16 marzo 2011
Fukushima e la prevedibilità degli incidenti industriali
La gravità con la quale un sistema sbaglia è direttamente proporzionale all’intensità del credo del progettista che ciò non possa accadere.
The Titanic Effect
J. A. N. Lee (1)
Sto seguendo con attenzione, tristezza e stupore quanto sta accadendo in questo momento in Giappone. Il disastro tecnologico causato dai reattori BWR installati negli anni ’70 presso la centrale di Fukushima e la strenua ed impari lotta per riportarli di nuovo sotto controllo.
Questo incidente, come del resto quello accaduto alla BP nel Golfo del Messico, rappresentano le due facce di una stessa medaglia. E contribuiscono ad abbattere l’attuale paradigma della prevedibilità statistica degli incidenti. Per farla breve, traggo dal Cumo (2) la seguente affermazione: “(…) Il LOCA – Loss of Coolant Accident, cioè la perdita di liquido di raffreddamento patita dai reattori di Fukushima, NdA – è l’incidente di riferimento di progetto dalle conseguenze più temute. La sua probabilità (…) è stimata dell’ordine di 10^-6 per reattore per anno (…)” (3).
Ciò vuole dire che statisticamente dovrebbe accadere un LOCA ogni milione di anni per reattore. Ora, se assumiamo che esistano circa 300 reattori nucleari in esercizio, la probabilità dovrebbe aumentare ed essere pari a 3*10^-4 (=300*10^-6), quindi, teoricamente, un incidente quale quello avvenuto a Three Miles Island ed ora a Fukushima dovrebbe avvenire una volta ogni (circa) 3000 anni, stante il parco attuale di reattori (trascuriamo per un momento che in Giappone non discutiamo di uno ma di quattro reattori).
Ma il dato reale non è un incidente con LOCA ogni tremila anni, ma uno ogni trent’anni.
La fiducia nella possibilità di prevedere gli incidenti anche con analisi di rischio sofisticate (fault tree analysis, FMEA, event tree, ecc.) è viziata quindi da un bias di fondo: il paradigma tecnico scientifico nel quale l’analisi stessa è sviluppata. Gli uomini che l’hanno elaborata. La capacità umana non assoluta di poter prevedere TUTTI i possibili guasti in gioco.
E, in definitiva, la presenza del cigno nero.
Purtroppo.
(1) Citato in: Dale N., Lewis J., Computer Science Illuminated, Jones and Bartlett Publishers., Ontario (CANADA), 2007
(2) Cumo M., Impianti Nucleari, La Sapienza Ed., Roma, 2008 (pag. 835, nota 4)
(3) I dati presentati sono estratti da cosiddetto Rapporto Rasmussen, che contiene riferimenti di affidabilità nucleare sicuramente inferiori rispetto a quelli che garantiscono i moderni impianti.
Scritto il 17-3-2011 alle ore 11:46
Il parametro più importante che hai citato è
“Gli uomini che l’hanno elaborata”
nel gruppo dei quali non inserirei solo i tecnici, ma anche e soprattutto i POLITICI (che è diventata una parolaccia tanto quanto quella di “consulente”).
Aggiungo che poi i controlli li fa ancora probabilmente la stessa allegra commissione di collaudo del Vajont…
Scritto il 18-3-2011 alle ore 08:30
Le analisi dei rischi talvolta sono legate all’esperienza.
Sono empiriche.
Priviliegiano la tempestività invece dell’accuratezza.
Non significa affatto che non debbano essere utilizzate.
Occorre solo aver chiaro che sono empiriche.
Saluti
Scritto il 18-3-2011 alle ore 10:10
@ Ugo Fonzar: Certo. Io però discuto di ambiti nei quali il principio di coerenza e di non contraddizione dovrebbero essere un terreno culturale comune. Non farmi aggiungere altro…
Io aggiungerei pure i commentatori economico-politici. Due sono gli interventi che mi hanno particolarmente colpito, all’indomani dell’incidente. Ne riporto alcuni stralci:
Oscar Giannino, Il Mattino, 12/03/2011: “Orbene, se allo stato degli atti una prima cosa si può dire è che proprio la terribile intensità del fenomeno (…) (…) Ed è questo il motivo per il quale le procedure automatiche di arresto dei reattori si sono subitamente attivate (…) le autorità giapponesi hanno disposto il fermo di sicurezza (…) Stiamo parlando del settimo evento tellurico che mai abbia colpito il mondo (…) eppure le centrali hanno tenuto (…).
Commento mio: Forse il nostro analista economico non ha ben chiaro che oltre al calore generato durante il funzionamento critico del reattore, esiste pure il calore di decadimento, pari al 2-3% del nominale che si attenua con la funzione 0,06*t^-0,2. Cioe’ molto, molto lentamente. E per una centrale da 1200 MW elettrici (circa 3000 MW termici) significa che, una volta inserite le barre di controllo ed azzerata la reazione critica, il reattore produrrà ancora circa 60 MW termici che devono essere asportati con le pompe di raffreddamento per molto tempo. Il reattore nucleare non si spegne come un’automobile estraendo le chiavi dal cruscotto.
Franco Battaglia, Il Giornale, 12/03/2011: “(…) Chernobyl non sarebbe stata alcun incubo se non fosse stato per coloro che hanno scientemente e colpevolmente fatto passare per tale un evento che, ancorché il più disgraziato occorso nel settore di produzione elettronucleare, ne ha dimostrato in modo inequivocabile la assoluta sicurezza (…)”
Commento mio: Che dire…
@ Francesco Cucchini: non ho mai detto che non deve essere utilizzata l’analisi dei rischi (e comunque discutevo di analisi di affidabilità).
Vedremo come evolverà la situazione.
Scritto il 18-3-2011 alle ore 12:27
Quando si valutano i rischi, non si dovrebbe tenere conto, oltre che della loro probabilità di accadimento, anche dell’intensità delle conseguenze? Un evento poco probabile con conseguenze catastrofiche è meglio o peggio di un evento molto comune, ma che reca danni limitati?
Scritto il 18-3-2011 alle ore 13:18
Si (e no)…
In generale il concetto classico di rischio è dato dalla prodotto tra la “frequenza attesa” ed la “magnitudo del danno potenziale” (R=fxM).
Questo in generale. A seconda del rischio che viene valutato, si trascura ora l’uno ora l’altro aspetto.
In ambito aeronautico l’aspetto che si valuta non è la magnitudo dell’incidente (es. 400 morti in caso di guasto severo in volo) ma la sola frequenza di accadimento di una data anomalia.
In ambito sanitario la medesima cosa; non avrebbe senso valutare il rischio di influenza in termini di “danno potenziale”, e quindi si ricorre alla semplice probabilità di contrarre l’infezione.
In ambito sismico invece si focalizza il solo aspetto di danno potenziale. La classificazione sismica in questo senso è emblematica. Non si specifica che probabilità ha un certo territorio di subire un sisma. Si dettaglia la sola entità dello stesso.
Nelle valutazioni di rischio richieste dal D.Lgs. n. 81/08 invece hai ragione; spesso si ricorre al prodotto tra probabilità stimata e danno potenziale (a volte al quadrato il danno).
Nelle macchine in genere si aggiunge un altro parametro che è “l’evitabilità del rischio”, ma le metodiche variano a seconda della norma utilizzata. Per esempio nell’ambito delle funzioni di sicurezza si possono utilizzare le metodologie previste dalla EN 13849-1 (elettromeccanica) piuttosto che 61511 (impianti) piuttosto che la EN 62061 (macchine) ecc.)
Negli incidenti rilevanti, così come nell’industria nucleare (a quanto ne so), si ricorre preferibilmente a metodologie complesse. Si parte in genere con un HAZOP che “spazzola” tutti gli scenari di incidente e poi si approfondiscono da una parte i danni potenziali con metodi empirici semi-quantitativi mentre le frequenze di danno si calcolano con modelli affidabilistici come l’albero dei guasti (FTA).
Nel caso specifico (nucleare), le metodologie di valutazione affidabilistica della probabilità di accadimento sono le medesime dei rischi Seveso, mentre il danno potenziale è molto più “particolare”, diciamo così.
Spolverando un po’ le reminiscenze universitarie di energetica, un evento LOCA può avvenire con il combustibile appena caricato oppure al termine del ciclo di vita delle barre. Nella prima circostanza l’emissione in caso di guasto sarebbe compresa tra 150 Curie per un PWR e 300 Curie per un BWR (danno molto limitato). Invece con combustibile “avvelenato” (si dice così) a termine ciclo, la radioattività contenuta nel reattore può arrivare a 20 miliardi di Curie.
Per avere un riferimento, la commissione Rasmussen indica come riferimento per l’incidente di progetto una uscita dal reattore pari ad 1 miliardo di curie mentre nell’incidente a Chernobil sono usciti (appena?) 50 milioni di curie.
Ciao
Marzio