HAZOP

Hazard and Operability Analysis

Si tratta di una tecnica strutturata e sistematica per il risk management, spesso utilizzata per identificare i potenziali pericoli in un sistema e per l’identificazione dei problemi di operabilità che potrebbero portare a prodotti non conformi. 

HAZOP

Su cosa si basa

Il metodo di studio HAZOP è stato sviluppato da ICI negli anni ’60 e il suo uso e sviluppo è stato incoraggiato dalla Chemical Industries Association (CIA) con la Guida dell’Associazione pubblicata nel 1977. Da allora è diventata la tecnica preferita da molti di coloro che sono coinvolti nella progettazione di nuovi processi e operazioni. Oltre al suo potere di identificazione dei rischi per la sicurezza, la salute e l’ambiente (SHE), uno studio HAZOP può essere utilizzato anche per la ricerca di potenziali problemi operativi.
Sebbene sia spesso utilizzato su nuove strutture, viene spesso applicato alle strutture esistenti e alle sue modifiche.

Cosa è

E’ un’analisi sistematica di cause di guasto di una entità comunque la si chiami (elemento di impianto, componente, dispositivo, unità funzionale, apparecchiatura, sistema o sottosistema) che possa essere considerata nel suo insieme. L’analisi parte dal presupposto che ogni entità è progettata con una intenzione ben precisa, ovvero con caratteristiche definite per svolgere un funzione prestabilita.

A titolo di esempio, una pompa è dimensionata per trasferire, da una posizione di partenza ad una di arrivo, una predeterminata portata di un fluido con caratteristiche merceologiche, termodinamiche e fluidodinamiche note.

L’HAZOP cerca di individuare tutte le possibili deviazioni rispetto all’intenzione originaria, ovvero tutte le possibili anomalie dei parametri che caratterizzano la condizione di riferimento assunta nella fase di progettazione, individua le cause che possono essere all’origine di tali deviazioni e le conseguenze che ne possono derivare.

Per riassumere, il criterio metodologico esamina in sequenza:

  • Intenzione (la funzione richiesta all’entità oggetto di analisi) – 1° step
  • Deviazioni (le condizioni che si discostano da quelle progettate o programmate) – 2° step
  • Cause (le ragioni che possono essere all’origine di dette deviazioni) – 3° step
  • Conseguenze (le situazioni o gli eventi indesiderati che si possono generare) – 4° step

Sul piano operativo, una volta definita l’intenzione, le possibili deviazioni dei parametri che caratterizzano l’entità in esame si analizzano aiutandosi con parole guida che aiutano il processo creativo di analisi. Le parole sono, ad esempio, “no”, “maggiore”, “minore”, “così come”, “parte di”, “diverso da”, “al contrario”, con il significato sommariamente riportato nella tabella allegata. Ciò non esclude che gli esperti possano trovare altre parole guida appropriate al caso in esame.

Così, ad esempio, nel caso di una pompa progettata per trasferire un fluido con una determinata portata la parola guida “no” fa pensare a tutte le circostanze che potrebbero interrompere il flusso come un guasto meccanico o l’interruzione di energia elettrica o l’assenza di fluido in arrivo il quale, a sua volta, può dipendere dalla chiusura di una valvola subito a monte della pompa o dalla rottura della tubazione di immissione del fluido oppure dall’assenza di fluido nel serbatoio di provenienza.

Analogamente, la parola “maggiore“, riferita ad esempio alla temperatura del fluido porta a considerare le conseguenze possibili quando essa aumenta per difetto di uno scambiatore o per reazione esotermica anomala o per apporto di calore imprevisto dall’esterno.

E’ facile intuire che si tratta di una metodologia complessa che richiede competenza, tempo e costi e pertanto si giustifica in applicazioni a rischio elevato come può essere il caso di reattori in cui evolve una reazione esotermica oppure di serbatoi di stoccaggio di sostanze molto tossiche o instabili.

Le analisi HAZOP vengono affidate ad un team selezionato di persone (in genere tre o cinque) con esperienze professionali diverse in seno all’azienda, che conoscono bene i problemi da esaminare. Il lavoro è poi distribuito in un certo numero di sedute, di poche ore al giorno, con continuità e senza distrazioni per esercitare in serenità il processo creativo di analisi.

Il risultato di questo studio viene riassunto in una tabella che include eventuali raccomandazioni e prescrizioni intese a scongiurare le probabili anomalie rilevate e migliorare la sicurezza del sistema esaminato.

Nel campo della manutenzione questa metodologia viene utilmente applicata nella elaborazione delle procedure o per definire i lavori di modifica degli impianti.

Come si applica

Esempio di applicazione dell’HAZOP

(tratto da “An Introduction to HAZOP” by R. Ellis Knowloton, Chemetics Int. Ltd, 1981)

Nel reattore in figura due materie prime, A e B, reagiscono per formare il prodotto C. Esiste tuttavia un vincolo ben preciso da rispettare e cioè che il componente B non si trovi mai nel reattore in quantità superiore a quella del componente A, condizione che porterebbe ad un’esplosione con conseguente rottura catastrofica del reattore.

Nel dettaglio

A differenza di altre metodologie d’analisi di eventi indesiderati, che pure si prestano a studiare un caso del genere, l’HAZOP è l’unica che consente di prevedere e analizzare situazioni complesse nel campo dei processi chimici dal momento che si applica a qualsiasi parte minima di impianto a condizione di definirne chiaramente l’intenzione.

Per questo occorre però circoscrivere esattamente la parte di impianto da esaminare. Nel caso dello schema riportato in figura la prima analisi che si intende fare è alla parte di impianto delimitata dalla linea chiusa tratteggiata, ovvero dalla pompa di carico del componente A e dal tratto di tubazione che la collega al reattore. Non è inclusa la valvola di intercettazione a monte della pompa e nemmeno quella posta su una tubazione secondaria che si innesta sul tratto di ingresso alla pompa, ma è inclusa la valvola di intercettazione a valle della pompa.

L’intenzione (1° step) della parte di impianto in esame è chiaramente di trasferire il componente A nel reattore con una portata prestabilita. Per individuare le possibili deviazioni (2° step) dall’intenzione si può fare ricorso ad alcune parole guida.

La parola “NO” o “NON“, che nega l’intenzione, fa pensare al caso in cui il componente A non viene trasferito, ovvero la portata è nulla. Sarebbe questa una condizione di pericolo in quanto potrebbe verificarsi che il componente B venga alimentato sino a trovarsi in quantità superiore a quella di A, situazione che si deve assolutamente scongiurare.

E’ allora importante andare a fondo e capire le possibili cause (3° step) di questa prima forma di deviazione:

  • il serbatoio A è vuoto
  • la pompa si guasta per cause diverse che possono essere:
    • rottura meccanica
    • mancata alimentazione elettrica
    • spegnimento accidentale
    • il tratto di tubazione a valle della pompa è rotto
    • la valvola di intercettazione a valle della pompa è chiusa.

Che alcune di queste cause siano poco probabili in questa fase di analisi non interessa. Qui serve, come si usa dire, pensarle tutte.

La conseguenza (4° step) di queste cause è che prima o poi ci si può ritrovare nel reattore con un eccesso di B rispetto ad A e dunque in una condizione di pericolo di esplosione.

La stessa procedura dal 2° al 4° step va ripetuta con altre parole guida.
La parola guida “maggiore” fa pensare al caso in cui per qualche ragione la pompa trasferisca il componente A con una portata maggiore rispetto all’intenzione stabilita in sede di progetto. Se la causa può essere ritenuta realistica, perché la pompa in alcune circostanze potrebbe effettivamente alimentare una maggiore portata, allora occorre considerare le conseguenze che non sono l’esplosione (poiché si avrebbe A>>B) ma potrebbe essere la contaminazione del prodotto C che si ritroverebbe con un percentuale eccessiva di A non reagito, oppure potrebbe essere un eccessivo riempimento del rettore. A questo punto si tratta di valutare se queste possibili conseguenze possano costituire pericoli comunque da scongiurare analoghi o meno a quello iniziale dell’esplosione del reattore.

La parola guida “minore” richiama il caso che nel reattore arrivi una portata di A inferiore (non nulla) rispetto all’intenzione. Le possibili cause sono:

  • la valvola di intercettazione a valle della pompa è parzialmente chiusa
  • vi è una perdita di prodotto per rottura di piccole dimensioni sulla tubazione
  • la pompa è difettosa per erosione delle pale o per altre ragioni meccaniche

La conseguenza è nuovamente una condizione di pericolo di esplosione che prima o poi si può ritrovare nel reattore con un eccesso di B rispetto ad A.

La parola guida “così come” fa pensare che venga trasferito il componente A così come un’altra sostanza. In effetti questa deviazione è verosimile poiché si osserva che c’è una tubazione che si innesta a monte della pompa e che convoglia presumibilmente una sostanza diversa da A. Si tratta dunque di una situazione sulla quale occorre indagare più a fondo. La stessa parola guida così come fa pensare pure che nel serbatoio A possa essere caricata una sostanza diversa da A oppure che a seguito di manutenzione o pulizia del serbatoio sia rimasta traccia di qualcosa che può reagire con A (decomposizione o polimerizzazione, ecc.) per cui anche queste situazioni meritano di essere esaminate in maggior dettaglio.

Questo si effettua ripetendo l’analisi HAZOP sul serbatoio del componente A e così via su altre parti ben precise dell’intero impianto ove per qualche ragione si possono generare condizioni di pericolo da evitare. E’ superfluo aggiungere che l’analisi HAZOP può essere approfondita con molte altre parole guida che possono aiutare il team di esperti a configurare scenari diversi possibili.