d’olio in applicazioni con turbina a vapore
Gli output prodotti corrispondono a vari sviluppi sul sistema e sono riassumibili in correzioni, migliorie o sviluppi di nuovi sistemi accessori con impiego di nuove tecnologie, materiali, modi di operare.
Questo approccio offre il vantaggio di standardizzare il controllo di sistemi ad alto potenziale di pericolo e porre l'attenzione sulle azioni di controllo delle minacce e la mitigazione delle conseguenze laddove se ne riscontri una carenza, immediatamente evidenziata da stato e qualità delle barriere.
A livello comunicativo si raggiunge l’ulteriore vantaggio introducendo la possibilità di comunicare ai diversi livelli dell'azienda in maniera rapida ed immediatamente comprensibile.
In sintesi lo sviluppo della gestione del rischio scalato a livello del processo è frequentemente una sorgente di sviluppo di barriere che a tutti gli effetti corrispondono spesso allo sviluppo del prodotto o delle sue interfacce con i sistemi adiacenti.
Gianni Mochi, Consulting engineer, Baker Hughes IET
Filippo Giuliani, Process safety Leader, Baker Hughes IET
