Real-Time Risk Management e Risk Based Maintenance

L’innovativa modalità di approccio alla gestione del rischio, in stabilimenti produttivi, che consente la migliore percezione e completa “governance” possibile del rischio

  • Novembre 11, 2019
  • 326 views
  • Real-Time Risk Management e Risk Based Maintenance
    Real-Time Risk Management e Risk Based Maintenance
  • Real-Time Risk Management e Risk Based Maintenance
    Real-Time Risk Management e Risk Based Maintenance

Nata da un’intuizione di SAPIO e frutto di una lunga collaborazione con IB Influencing Business, IRIS è diventata realtà, grazie anche al contributo di primarie competenze italiane.

L’obiettivo è “rivoluzionare” l’approccio al rischio, in particolare nelle realtà a rischio rilevante, con un impatto significativo sulle migliori prassi e sulle normative di legge in vigore (Seveso).

L’impatto del rischio nelle realtà industriali

In ambito industriale, il rischio ha un impatto, più o meno significativo e rilevante, su diversi aspetti: in primis sulla Sicurezza del personale interno e dei terzi che operano e sull’Ambiente per danni circoscritti e/o rilevanti, con conseguenze penali sui preposti aziendali e sull’azienda (D.lgs. 231/01). Il rischio può incidere anche sulla “Reputation” pregiudicando la sostenibilità e l’immagine aziendale e sula “Business Continuity”, inficiando la produzione quantitativa e qualitativa a causa del blocco temporaneo, da locale a totale, dell’impianto.

I settori più sensibili sono principalmente tutti quelli in cui vi sono stabilimenti produttivi a Rischio significativo, ed in particolare tra quelli a Incidente Rilevante (RIR), Impianti chimici, Produzione di prodotti farmaceutici, Produzione, Fornitura e Distribuzione di energia, Trattamento di metalli mediante processi elettrolitici.

Si può affermare, ormai, che la “gestione del rischio” è una best practice consolidata in tutte le aziende e in generale è la prima fase nell’applicazione di qualsiasi schema di Certificazione di un “Sistema di Gestione”, oltre che del D.lgs. 81/08 nel DVR – Documento di Valutazione dei Rischi. In aggiunta, nelle aziende soggette al D.lgs. 105/2015, che recepisce la Direttiva Seveso III, la gestione del Rischio di Incidente Rilevante implica un approccio ancor più strutturato e riguarda eventi che si configurino in un pericolo grave, immediato o differito, per la salute e per l’ambiente, all’interno e/o all’esterno dello stabilimento, e in cui intervengano una o più sostanze pericolose. La prima Direttiva Seveso si proponeva di ridurre il rischio a livelli compatibili, grazie all’interazione tra le misure preventive e quelle mitigative, partendo da un approccio improntato sulla verifica analitico-impiantistica, ma con le successive Direttive, l’accento si è spostato anche sul controllo delle modalità adottate per la gestione della sicurezza. Attività come la formazione del personale, il controllo operativo, la progettazione e le modifiche degli impianti, durante il loro ciclo di vita, sono parti integranti e sostanziali di un Sistema di Gestione della Sicurezza (SGS) che deve essere sviluppato all’interno delle aziende. In considerazione di ciò, attualmente il rischio, all’interno degli stabilimenti, viene gestito attraverso una serie di best practice, Sistemi di Gestione, metodologie applicative, tools a supporto quali: DVR (Documento di Valutazione Rischio), DPI (Dispositivi di Protezione Individuale), SGS (Sistema di Gestione della Sicurezza) secondo le ISO 45001:2018, analisi di rischio una tantum (HazOp, FMECA, …), formazione e in-formazione al personale, Incident Analysis & corrective actions e ultimo, solo per sequenza, RBI (Risk Based Inspection) e Asset Integrity Management.

Debolezze delle prassi attuali

Le prassi suddette, che hanno una validità di carattere generale, sono sostenute e considerate conformi alla normativa vigente, ma, quasi tutte, presentano delle debolezze intrinseche in quanto, spesso, decadono verso una applicazione dove va a prevalere la componente formale e, di conseguenza, rischiano di trasformarsi in “worst practice”. Questa affermazione viene confermata spesso da una semplice analisi, da cui si può dedurre un livello minimo di registrazioni limitate all’obbligatorietà nell’Incident reporting (assenza di near missing e di rilievi comportamentali), ispezioni cicliche con basso livello di efficacia, quando ne viene misurata l’applicazione.

In generale, in ogni caso, la “modalità” di gestione del rischio viene caratterizzata,da un’attenzione sempre al “passato”, prendendo in esame ciò che è accaduto, portando quindi ad una sensazione diffusa di ingovernabilità del rischio stesso e, nella pratica attuale, la sicurezza nei processi produttivi è considerata prevalentemente come variabile Booleana (binaria) e viene gestita in modo reattivo, anziché predittivo e proattivo.

Approccio innovativo del nuovo Modello di gestione del rischio

Partendo da questa consapevolezza, a SAPIO, primario gruppo italiano produttore di gas tecnici, è venuta l’idea di superare questa visione, e di utilizzare l’ambiente di IB di “Predictive Maintenance & Plant Performance – Intelligent Plant” per progettare l’Indicatore Rischio Residuo Sapio. La collaborazione di ARAMIS, spin-off del POLIMI con una lunga e certificata esperienza nella “reliability” di impianto e di processo, ha consentito che la soluzione di RTRM – Real-Time Risk Management, avesse alla base consolidate metodologie e best practice, già standard nell’ingegneria nucleare, e fosse in grado di applicarle e adattarle (per renderle tecnicamente ed economicamente compatibili) al mondo chimico e di processo in generale.

Grazie alle “tecnologie abilitanti” di Industria 4.0, che hanno garantito una accelerazione della digitalizzazione ed interconnessione dei processi e dei prodotti come l’IIoT (Industrial Internet of Thing), l’Edge computing, e soprattutto il Cloud e Cognitive computing, con sempre più elevate potenze di calcolo, connettività e nuove forme di interazione uomo-macchina, si è favorito, se non reso possibile, l’approccio innovativo, con uno standard di qualità e di affidabilità inimmaginabili rispetto a qualche anno fa, consentendo di utilizzare al meglio (cioè in modo organico e in continuo) e economicamente sostenibile, i dati disponibili, per rilevare, diagnosticare e, in progress, prognosticare anomalie e criticità nei processi di produzione e negli impianti. In cosa consiste questo innovativo approccio?

Nel controllo del rischio residuo, basato sulla definizione di un indice globale di rischio, che viene monitorato in real-time e nel tempo, come risultante di tutti i rischi associati ai vari eventi; ciò muovendosi dalla consapevolezza che la cultura della sicurezza possa essere migliorata solo se viene affrontata come una qualsiasi altra “variabile di processo critica”, che evolve nel tempo. L’idea di per sé non è rivoluzionaria, ed è, in parte, già stata sviluppata in vari settori, ma tuttavia i casi esaminati non presentano né la visione industriale, né la capacità di applicazione in contesti scalabili che si voleva dare al modello, ma nemmeno l’inclusione di tutti questi aspetti, contemporaneamente, in un’unica gestione del rischio in real-time.

Il Progetto parte da un “modello gemello digitale” (“digital twin model”) che possa configurare gli eventi incidentali di un DVR e/o una analisi dei rischi potenziali, identificati come critici sulla base di un’analisi HazOp – Hazard and Operability, FMECA – Failure Mode Effect Criticality Analysis o in generale di altre metodologie di analisi rischio. Questa essenziale attività iniziale avviene grazie al contributo determinante dei processisti, dei conduttori di impianto (oltre che dei progettisti - EPC), unici in grado di definire gli scenari funzionali, il significato e le condizioni di devianze/deviazioni rispetto ai valori ritenuti “normali e accettabili”, ciò vale soprattutto, quando si applica il modello su un impianto da tempo in esercizio.

Nel caso di HazOp, i Top Event (TE) della parallela analisi Fault Tree – FT, metodologia deduttiva vengono valutati mettendo in relazione funzionale ciascun TE con le combinazioni di tutti gli eventi base che possono determinarlo (ad esempio i guasti dei componenti, le anomalie di processo, ecc.). L’analisi quantitativa del FT, inoltre, consente di stimare la probabilità di accadimento del Top Event, partendo da quelle dei corrispondenti eventi base che includono, sia le deviazioni di variabili analogiche di processo fondamentali per il corretto esercizio dell’impianto sia gli allarmi attivati (sicurezza funzionale) da opportuni sensori (variabili monitorate Booleane). Nell’applicazione, uno dei principali aspetti dell’approccio è quello di considerare tutti i fattori coinvolti ed aumentare, per quanto sia possibile, i rischi “misurabili” (direttamente o indirettamente) al fine di ottenere un indice di rischio globale maggiormente “corretto”, calcolato dinamicamente, in real time e in continuo.

Per fare ciò sono state introdotte anche altre due tipologie di variabili nel modello: la prima è riconducibile a una Barriera fisica, caratterizzata dall’assenza di un sistema di monitoraggio che ne possa indicare il suo stato di salute e/o operativo corrente, e quindi ne venga controllata, la sua affidabilità attraverso un esame dei fattori (co-variabili) come l’età, la manutenzione prevista effettuata, ecc., in generale ciò che può incidere sul rateo di guasto o la sua probabilità di risposta on-demand, che indicano la sua affidabilità intrinseca. La metodologia applicata, MAVT (Multi Attribute Value Theory), è in grado di condensare in un unico fattore, Updating Likelihood Factor (ULF) un opportuno insieme di fattori influenzanti l’affidabilità della barriera stessa in funzione della sua importanza relativa. In tal caso la manutenzione prevista effettuata viene determinata dal processo gestito in un eventuale EAM (Enterprise Asset Management) in cui si evidenzi l’applicazione puntuale delle politiche preventive, della manutenzione correttiva e la gestione delle risultanze in seguito agli eventi.

La seconda è riconducibile a una Barriera comportamentale, che consideri il fattore umano, ormai universalmente riconosciuto fondamentale per le valutazioni di affidabilità e sicurezza.

In tal caso, viene presa in esame la Human Reliability (HR) dell’operatore nello svolgimento delle attività necessarie per il controllo del sistema o impianto, associando a task operativi una probabilità di errore umano. La metodologia applicata CREAM (Cognitive Reliability and Error Analysis Method) si basa sulla distinzione tra competenze e controllo, e consente di valutare la Cognitive Failure Probability (CFP) per ciascuna funzione cognitiva legata al personale di impianto. Il CREAM è basato sul modello cognitivo COCOM (COntextual COntrol Model) che muove dalla consapevolezza che qualsiasi descrizione delle azioni umane deve riconoscere che esse si verifichino in un contesto. Il modello consente di spiegare come il contesto influenzi le azioni in quanto la prestazione umana è un risultato dell’uso controllato della competenza adattata alle esigenze della situazione piuttosto che il risultato di sequenze predeterminate di risposte agli eventi.

La valutazione delle variabili comportamentali non si limita a quanto sopra, ma viene sostanziata da una verifica in continuo e in real time del “comportamento operativo”, inteso come valutazione automatica (accettabilità) del tempo di reazione del personale conduttore in turno, sulla base delle richieste di variazioni di set-up impianto in seguito ad “avvisi/allarmi”.

Inoltre l’esperienza operativa che in sostanza è una continua analisi di causa-effetto che viene effettuata quasi sempre da un gruppo di persone, rappresenta di fatto l’anima di IRIS che a questo punto risulterà sempre l’indicatore più aggiornato e coerente con la realtà. Infine, attraverso l’applicazione di reti Bayesiane, in cui vengono modellati gli scenari di rischio, si ottengono i seguenti risultati: superamento dei limiti intrinseci del Fault Tree in quanto si possono prendere in considerazione comportamenti multi-stato dei componenti, maggior flessibilità nella definizione delle probabilità, capacità di analizzare congiuntamente tutti i tipi di variabili considerate nel modello, ed infine, poter integrare tecniche di Machine Learning per un progressivo self-learning dell’intero modello.

 

Dal rischio all’azione sul campo

Il presidio dell’indicatore di rischio in real-time, che varia dinamicamente al variare delle condizioni operative e funzionali dell’impianto, non diventa altro che l’aspetto di “evidenza” e che scatena tutte le iniziative necessarie che devono essere effettuate al fine di ricondurre il rischio, che inizi a “salire” al di fuori di una finestra di accettabilità, nella soglia prevista. In caso di “segnali deboli”, il supporto alla comprensione e all’interpretazione di cosa stia accadendo, verificando le misure correlate che stanno concorrendo al problema, è la prima iniziativa. Nel caso in cui risultino problemi “tecnici” di impianto, il modello contribuisce all’identificazione della criticità e alla prioritizzazione dell’attività (controllando anche l’esecuzione dell’attività, quindi il comportamento umano, entro le scadenze previste), ma possono risultare anche problemi di facile risoluzione grazie a variazioni di set-up operativi, o problemi ad intermittenza di componenti tecnici (esempio valvole) che possono evidenziare una progressiva diminuzione della loro affidabilità.

Attraverso questo presidio in real-time, che è anche di supporto diagnostico e può diventare in progress, con l’aumento della casistica campionata, anche prognostico, sostanziamo il “Plant Health Status”, e nella accezione “manutentiva” rientriamo appieno nella RBM - Risk Based Maintenance (anche se, analizzando in dettaglio, si vada ben oltre, abbracciando tutte le problematiche “critiche”, NON solo quelle manutentive, ma comportamentali).

Tra i problemi tecnici di impianto, non sempre un “True Alarm o IP-IRIS Alarm” viene poi indirizzato verso una attività sul campo, chiaramente diagnosticata (sintomo/diagnostica capability) di “riparazione e sostituzione” di un componente che sta iniziando a perdere la funzione attesa, ma può indirizzare meglio verso attività di “inspection” più o meno invasive (con o meno l’ausilio di tecniche non distruttive). Ciò consente di rendere maggiormente efficaci e sostanziate queste attività, che nella prassi cadono, spesso, verso il formalismo, e permettendo, all’ingegneria di impianto e di processo, di “automatizzare”, per ciò che è possibile, l’attività operativa a valle, uscendo da una “discrezionalità” spesso troppo ampia.

Ogni iniziativa sul campo oltre che essere attivata, deve essere gestita sino alla sua chiusura con particolare attenzione alle verifiche operative e ai feedback verso il modello implementato. In caso di verifiche sul campo che evidenzino uno stato “non critico”, input diagnostici non corretti o risultati insufficienti, questo può e deve comportare una revisione della “regola di Allarme” in piena applicazione del miglioramento continuo (vedi articolo ottobre 2019).

Ciò che è stato riportato in questo paragrafo, ha una importanza fondamentale in quanto sostanzia tutto il modello, che altrimenti, ancorché innovativo e “unico”, da un punto di vista di “efficacia” e organicità, risulterebbe del tutto incompleto. Allo stesso tempo, ciò permette di ricondurre pienamente l’attività tecnica, nell’ambito del “rischio”, uscendo dalla consuetudine di vedere la stessa come una mera attività solo da efficientare, difficile da misurare e da certificarne l’efficacia.

 

Conclusioni: vantaggi della proposta innovativa

IRIS garantisce vantaggi che sono estremamente significativi, rispetto alle prassi consolidate attuali, quali: maggiore percezione e presidio, in real-time, del rischio che in prospettiva porta ad una riduzione del rischio stesso, una più consapevole ed efficace attività di manutenzione – RBM Risk Based Maintenance, una migliore immagine nei confronti degli Enti preposti e in generale di tutti gli Stakeholder, infine una migliore considerazione nell’assunzione del rischio da parte delle imprese assicuratrici e possibile riduzione delle relative polizze.

 

Guglielmo Carrubba Direttore Produzione, SAPIO
Maurizio Ricci, CEO di IB Influencing Business; Consigliere A.I.MAN.