Capitolo 1 Introduzione
2
L'ingegneria di manutenzione può essere definita come l'attività che sviluppa i concetti, i
criteri e i requisiti tecnici da utilizzare per il mantenimento in efficienza ed in sicurezza di
un'attrezzatura durante il suo periodo di operatività. Oggigiorno essa svolge un ruolo
sempre più strategico, esercitando un'elevata influenza sia sull'efficienza che sull'efficacia
della gestione della manutenzione: sta così diventando una leva organizzativa sempre più
rilevante per le imprese orientate al miglioramento del processo ed alla profittabilità in un
contesto competitivo in cui il consumatore è sempre più attento e sensibile al tema
dell'impatto ambientale delle aziende, mentre le leggi che regolamentano la sicurezza sul
lavoro sono sempre più severe.
Applicare l'ingegneria di manutenzione all'interno di un contesto industriale richiede però
il possesso, il consolidamento e l'integrazione di diversi metodi ingegneristici fino ad oggi
sviluppati e disponibili. Lo stato dell'evoluzione dell'ingegneria di manutenzione e la sua
attuale capacità di rispondere ai bisogni industriali per una sempre più efficace gestione
della manutenzione si presenta con un panorama di tecniche piuttosto vasto e diversificato.
Molto ampio e differenziato è anche lo spettro di analisi di tali tecniche. L'oggetto di studio
dei metodi attualmente esistenti si estende dalla pianificazione strategica della
manutenzione fino all'applicazione della manutenzione correttiva e/o proattiva. Il primo si
propone come obiettivo di analizzare e confrontare la convenienza economica delle
politiche di manutenzione; i secondi si basano su una logica di integrazione dei metodi di
monitoraggio, diagnosi e prognosi che, sulla base dell'acquisizione di dati sul campo,
dell'analisi affidabilistica, della manutenibilità tecnica e della logistica di manutenzione,
permettono di prevedere la degradazione di un sistema.
L'evoluzione dei metodi di ingegneria sta avvenendo sempre più in maniera concorrente
all'evoluzione dei corrispondenti strumenti di supporto. La disponibilità di software che
implementano i metodi di manutenzione facilita fortemente l'introduzione dell'approccio
scientifico dell'ingegneria nel processo decisionale della manutenzione industriale.
Per l'analisi di rischio e di affidabilità di un impianto sono state sviluppate numerose
tecniche tra le quali meritano particolare menzione: Safety Review, Checklist Analysis,
"What-if" Analysis, Hazard and Operability Study (HAZOP), Failure Modes, Effects and
Capitolo 1 Introduzione
3
Criticality Analysis (FMECA), Fault Tree Analysis (FTA), Event Tree Analysis (ETA),
etc.
Tra tutte queste tecniche emerge la Fault Tree Analysis in quanto strumento potente e
sistematico che è stato adattato all'analisi di rischio dei sistemi ed ha trovato grande
applicazione grazie agli ottimi risultati forniti.
Figura 1.1 La Fault Tree Analysis.
Tale tecnica ebbe i suoi primi sviluppi nei primi anni Sessanta e fu presto adottata da un
ampio gruppo di discipline ingegneristiche in quanto si presentava come uno dei
fondamentali metodi di predizione dei parametri di affidabilità e disponibilità dei sistemi.
In particolare, questa tecnica fornisce l'indisponibilità operativa di un sistema o la
probabilità di accadimento di una condizione di rischio, in funzione dei parametri di
affidabilità dei singoli componenti nel contesto in cui vengono collocati: esattamente le
due condizioni di cui tener conto ai fini manutentivi per poter proporre delle modalità
operative di intervento.
Molte imprese presentano già una buona familiarità con la FTA e ne fanno un utilizzo
regolare; da pochi anni tale tecnica viene utilizzata ancor più frequentemente, grazie
all'avvento dei mezzi informatici che consentono un utilizzo massiccio di informazioni
Capitolo 1 Introduzione
4
riferite ai modi di guasto dei componenti di un sistema. In qualche ambito industriale è
persino richiesta per la certificazione dei prodotti.
L'applicazione del metodo si suddivide in due momenti fondamentali: il primo consiste
nella costruzione degli scenari di rischio (Fault Tree, FT) dove il risultato finale di un
evento indesiderato è tracciato a ritroso verso tutte le possibili cause; il secondo nell'analisi
e valutazione dei cammini di propagazione di un guasto nel sistema.
1.2 L'obiettivo del lavoro
L'attenzione del presente lavoro sarà focalizzata sul primo dei due precedenti momenti,
indicato come Fault Tree Synthesis (FTS). La costruzione manuale dei Fault Tree necessita
una solida esperienza da parte dell'utente, una profonda conoscenza del sistema e del
processo, può richiedere tempo notevole ed essere estremamente vulnerabile alla
soggettività ed agli errori umani; costituisce perciò la principale barriera per l'applicazione
della FTA la cui qualità può risultare molto variabile. La sintesi in automatico dell'albero
dei guasti per un generico sistema, indipendentemente dal settore (chimico, elettrico,
nucleare, etc), è sempre stato un traguardo altamente ambito che i ricercatori hanno cercato
di raggiungere sin dai primi anni Settanta, senza però riuscirci.
L'obiettivo del presente lavoro è specificatamente quello di sviluppare uno strumento che
supporti l'utente, non esperto in FTS, nella fase di creazione automatica di un Fault Tree
per una generica macchina nel settore manifatturiero. Successivamente la tecnica
affidabilistica Fault Tree Analysis sarà indirizzata alla creazione dei piani di manutenzione
ordinario e straordinario per il generico sistema industriale in esame.
Capitolo 1 Introduzione
5
1.3 Breve sunto dei capitoli
Dopo una breve introduzione svolta nel primo capitolo, nel secondo capitolo si presenterà
un esaustivo stato dell'arte sulla FTA ed in seguito saranno riportati i contributi più
significativi di studiosi e ricercatori sul tema della costruzione manuale ed automatica del
Fault Tree.
Nel terzo capitolo si chiarirà l'approccio teorico usato nel lavoro di tesi e se ne presenterà
la struttura.
Nel quarto si presenterà il linguaggio formale di modellazione utilizzato e ne saranno
evidenziate le estensioni.
Nel quinto verranno descritti i passi logici per la formalizzazione di una procedura
utilizzabile da parte di un esperto del settore e finalizzata alla creazione di una libreria di
modelli generalizzati per i componenti di un generico sistema industriale.
Il sesto capitolo è dedicato alla formalizzazione ed all'illustrazione di una seconda
procedura che guidi l'utente finale nel processo di Fault Tree Synthesis a partire dai
modelli generalizzati disponibili nella suddetta libreria. Successivamente, si spiegherà
come ottenere i piani di manutenzione ordinaria e straordinaria relativi al sistema
analizzato mediante l'applicazione della FTA e la riorganizzazione dei dati.
Nel settimo capitolo si riporterà la validazione dello strumento realizzato mediante la sua
applicazione ad un caso reale: la linea d'imballaggio Genesis. Per rendere più chiara e
scorrevole la lettura del capitolo, sono state create tre appendici che si occupano di
raccogliere tutti i modelli ed i grafi che si sono resi necessari nell'ottica di tale validazione.
Nella prima appendice sono raccolti i modelli generalizzati creati relativamente ad alcuni
componenti della linea d'imballaggio Genesis. Nella seconda appendice si riporta il
diagramma a blocchi del sistema Genesis, che ne evidenzia tutte le interdipendenze tra le
parti costituenti, nel rispetto del processo produttivo. Nella terza e nella quarta, sono
Capitolo 1 Introduzione
6
presentati, rispettivamente, l'albero causale e l'albero dei guasti ottenuti in riferimento
all'esplorazione delle cause di un particolare evento di guasto del sistema.
Infine, nell'ottavo ed ultimo capitolo, esporremo le conclusioni del lavoro svolto e
proporremo gli eventuali sviluppi futuri.
Capitolo 2
ANALISI DELLO STATO
DELL'ARTE
Nel presente capitolo si presenterà l'approfondito studio compiuto sullo stato dell'arte
della FTA, con particolare attenzione ai contributi più rilevanti di studiosi e ricercatori sul
tema della costruzione manuale ed automatica del Fault Tree.
2.1 Analisi di rischio
Un'ampia varietà di tecniche è stata sviluppata per l'analisi di rischio e d'affidabilità di un
impianto. Tra queste meritano particolare attenzione: Safety Review, Checklist Analysis,
Relative Ranking, What-if Analysis, Preliminary Hazard Analysis, Hazard and Operability
Study (HAZOP), Failure Modes, Effects and Criticality Analysis (FMECA), Fault Tree
Analysis (FTA), Event Tree Analysis (ETA), Cause-Consequence Analysis (CCA), Human
Reliability Analysis (HRA).
Alcune sono preferibili per un'analisi globale del sistema, mentre altre sono più appropriate
per un esame più di dettaglio che permette di indagare il comportamento dei sotto-sistemi
di cui lo stesso è costituito.
Di seguito si presenta una breve panoramica di tali tecniche, mentre la FTA sarà illustrata
estensivamente dal paragrafo 2.2 in avanti.
Capitolo 2 Analisi dello stato dell’arte
8
Safety Review
La Safety Review è una delle tecniche storiche per l'identificazione dei rischi e richiede un
dettagliato esame del processo, delle procedure operative e delle attività manutentive per
un dato impianto, al fine di rilevare le eventuali condizioni critiche che potrebbero portare
ad un evento indesiderato. È usata spesso insieme con altre tecniche di identificazione dei
rischi, quali Checklist Analysis e What-if Analysis.
Checklist Analysis
Si tratta di una tecnica che prevede un'esaustiva analisi del sistema e della gestione del
processo produttivo al fine di verificarne la conformità agli standard. La completezza della
checklist così ottenuta dipende fortemente dall'esperienza di chi l'ha sviluppata e richiede
aggiornamenti e miglioramenti periodici.
Relative ranking
Questo metodo si basa sul confronto critico di differenti alternative di progetto per un
processo al fine di individuare la scelta migliore nelle prime fasi della sua concezione,
durante le quali le scelte compiute non sono ancora congelate. È usata anche per processi
già esistenti per mettere in rilievo gli eventuali pericoli di gestione.
Preliminary Hazard Analysis
È un metodo finalizzato all'identificazione e riduzione dei possibili pericoli rilevabili in un
processo mediante l'individuazione della migliore tra le alternative di progetto.
L'applicazione della Preliminary Hazard Analysis avviene durante le fasi iniziali della
progettazione di un processo, quando non esiste ancora un'esperienza sufficiente per
predire o identificare i potenziali problemi per la sicurezza con altre tecniche
affidabilistiche.
Capitolo 2 Analisi dello stato dell’arte
9
What-If Analysis
La What-If Analysis è una tecnica induttiva tra le prime ad essere sviluppate per l'analisi di
rischio. L'applicazione di tale metodo, usato spesso in sinergia con la Checklist Analysis,
prevede, come il nome stesso indica, un approccio di tipo “what if”.
Hazard and Operability Study
Similmente alla Preliminary Hazard Analysis, questo metodo è di solito usato quando i
dettagli del processo sono già stati definiti ma non ancora congelati e l'idea su cui si fonda
è quella di studiare il progetto per scoprire se e quali eventi indesiderati potrebbero deviare
dai propositi dei progettisti. Per ciascun evento si identificano le cause, gli effetti e le
possibili misure di sicurezza da adottare.
Event Tree Analysis
Si tratta di una tecnica induttiva che studia un particolare evento e ne esplora tutti i
possibili scenari di conseguenze, attribuendo a ciascuno di questi una probabilità
d'occorrenza. Tale probabilità muta al variare dell'esito positivo o negativo dell'intervento
dei sistemi di sicurezza, delle reazioni degli operatori umani e di altre misure protettive.
Cause-Consequence Analysis
La Cause-Consequence Analysis è in realtà una combinazione delle analisi ETA ed FTA,
con la quale è possibile definire un evento critico e costruire un diagramma che ne sviluppi
tutte le cause e le conseguenze, usando rispettivamente un albero degli eventi ed uno dei
guasti. In ogni caso l'applicazione di questa tecnica risulta scomoda e troppo dettagliata
anche per processi piuttosto semplici, perciò non è generalmente adottata.
Human Reliability Analysis
Si tratta di un metodo diffusosi recente che si focalizza sulla responsabilità del fattore
umano. Essa identifica le cause (scarsa abilità, ignoranza, stanchezza, distrazione, etc) che
possono influenzare le prestazioni degli operatori e le conseguenze associate agli errori
umani.
Capitolo 2 Analisi dello stato dell’arte
10
Failure Modes, Effects and Criticality Analysis
L'analisi FMEA (acronimo dall'inglese 'Failure Modes and Effect Analysis') è
un'importante tecnica affidabilistica, basata su un approccio induttivo, che è spesso
utilizzata quando progettisti e produttori necessitano di identificare ed eliminare i
malfunzionamenti reali e/o potenziali nei processi di produzione. È una tecnica qualitativa
e si concretizza nel tracciare un panorama completo del comportamento del sistema in tutte
le possibili situazioni di impiego e nella definizione di tutte le sue possibili modalità di
guasto, da quelle di secondaria importanza a quelle che portano alla crisi di uno o più
componenti o dell'intero sistema.
Assume carattere quantitativo nel momento in cui si esegue un'analisi di criticità che
classifichi i malfunzionamenti secondo un indice che tenga conto della probabilità di
accadimento e della severità delle conseguenze del guasto: in questo caso è detta FMECA,
acronimo dall'inglese Failure Modes, Effect and Criticality Analysis.
La tecnica FMECA è adatta all'individuazione delle singole modalità di guasto che portano
direttamente ad un blocco del sistema, ma non considera il verificarsi di situazioni
indesiderate causate dalla combinazione di malfunzionamenti o da errori umani. Per
svolgere questo tipo di analisi è necessario ricorrere alla Fault Tree Analysis.
2.2 Fault Tree Analysis
La Fault Tree Analysis (FTA) è un'importante tecnica affidabilistica sia qualitativa sia
quantitativa, che si presenta come strumento grafico, compatto ed intuitivo, utilizzato per
analizzare, visualizzare e valutare le modalità di guasto in un sistema, in modo da
pervenire alla valutazione dell'affidabilità e del livello di rischio del sistema stesso
[DHI81] [KAP77]. Si presta ad essere usato per analizzare sistemi complessi e di grandi
dimensioni, ed è particolarmente adatta per rappresentare e valutare le configurazioni
ridondanti.
L'idea fondamentale alla base della FTA è la traduzione dei comportamenti di un sistema
fisico in un modello logico, il cosiddetto Fault Tree (FT), tramite l'utilizzo della teoria
dell'affidabilità, dell'algebra Booleana e della probabilità [FEL68] [SHO68]. È infatti
Capitolo 2 Analisi dello stato dell’arte
11
importante osservare come una qualsiasi coppia di componenti identici, sebbene impiegati
nelle medesime condizioni, non mostra mai lo stesso comportamento. I parametri
affidabilistici, come il tasso di guasto, il tasso di riparazione ed il tempo al guasto, non
possono essere predetti con certezza, ma sono piuttosto interpretabili come variabili
stocastiche che presentano quindi una propria funzione di distribuzione della probabilità.
Definito l'albero logico degli eventi (FT) la FTA prevede l'utilizzo di metodi sofisticati per
l'analisi di sistemi che considerino opportunamente complesse relazioni tra hardware,
software, operatori umani e ambiente.
Figura 2.1 Porzione di albero di guasto tratto dall'analisi di rischio applicata al Top Event
"scoppio di un incendio" sul luogo di lavoro.
Capitolo 2 Analisi dello stato dell’arte
12
È possibile individuare due fasi fondamentali della FTA:
a) la costruzione dell'albero logico degli eventi (FT);
b) l'analisi e la valutazione in termini probabilistici.
2.2.1 FTA e FMECA: sinergie
La FTA è frequentemente usata dagli analisti congiuntamente all'analisi FMECA. Come si
è visto, lo scopo principale della FTA è di partire da un guasto sul sistema e ricercarne le
cause mettendolo in relazione funzionale con altri guasti sui componenti; il ruolo
dell'analisi FMEA è invece l'individuazione dei guasti più significativi sia per il sistema,
sia per i singoli componenti.
Si può quindi comprendere il forte legame sinergico instaurabile tra le due tecniche
affidabilistiche. L'analisi FMECA assume un ruolo complementare rispetto all'analisi FTA
e nel contesto d'uso di quest'ultima può individuare:
• una serie di situazioni di guasto del sistema in esame
• tutti i possibili malfunzionamenti dei componenti del sistema a partire dai quali si
giunge all'evento indesiderato studiato dal FT.
L'analisi FMEA/FMECA non è certamente l'unico strumento finalizzato all'identificazione
delle modalità di guasto di un sistema e dei suoi componenti disponibile nello stato
dell'arte, tuttavia le esperienze documentate su applicazioni reali ne hanno dimostrato
l'efficacia e la semplicità di utilizzo. Inoltre, tale tecnica, mediante lo studio di ciascun
sottosistema o componente, permette di individuare e valutare tutte le cause ed effetti di
ogni possibile malfunzionamento del sistema. La facilità d'utilizzo e d'interpretazione dei
risultati, nonché l'elevato numero di prodotti commerciali rendono questa tecnica
ampiamente diffusa; un tipico esempio è fornito dal prodotto ITEM TOOLKIT FMECA
module [ITEMS].
Capitolo 2 Analisi dello stato dell’arte
13
2.2.2 Fault Tree: simboli e definizioni
Un albero di guasto è un diagramma logico orientato che prende il proprio nome dalla
forma del grafo. Si tratta di una rappresentazione simbolica della struttura di un impianto, o
di parte di esso, volta ad evidenziare le interconnessioni logiche che esistono tra un evento
finale (Top Event, TE) al quale è associata la crisi di una parte o della totalità del sistema
e gli eventi di guasto che coinvolgono singoli componenti (Basic Events, BE) del sistema
stesso.
Figura 2.2 Un tipico esempio di albero di guasto.
I simboli usati rappresentanti gli eventi e le loro relazioni sono stati standardizzati e
possono essere riassunti nella seguente tabella.
Capitolo 2 Analisi dello stato dell’arte
14
Simboli di un Fault Tree
Categoria Nome Simbolo Significato
Basic Event
Malfunzionamento di un componente per il
quale sono disponibili sufficienti informazioni
sulla probabilità d'occorrenza e per cui non è
richiesto un ulteriore sviluppo
Evento Non
Sviluppato
BE non indagato ulteriormente per mancanza
di tempo o interesse o perché non sono
disponibili informazioni più dettagliate
Evento
Intermedio
Evento risultante dalla combinazione di più
eventi in input alla corrispondente porta logica.
Lo stesso TE è un evento risultante
Evento
Condizionante
Evento che indica una qualsiasi condizione o
restrizione da applicare ad una porta logica (cfr
porta INH di seguito)
evento
Evento Esterno
BE esterno ai componenti del sistema, quale
può essere, ad esempio un incendio di un
edificio, un'errata manutenzione, etc.
AND
L'evento in output accade se e solo se tutti gli
eventi in input accadono simultaneamente. La
funzione logica rappresentata da questa porta
è: Y
= A∩B∩C∩…∩N
OR
Uno degli eventi in input produce l'evento in
output indipendentemente dall'occorrenza degli
altri e descrive la funzione logica: Y =
AUBUCU…UN
Vote
m:0:0
È detta anche porta K-out-of-M
1
: l'evento in
output accade se e solo se K degli N eventi in
input accadono simultaneamente. È molto utile
nei sistemi ridondanti.
porta logica
EXOR
2
(Exclusive_OR)
L'evento in output accade se e solo se si
verifica unicamente uno degli eventi in input. È
un caso particolare di porta OR in cui si
aggiunge la condizione per cui l'output accade
solo se accade esattamente uno degli input
1
La porta K-out-of-N può essere scomposta in un'equivalente combinazione di porte AND ed OR. La stessa
porta AND corrisponde al caso particolare N-of-N, mentre la porta OR corrisponde al caso 1-of-N.
2
Quando gli eventi in input sono tutti indipendenti e di rara occorrenza, la probabilità dell'accadimento
simultaneo è trascurabile se confrontata a quella dei singoli eventi. In questi casi ai fini dall'analisi e
valutazione del FT, la porta logica EXOR può essere rimpiazzata da un a porta OR senza che l'analisi perda
di credibilità. Altrimenti, la porta EXOR deve essere sostituita da un'opportuna combinazione di porte AND e
OR.
Capitolo 2 Analisi dello stato dell’arte
15
INH (Inhibit)
L'evento condizionante disegnato a lato, se
verificato, blocca la propagazione dell'evento
in input attraverso la porta. È un caso
particolare di porta AND tra un guasto di
componente e una condizione abilitante.
INV (Invertor)
L'evento in otuput accade se e solo se l'evento
in input non si verifica.
Transfer_IN
Denota l'esistenza di un sotto-albero che parte
proprio da questo punto, ma che è sviluppato
altrove, sotto un simbolo di Trasfer_OUT
trasferimento
Transfer_OUT
È un collegamento ad un simbolo di Trasfer_IN
e indica che il sotto-albero (figlio) che si
sviluppa al di sotto di questo simbolo è in realtà
una porzione di un albero più esteso (padre)
Tabella 2.1 I simboli usati per l'albero di guasto tradizionale.
I simboli di trasferimento sono usati sia per evitare la ripetizione di parti identiche del
grafo, sia per rimandare a parti dell'albero sviluppate in un'altra pagina per motivi di spazio
e chiarezza di visualizzazione.
2.2.3 La fase di costruzione
La FTA nella fase di costruzione dell'albero dei guasti usa un approccio top-down,
partendo dal livello di sistema e fino a giungere ai livelli più dettagliati quali i sottosistemi
o i componenti, come frequentemente avviene nel processo di progettazione.
La FTA è un processo deduttivo che scompone un evento complesso, di solito un guasto
del sistema, in eventi-causa più semplici, come i guasti dei sottosistemi, che potrebbero
essere responsabili di quest'occorrenza. Il procedimento è ripetuto per ciascun nuovo
evento trovato e procede finché rimangono unicamente gli eventi primari (BE). In ogni
caso la scelta del livello di dettaglio da raggiungere è lasciata all'utente.
Si traccia così un albero orientato, con radice nel Top Event in cui ogni evento-
conseguenza è connesso agli eventi-causa che lo provocano.
Alternativamente all'albero di guasto, è possibile costruire un albero di successo che
descrive un'azione del sistema portata a termine con esito positivo. Quando si considerano
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
