Negli ultimi anni i microprocessori hanno svolto un ruolo sempre più importante nel campo della tecnologia di sicurezza. Poiché interi computer (ad es. unità di elaborazione centrale, memoria e componenti periferici) sono ora disponibili in un unico componente come "computer a chip singolo", la tecnologia dei microprocessori viene impiegata non solo nel controllo di macchine complesse, ma anche nelle salvaguardie di un design relativamente semplice (es. barriere fotoelettriche, dispositivi di comando a due mani e coste sensibili). Il software che controlla questi sistemi comprende da mille a diverse decine di migliaia di singoli comandi e di solito è costituito da diverse centinaia di rami di programma. I programmi operano in tempo reale e sono per lo più scritti nel linguaggio assembly dei programmatori.

L'introduzione di sistemi computerizzati nell'ambito della tecnologia di sicurezza è stata accompagnata in tutte le apparecchiature tecniche su larga scala non solo da costosi progetti di ricerca e sviluppo, ma anche da significative restrizioni volte a migliorare la sicurezza. (La tecnologia aerospaziale, la tecnologia militare e la tecnologia dell'energia atomica possono qui essere citate come esempi di applicazioni su larga scala.) Il campo collettivo della produzione industriale di massa è stato finora trattato solo in modo molto limitato. Ciò è in parte dovuto al fatto che i rapidi cicli di innovazione caratteristici della progettazione di macchine industriali rendono difficile trasferire, se non in modo molto limitato, le conoscenze che possono essere derivate da progetti di ricerca riguardanti il ​​collaudo finale di sistemi su larga scala dispositivi di sicurezza. Ciò rende auspicabile lo sviluppo di procedure di valutazione rapide ea basso costo (Reinert e Reuss 1991).

Questo articolo esamina innanzitutto le macchine e gli impianti in cui i sistemi informatici svolgono attualmente compiti di sicurezza, utilizzando esempi di incidenti che si verificano prevalentemente nell'area delle protezioni delle macchine per descrivere il ruolo particolare che i computer svolgono nella tecnologia di sicurezza. Questi incidenti danno qualche indicazione su quali precauzioni devono essere prese in modo che i dispositivi di sicurezza controllati da computer che stanno diventando sempre più diffusi non portino ad un aumento del numero di incidenti. La sezione finale dell'articolo delinea una procedura che consentirà di portare anche i piccoli sistemi informatici a un livello adeguato di sicurezza tecnica con spese giustificabili e in un periodo di tempo accettabile. I principi indicati in questa parte finale sono in fase di introduzione nelle procedure internazionali di normazione e avranno implicazioni per tutti gli ambiti della tecnologia della sicurezza in cui i computer trovano applicazione.

Esempi di utilizzo di software e computer nel campo della protezione delle macchine

I quattro esempi che seguono chiariscono che software e computer stanno attualmente entrando sempre di più nelle applicazioni legate alla sicurezza nel dominio commerciale.

Gli impianti di segnalazione personale di emergenza sono costituiti, di regola, da una stazione centrale di ricezione e da una serie di dispositivi di segnalazione personale di emergenza. I dispositivi sono trasportati da persone che lavorano in loco da sole. Se una di queste persone che lavorano da sole si trovasse in una situazione di emergenza, può utilizzare il dispositivo per far scattare un allarme tramite segnale radio nella stazione centrale di ricezione. Tale attivazione dell'allarme dipendente dalla volontà può anche essere integrata da un meccanismo di attivazione indipendente dalla volontà attivato da sensori incorporati nei dispositivi di emergenza personali. Sia i singoli dispositivi che la stazione di ricezione centrale sono spesso controllati da microcomputer. È ipotizzabile che il guasto di specifiche singole funzioni del computer integrato possa portare, in una situazione di emergenza, al mancato intervento dell'allarme. Occorre quindi prendere precauzioni per percepire e riparare nel tempo tale perdita di funzionalità.

Le macchine da stampa utilizzate oggi per stampare le riviste sono macchine di grandi dimensioni. I nastri di carta vengono normalmente preparati da una macchina separata in modo tale da consentire una transizione senza soluzione di continuità a un nuovo rotolo di carta. Le pagine stampate vengono piegate da una piegatrice e successivamente lavorate attraverso una catena di ulteriori macchine. Ciò si traduce in pallet caricati con caricatori completamente cuciti. Sebbene tali impianti siano automatizzati, vi sono due punti in cui è necessario intervenire manualmente: (1) nell'infilatura dei percorsi carta, e (2) nell'eliminazione di ostruzioni causate da strappi di carta in punti pericolosi sui rulli rotanti. Per questo motivo, durante la regolazione delle presse, la tecnologia di controllo deve garantire una velocità di funzionamento ridotta o una modalità di spostamento limitata nel tempo o nel percorso. A causa delle complesse procedure di guida coinvolte, ogni singola stazione di stampa deve essere dotata di un proprio controllore logico programmabile. Qualsiasi guasto che si verifichi nel controllo di un impianto di stampa mentre le griglie di protezione sono aperte deve essere evitato che porti all'avvio imprevisto di una macchina ferma o al funzionamento in eccesso rispetto a velocità opportunamente ridotte.

Nelle grandi fabbriche e nei magazzini, i veicoli robotici a guida automatica senza conducente si muovono su binari appositamente contrassegnati. Tali binari possono essere calpestati in qualsiasi momento da persone, oppure materiali e attrezzature possono essere inavvertitamente lasciati sui binari, in quanto non separati strutturalmente da altre linee di traffico. Per questo motivo, è necessario utilizzare una sorta di dispositivo di prevenzione delle collisioni per garantire che il veicolo venga fermato prima che si verifichi una collisione pericolosa con una persona o un oggetto. Nelle applicazioni più recenti, la prevenzione delle collisioni viene effettuata mediante scanner a ultrasuoni oa luce laser utilizzati in combinazione con un paraurti di sicurezza. Poiché questi sistemi funzionano sotto il controllo del computer, è possibile configurare diverse zone di rilevamento permanenti in modo che un veicolo possa modificare la sua reazione a seconda della zona di rilevamento specifica in cui si trova una persona. I guasti del dispositivo di protezione non devono provocare una collisione pericolosa con una persona.

Le ghigliottine del dispositivo di controllo del taglio della carta vengono utilizzate per pressare e quindi tagliare spesse pile di carta. Sono attivati ​​da un dispositivo di controllo a due mani. L'utente deve raggiungere la zona pericolosa della macchina dopo aver eseguito ogni taglio. Una protezione immateriale, di solito una barriera luminosa, viene utilizzata in combinazione con il dispositivo di controllo a due mani e un sistema di controllo sicuro della macchina per prevenire lesioni quando la carta viene alimentata durante l'operazione di taglio. Quasi tutte le ghigliottine più grandi e moderne in uso oggi sono controllate da sistemi di microcomputer multicanale. Anche il funzionamento a due mani e la barriera fotoelettrica devono essere garantiti per funzionare in sicurezza.

Incidenti con sistemi controllati da computer

In quasi tutti i campi dell'applicazione industriale, vengono segnalati incidenti con software e computer (Neumann 1994). Nella maggior parte dei casi, i guasti del computer non provocano danni alle persone. Tali inadempienze sono comunque rese pubbliche solo quando siano di interesse pubblico generale. Ciò significa che i casi di malfunzionamento o incidente relativi a computer e software in cui sono coinvolti danni alle persone costituiscono una percentuale relativamente elevata di tutti i casi pubblicizzati. Sfortunatamente, gli incidenti che non suscitano molto clamore pubblico non vengono indagati sulle loro cause con la stessa intensità degli incidenti più importanti, tipicamente in impianti di grandi dimensioni. Per questo motivo, gli esempi che seguono si riferiscono a quattro descrizioni di malfunzionamenti o incidenti tipici di sistemi controllati da computer al di fuori del campo delle protezioni delle macchine, che servono a suggerire ciò che deve essere tenuto in considerazione quando si formulano giudizi sulla tecnologia di sicurezza.

Incidenti causati da guasti casuali nell'hardware

Il seguente incidente è stato causato da una concentrazione di guasti casuali nell'hardware combinati con errori di programmazione: un reattore si è surriscaldato in un impianto chimico, dopodiché sono state aperte le valvole di sfiato, consentendo al contenuto del reattore di essere scaricato nell'atmosfera. Questo incidente si è verificato poco dopo che era stato dato un avviso che il livello dell'olio in un cambio era troppo basso. Un'attenta indagine sull'incidente mostrò che poco dopo che il catalizzatore aveva avviato la reazione nel reattore - in conseguenza della quale il reattore avrebbe richiesto un maggiore raffreddamento - il computer, sulla base della segnalazione di bassi livelli di olio nella scatola del cambio, congelò tutto grandezze sotto il suo controllo a un valore fisso. Ciò ha mantenuto il flusso di acqua fredda a un livello troppo basso e di conseguenza il reattore si è surriscaldato. Ulteriori indagini hanno mostrato che l'indicazione di bassi livelli di olio era stata segnalata da un componente difettoso.

Il software aveva risposto secondo le specifiche con l'intervento di un allarme e il fissaggio di tutte le variabili operative. Questa era una conseguenza dello studio HAZOP (hazards and operability analysis) (Knowlton 1986) condotto prima dell'evento, che richiedeva che tutte le variabili controllate non venissero modificate in caso di guasto. Poiché il programmatore non conosceva in dettaglio la procedura, tale requisito è stato interpretato nel senso che gli attuatori comandati (valvole di controllo in questo caso) non dovevano essere modificati; nessuna attenzione è stata prestata alla possibilità di un aumento della temperatura. Il programmatore non ha tenuto conto che dopo aver ricevuto un segnale errato il sistema potrebbe trovarsi in una situazione dinamica tale da richiedere l'intervento attivo del computer per evitare un contrattempo. La situazione che ha portato all'incidente era così improbabile, inoltre, che non era stata analizzata in dettaglio nello studio HAZOP (Levenson 1986). Questo esempio fornisce una transizione a una seconda categoria di cause di incidenti software e informatici. Questi sono i guasti sistematici che sono presenti nel sistema fin dall'inizio, ma che si manifestano solo in determinate situazioni molto specifiche di cui lo sviluppatore non ha tenuto conto.

Incidenti causati da guasti operativi

Durante i test sul campo durante l'ispezione finale dei robot, un tecnico ha preso in prestito la cassetta di un robot vicino e ne ha sostituita un'altra senza informare il suo collega di averlo fatto. Al ritorno al suo posto di lavoro, il collega ha inserito la cassetta sbagliata. Poiché si trovava accanto al robot e si aspettava da esso una particolare sequenza di movimenti - una sequenza che risultava diversa a causa del programma scambiato - si verificò una collisione tra robot e uomo. Questo incidente descrive il classico esempio di guasto operativo. Il ruolo di tali guasti nei malfunzionamenti e negli incidenti è attualmente in aumento a causa della crescente complessità nell'applicazione dei meccanismi di sicurezza controllati dal computer.

Incidenti causati da guasti sistematici nell'hardware o nel software

Un siluro con una testata doveva essere sparato per scopi di addestramento, da una nave da guerra in alto mare. A causa di un difetto nell'apparato propulsore, il siluro è rimasto nel tubo lanciasiluri. Il capitano ha deciso di tornare al porto di origine per salvare il siluro. Poco dopo che la nave aveva iniziato a tornare a casa, il siluro è esploso. Un'analisi dell'incidente ha rivelato che gli sviluppatori del siluro erano stati obbligati a incorporare nel siluro un meccanismo progettato per impedirne il ritorno alla rampa di lancio dopo essere stato sparato e quindi distruggere la nave che lo aveva lanciato. Il meccanismo scelto per questo era il seguente: dopo il lancio del siluro veniva effettuato un controllo, utilizzando il sistema di navigazione inerziale, per vedere se la sua rotta era stata alterata di 180°. Non appena il siluro ha percepito di aver virato di 180°, il siluro è esploso immediatamente, presumibilmente a una distanza di sicurezza dalla rampa di lancio. Questo meccanismo di rilevamento è stato attivato nel caso del siluro non correttamente lanciato, con il risultato che il siluro è esploso dopo che la nave aveva cambiato rotta di 180°. Questo è un tipico esempio di incidente verificatosi a causa di un mancato rispetto delle specifiche. Il requisito nelle specifiche secondo cui il siluro non avrebbe dovuto distruggere la propria nave in caso di cambio di rotta non era stato formulato in modo sufficientemente preciso; la precauzione è stata quindi programmata erroneamente. L'errore si è manifestato solo in una situazione particolare, che il programmatore non aveva preso in considerazione come possibilità.

Il 14 settembre 1993 un Airbus A 320 della Lufthansa si schiantò durante l'atterraggio a Varsavia (figura 1). Un'attenta indagine sull'incidente ha mostrato che le modifiche nella logica di atterraggio del computer di bordo apportate dopo un incidente con un Boeing 767 Lauda Air nel 1991 erano in parte responsabili di questo atterraggio di fortuna. Quello che era successo nell'incidente del 1991 era che la deflessione della spinta, che devia una parte dei gas del motore in modo da frenare l'aereo durante l'atterraggio, si era innestata mentre era ancora in aria, costringendo così la macchina a un'incontrollabile picchiata. Per questo motivo, nelle macchine Airbus era stato integrato un blocco elettronico della deflessione della spinta. Questo meccanismo ha permesso che la deflessione della spinta entrasse in vigore solo dopo che i sensori su entrambi i gruppi di carrello di atterraggio avevano segnalato la compressione degli ammortizzatori sotto la pressione delle ruote che toccavano terra. Sulla base di informazioni errate, i piloti dell'aereo a Varsavia prevedevano un forte vento laterale.

Figura 1. Lufthansa Airbus dopo l'incidente a Varsavia nel 1993

Per questo motivo hanno portato la macchina leggermente inclinata e l'Airbus è atterrato con la sola ruota destra, lasciando la sinistra che sopportava meno del pieno peso. A causa del blocco elettronico della deflessione della spinta, il computer di bordo ha negato al pilota per lo spazio di nove secondi manovre che avrebbero consentito all'aereo di atterrare in sicurezza nonostante le circostanze avverse. Questo incidente dimostra molto chiaramente che le modifiche nei sistemi informatici possono portare a situazioni nuove e pericolose se non si considera in anticipo la gamma delle loro possibili conseguenze.

Il seguente esempio di malfunzionamento dimostra anche gli effetti disastrosi che la modifica di un singolo comando può avere nei sistemi informatici. La gradazione alcolica del sangue viene determinata, in test chimici, utilizzando siero di sangue limpido da cui sono stati preventivamente centrifugati i globuli. Il contenuto alcolico del siero è quindi superiore (di un fattore 1.2) a quello del sangue intero più denso. Per questo motivo i valori alcolici nel siero devono essere divisi per un fattore di 1.2 per stabilire le parti per mille legalmente e medicalmente critiche. Nel test interlaboratorio svoltosi nel 1984, si sarebbero dovuti confrontare tra loro i valori alcolemici accertati in identici test eseguiti presso diversi istituti di ricerca utilizzando il siero. Trattandosi solo di un confronto, il comando di dividere per 1.2 è stato inoltre cancellato dal programma di uno degli istituti per tutta la durata dell'esperimento. Al termine del test interlaboratorio, in questo punto è stato erroneamente introdotto nel programma un comando di moltiplicazione per 1.2. Di conseguenza, tra l'agosto 1,500 e il marzo 1984 sono stati calcolati circa 1985 valori di parti per mille errati. Tale errore è stato determinante per la carriera professionale degli autotrasportatori con valori alcolemici compresi tra 1.0 e 1.3 per mille, poiché una sanzione giudiziaria che comporta il ritiro della patente per un periodo prolungato è conseguenza di un valore dell'1.3 per mille.

Incidenti causati da influssi da sollecitazioni operative o da sollecitazioni ambientali

A seguito di un disturbo causato dalla raccolta di scarti nell'area effettiva di una punzonatrice e roditrice CNC (computer numeric control), l'utente ha posto in essere il “stop programmato”. Mentre cercava di rimuovere i rifiuti con le mani, l'asta di spinta della macchina ha iniziato a muoversi nonostante l'arresto programmato e ha ferito gravemente l'utente. Un'analisi dell'incidente ha rivelato che non si trattava di un errore nel programma. Non è stato possibile riprodurre l'avvio imprevisto. Irregolarità simili erano state osservate in passato su altre macchine dello stesso tipo. Da questi sembra plausibile dedurre che l'incidente debba essere stato causato da interferenze elettromagnetiche. Incidenti simili con robot industriali sono segnalati dal Giappone (Neumann 1987).

Un malfunzionamento della sonda spaziale Voyager 2 il 18 gennaio 1986 rende ancora più chiara l'influenza delle sollecitazioni ambientali sui sistemi controllati dal computer. Sei giorni prima dell'avvicinamento più vicino a Urano, ampi campi di linee bianche e nere coprivano le immagini della Voyager 2. Un'analisi precisa ha mostrato che un singolo bit in una parola di comando del sottosistema dei dati di volo aveva causato il guasto, osservato come le immagini sono state compresse nella sonda. Molto probabilmente questo bit era stato messo fuori posto all'interno della memoria del programma dall'impatto di una particella cosmica. La trasmissione senza errori delle fotografie compresse dalla sonda è stata effettuata solo due giorni dopo, utilizzando un programma sostitutivo in grado di bypassare il punto di memoria guasto (Laeser, McLaughlin e Wolff 1987).

Sintesi degli infortuni presentati

Gli incidenti analizzati mostrano che alcuni rischi che potrebbero essere trascurati in condizioni di semplice tecnologia elettromeccanica, acquistano importanza quando si utilizzano i computer. I computer consentono l'elaborazione di funzioni di sicurezza complesse e specifiche della situazione. Una specifica univoca, priva di errori, completa e verificabile di tutte le funzioni di sicurezza diventa per questo motivo particolarmente importante. Gli errori nelle specifiche sono difficili da scoprire e sono spesso causa di incidenti in sistemi complessi. I controlli liberamente programmabili vengono solitamente introdotti con l'intenzione di poter reagire in modo flessibile e rapido al mercato in evoluzione. Le modifiche, tuttavia, in particolare nei sistemi complessi, hanno effetti collaterali difficili da prevedere. Tutte le modifiche devono quindi essere sottoposte a una procedura di gestione delle modifiche rigorosamente formale in cui una netta separazione delle funzioni di sicurezza dai sistemi parziali non rilevanti per la sicurezza contribuirà a mantenere facilmente rilevabili le conseguenze delle modifiche per la tecnologia di sicurezza.

I computer funzionano con bassi livelli di elettricità. Sono quindi suscettibili di interferenze da sorgenti di radiazioni esterne. Poiché la modifica di un singolo segnale tra milioni può portare a un malfunzionamento, vale la pena prestare particolare attenzione al tema della compatibilità elettromagnetica in connessione con i computer.

La manutenzione dei sistemi controllati da computer sta attualmente diventando sempre più complessa e quindi più poco chiara. L'ergonomia del software dell'utente e del software di configurazione sta quindi diventando sempre più interessante dal punto di vista della tecnologia di sicurezza.

Nessun sistema informatico è testabile al 100%. Un semplice meccanismo di controllo con 32 porte di input binari e 1,000 diversi percorsi software richiede 4.3 × 10¹² test per un controllo completo. Ad una velocità di 100 test al secondo eseguiti e valutati, un test completo richiederebbe 1,362 anni.

Procedure e misure per il miglioramento dei dispositivi di sicurezza controllati da computer

Negli ultimi 10 anni sono state sviluppate procedure che consentono di padroneggiare sfide specifiche relative alla sicurezza in relazione ai computer. Queste procedure si rivolgono ai guasti del computer descritti in questa sezione. Gli esempi descritti di software e computer nelle protezioni delle macchine e gli infortuni analizzati, mostrano che l'entità dei danni e quindi anche il rischio insito nelle varie applicazioni sono estremamente variabili. È quindi chiaro che le precauzioni necessarie per il miglioramento dei computer e dei software utilizzati nella tecnologia della sicurezza dovrebbero essere stabilite in relazione al rischio.

La figura 2 mostra una procedura qualitativa attraverso la quale è possibile determinare la necessaria riduzione del rischio ottenibile utilizzando i sistemi di sicurezza indipendentemente dall'entità e dalla frequenza con cui si verifica il danno (Bell e Reinert 1992). Le tipologie di guasti nei sistemi informatici analizzate nella sezione “Infortuni con sistemi controllati da computer” (sopra) possono essere messe in relazione con i cosiddetti Safety Integrity Levels, cioè le strutture tecniche per la riduzione del rischio.

Figura 2. Procedura qualitativa per la determinazione del rischio

La Figura 3 chiarisce che l'efficacia delle misure adottate, in ogni caso, per ridurre gli errori nel software e nei computer deve crescere con l'aumentare del rischio (DIN 1994; IEC 1993).

Figura 3, Efficacia delle precauzioni prese contro gli errori indipendentemente dal rischio

L'analisi degli incidenti sopra abbozzata mostra che il fallimento delle protezioni computerizzate è causato non solo da guasti casuali dei componenti, ma anche da particolari condizioni operative di cui il programmatore non ha tenuto conto. Le conseguenze non immediatamente evidenti delle modifiche apportate al programma durante la manutenzione del sistema costituiscono un'ulteriore fonte di errore. Ne consegue che possono verificarsi guasti nei sistemi di sicurezza controllati da microprocessori che, sebbene realizzati durante lo sviluppo del sistema, possono portare a una situazione di pericolo solo durante il funzionamento. Pertanto, è necessario prendere precauzioni contro tali guasti mentre i sistemi relativi alla sicurezza sono in fase di sviluppo. Queste cosiddette misure di prevenzione dei guasti devono essere prese non solo durante la fase di ideazione, ma anche nel processo di sviluppo, installazione e modifica. Alcuni guasti possono essere evitati se vengono scoperti e corretti durante questo processo (DIN 1990).

Come chiarisce l'ultimo incidente descritto, il guasto di un singolo transistor può portare al guasto tecnico di apparecchiature automatizzate molto complesse. Poiché ogni singolo circuito è composto da molte migliaia di transistor e altri componenti, è necessario adottare numerose misure per evitare i guasti per riconoscere i guasti che si verificano durante il funzionamento e per avviare una reazione appropriata nel sistema informatico. La Figura 4 descrive i tipi di guasti nei sistemi elettronici programmabili, nonché esempi di precauzioni che possono essere prese per evitare e controllare i guasti nei sistemi informatici (DIN 1990; IEC 1992).

Figura 4. Esempi di precauzioni prese per controllare ed evitare errori nei sistemi informatici

Possibilità e prospettive dei sistemi elettronici programmabili nella tecnologia della sicurezza

Le macchine e gli impianti moderni stanno diventando sempre più complessi e devono svolgere compiti sempre più complessi in periodi di tempo sempre più brevi. Per questo motivo, i sistemi informatici hanno conquistato quasi tutti i settori dell'industria dalla metà degli anni '1970. Questo aumento di complessità da solo ha contribuito in modo significativo all'aumento dei costi legati al miglioramento della tecnologia di sicurezza in tali sistemi. Sebbene software e computer rappresentino una grande sfida per la sicurezza sul posto di lavoro, rendono anche possibile l'implementazione di nuovi sistemi a prova di errore nel campo della tecnologia di sicurezza.

Un verso buffo ma istruttivo di Ernst Jandl aiuterà a spiegare cosa si intende con il concetto favorevole agli errori. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. ("Dilection: Many berieve light and reft cannot be intelchanged, what an ellol".) Nonostante lo scambio di lettere r ed l, questa frase è facilmente comprensibile da un normale essere umano adulto. Anche qualcuno con scarsa padronanza della lingua inglese può tradurlo in inglese. Il compito è, tuttavia, quasi impossibile per un computer che traduce da solo.

Questo esempio mostra che un essere umano può reagire in modo molto più favorevole agli errori rispetto a un computer linguistico. Ciò significa che gli esseri umani, come tutte le altre creature viventi, possono tollerare i fallimenti riferendoli all'esperienza. Se si guardano le macchine oggi in uso, si vede che la maggior parte delle macchine penalizza i guasti degli utenti non con un infortunio, ma con un calo della produzione. Questa proprietà porta alla manipolazione o all'elusione delle garanzie. La moderna tecnologia informatica mette a disposizione della sicurezza sul lavoro sistemi in grado di reagire in modo intelligente, cioè in modo modificato. Tali sistemi rendono quindi possibile una modalità di comportamento favorevole agli errori nelle nuove macchine. Avvertono prima di tutto gli utenti durante un'operazione errata e spengono la macchina solo quando questo è l'unico modo per evitare un incidente. L'analisi degli infortuni mostra che esiste in questo settore un notevole potenziale di riduzione degli infortuni (Reinert e Reuss 1991).

Di ritorno

GESTIS, il sistema informativo sulle sostanze pericolose del associazioni di commercio (BG, assicurazioni legali contro gli infortuni) in Germania, viene qui presentato come caso di studio di un sistema informativo integrato per la prevenzione dei rischi da sostanze e prodotti chimici sul posto di lavoro.

Con l'emanazione e l'applicazione del regolamento sulle sostanze pericolose in Germania a metà degli anni '1980, c'è stato un enorme aumento della domanda di dati e informazioni sulle sostanze pericolose. Questa domanda doveva essere soddisfatta direttamente dal BG nell'ambito delle loro attività di consulenza e vigilanza industriale.

Gli specialisti, comprese le persone che lavorano con i servizi di ispezione tecnica del BG, gli ingegneri per la sicurezza sul lavoro, i medici del lavoro e coloro che collaborano con gruppi di esperti, richiedono dati sanitari specifici. Tuttavia, le informazioni sui pericoli chimici e le necessarie misure di sicurezza non sono meno importanti per i non addetti ai lavori che lavorano con prodotti pericolosi. In fabbrica conta l'efficacia delle norme di tutela del lavoro; è quindi essenziale che le informazioni pertinenti siano facilmente accessibili al proprietario della fabbrica, al personale addetto alla sicurezza, ai lavoratori e, se del caso, ai comitati di lavoro.

In questo contesto, GESTIS è stato istituito nel 1987. I singoli istituti BG hanno mantenuto i database per lo più per più di 20 anni. Nell'ambito di GESTIS, queste banche dati sono state combinate e integrate con nuove componenti, tra cui una banca dati "fatti" su sostanze e prodotti e sistemi informativi specifici per particolari settori industriali. GESTIS è organizzato su base centrale e periferica, con dati completi per e sull'industria in Germania. È organizzato e classificato in base ai rami dell'industria.

GESTIS è costituito da quattro database principali situati centralmente presso l'Associazione Berufsgenossenschaften e il loro Istituto per la sicurezza sul lavoro (BIA), oltre a sistemi informativi periferici specifici per settore e documentazione sulla sorveglianza della medicina del lavoro e interfacce con database esterni.

I gruppi target per le informazioni sulle sostanze pericolose, come ingegneri della sicurezza e medici del lavoro, richiedono moduli diversi e dati specifici per il loro lavoro. La forma delle informazioni dirette ai dipendenti dovrebbe essere comprensibile e correlata alla manipolazione specifica delle sostanze. Gli ispettori tecnici possono richiedere altre informazioni. Infine, il pubblico in generale ha il diritto e l'interesse all'informazione sulla salute sul luogo di lavoro, compresa l'identificazione e lo stato di particolari rischi e l'incidenza delle malattie professionali.

GESTIS deve essere in grado di soddisfare le esigenze informative di vari gruppi target fornendo informazioni accurate che si concentrano sulla pratica.

Quali dati e informazioni sono necessari?

Informazioni di base su sostanze e prodotti

I fatti concreti devono essere il fondamento principale. In sostanza si tratta di fatti su sostanze chimiche pure, basati su conoscenze scientifiche e requisiti legali. L'ambito degli argomenti e delle informazioni nelle schede di dati di sicurezza, come, ad esempio, definito dall'Unione Europea nella Direttiva UE 91/155/CEE, corrisponde ai requisiti della protezione del lavoro in fabbrica e fornisce un quadro adeguato.

Questi dati si trovano nel database centrale di sostanze e prodotti GESTIS (ZeSP), un database online compilato dal 1987, con particolare attenzione alle sostanze e in collaborazione con i servizi governativi di ispezione del lavoro (vale a dire, i database delle sostanze pericolose degli stati). I fatti corrispondenti sui prodotti (miscele) sono stabiliti solo sulla base di dati validi sulle sostanze. In pratica esiste un grosso problema perché i produttori di schede di dati di sicurezza spesso non identificano le sostanze pertinenti nei preparati. La suddetta direttiva UE prevede miglioramenti nelle schede di sicurezza e richiede dati più precisi sull'elenco dei componenti (a seconda dei livelli di concentrazione).

La compilazione delle schede di sicurezza all'interno di GESTIS è indispensabile per abbinare i dati del produttore con i dati della sostanza indipendenti dai produttori. Questo risultato si ottiene sia attraverso le attività di registrazione specifiche per settore del BG sia attraverso un progetto in collaborazione con i produttori, che assicurano che le schede di dati di sicurezza siano disponibili, aggiornate e in gran parte in forma elaborata (vedi figura 1) nella banca dati ISI (Schede Sicurezza Sistema Informativo).

Figura 1.Centro di raccolta e informazione delle schede di sicurezza - struttura di base

Poiché le schede di dati di sicurezza spesso non considerano adeguatamente l'uso speciale di un prodotto, gli specialisti nei settori dell'industria raccolgono informazioni sui gruppi di prodotti (ad es. lubrorefrigeranti per la protezione pratica del lavoro in fabbrica) dalle informazioni dei produttori e dai dati sulle sostanze. I gruppi di prodotti sono definiti in base al loro uso e al loro potenziale di rischio chimico. Le informazioni rese disponibili sui gruppi di prodotti sono indipendenti dai dati forniti dai produttori sulla composizione dei singoli prodotti perché si basano su formule generali di composizione. Pertanto, l'utente ha accesso a una fonte di informazioni indipendente supplementare oltre alla scheda di dati di sicurezza.

Una caratteristica caratteristica di ZeSP è la fornitura di informazioni sulla manipolazione sicura di sostanze pericolose sul posto di lavoro, comprese specifiche misure di emergenza e preventive. Inoltre, ZeSP contiene informazioni complete sulla medicina del lavoro in una forma dettagliata, comprensibile e correlata alla pratica (Engelhard et al. 1994).

Oltre alle informazioni orientate alla pratica descritte sopra, sono necessari ulteriori dati in relazione a gruppi di esperti nazionali e internazionali al fine di intraprendere valutazioni del rischio per le sostanze chimiche (ad esempio, il regolamento UE sulle sostanze chimiche esistenti).

Per la valutazione del rischio, sono richiesti dati per la manipolazione di sostanze pericolose, tra cui (1) la categoria d'uso di sostanze o prodotti; (2) le quantità utilizzate nella produzione e manipolazione e il numero di persone che lavorano o sono esposte alla sostanza o al prodotto pericoloso; e (3) dati sull'esposizione. Questi dati possono essere ottenuti dai registri delle sostanze pericolose a livello di fabbrica, che sono obbligatori ai sensi della legge europea sulle sostanze pericolose, per raggrupparli a un livello superiore per formare registri commerciali generali o di filiale. Questi registri stanno diventando sempre più indispensabili per fornire il necessario background ai decisori politici.

Dati sull'esposizione

I dati sull'esposizione (vale a dire i valori di misurazione delle concentrazioni di sostanze pericolose) sono ottenuti tramite il BG nell'ambito del sistema di misurazione del BG per le sostanze pericolose (BGMG 1993), per effettuare misurazioni di conformità in considerazione dei valori soglia sul posto di lavoro. La loro documentazione è necessaria per tenere conto del livello tecnologico nella determinazione dei valori soglia e per l'analisi dei rischi (ad es. in relazione alla determinazione dei rischi nelle sostanze esistenti), per gli studi epidemiologici e per la valutazione delle malattie professionali.

I valori di misurazione determinati nell'ambito della sorveglianza sul posto di lavoro sono quindi documentati nella Documentazione per i dati di misurazione sulle sostanze pericolose sul posto di lavoro (DOK-MEGA). Dal 1972 sono stati resi disponibili più di 800,000 valori di misurazione da oltre 30,000 aziende. Attualmente circa 60,000 di questi valori vengono aggiunti ogni anno. Le caratteristiche particolari del BGMG includono un sistema di garanzia della qualità, componenti di istruzione e formazione, procedure standardizzate per il campionamento e l'analisi, una strategia di misurazione armonizzata su base giuridica e strumenti supportati dall'elaborazione dei dati per la raccolta di informazioni, la garanzia della qualità e la valutazione (figura 2).

Figura 2. Sistema di misurazione degli BG per le sostanze pericolose (BGMG): cooperazione tra BIA e BG.

I valori di misurazione dell'esposizione devono essere rappresentativi, ripetibili e compatibili. I dati sull'esposizione provenienti dalla sorveglianza sul posto di lavoro nel BGMG sono visti rigorosamente come "rappresentativi" della situazione della singola fabbrica, poiché la selezione dei siti di misurazione viene effettuata secondo criteri tecnici nei singoli casi, non secondo criteri statistici. La questione della rappresentatività si pone, tuttavia, quando i valori di misurazione per lo stesso posto di lavoro o per un posto di lavoro simile, o anche per interi rami dell'industria, devono essere raggruppati statisticamente. I dati di misurazione determinati nell'ambito dell'attività di sorveglianza forniscono generalmente valori medi più elevati rispetto ai dati che sono stati inizialmente raccolti per ottenere uno spaccato rappresentativo di un settore industriale.

Per ogni misurazione, sono richieste registrazioni e documentazioni differenziate dei relativi parametri di fabbrica, di processo e di campionamento, in modo che i valori misurati possano essere combinati in modo statisticamente ragionevole e valutati e interpretati in modo tecnicamente adeguato.

In DOK-MEGA questo obiettivo viene raggiunto sulle seguenti basi di registrazione e documentazione dei dati:

• una strategia di misurazione standard in conformità con le regole tecniche per le sostanze pericolose (TRGS), con documentazione del campionamento e della durata dell'esposizione in particolare
• procedure comparabili e affidabili per il campionamento, la misurazione e l'analisi
• classificazione dei valori di misura per area industriale, processo lavorativo o posto di lavoro, nonché per attività in forma sistematizzata e codificata (repertori di codici GESTIS)
• documentazione delle condizioni ambientali specifiche del processo o del luogo di lavoro (ad es. ventilazione locale) e delle sostanze chimiche utilizzate (ad es. tipo di elettrodi nella saldatura).

La BIA utilizza la sua esperienza con DOK-MEGA in un progetto di ricerca dell'UE con rappresentanti di altre banche dati nazionali sull'esposizione con l'obiettivo di migliorare la comparabilità dell'esposizione e dei risultati delle misurazioni. In particolare, si sta tentando di definire le informazioni fondamentali come base per la comparabilità e di sviluppare un "protocollo" per la documentazione dei dati.

Dati sulla salute

Oltre ai dati sulle sostanze e sui prodotti chimici e sui risultati delle misurazioni dell'esposizione, sono necessarie informazioni sugli effetti sulla salute dell'esposizione effettiva a sostanze pericolose sul posto di lavoro. Solo da una visione d'insieme del rischio potenziale, del rischio effettivo e degli effetti è possibile trarre conclusioni adeguate in materia di sicurezza sul lavoro a livello aziendale e al di là di esso.

Un ulteriore componente di GESTIS è quindi la documentazione di malattia professionale (BK-DOK), nella quale sono stati registrati tutti i casi di malattia professionale denunciati dal 1975.

Essenziale per la documentazione delle malattie professionali nel settore delle sostanze pericolose è la determinazione e la registrazione inequivocabili e corrette delle sostanze e dei prodotti pertinenti associati a ciascun caso. Di norma la determinazione richiede molto tempo, ma l'acquisizione di conoscenze per la prevenzione è impossibile senza l'identificazione accurata di sostanze e prodotti. Pertanto, per le malattie respiratorie e della pelle, che presentano una particolare esigenza di una migliore comprensione dei possibili agenti causali, è necessario compiere uno sforzo particolare per registrare le informazioni sull'uso della sostanza e del prodotto nel modo più accurato possibile.

Dati di letteratura

La quarta componente proposta per GESTIS era costituita da informazioni di base rese disponibili sotto forma di documenti di letteratura, in modo che i fatti di base potessero essere giudicati in modo appropriato sulla base delle conoscenze attuali e le conclusioni tratte. A tale scopo è stata sviluppata un'interfaccia con la banca dati della letteratura (ZIGUV-DOK), con un totale di 50,000 riferimenti attualmente, di cui 8,000 in tema di sostanze pericolose.

Collegamento e preparazione orientata ai problemi dei dati

Collegamento delle informazioni

I componenti di GESTIS sopra descritti non possono stare isolati se si vuole che un tale sistema sia utilizzato in modo efficiente. Richiedono adeguate possibilità di collegamento, ad esempio, tra dati sull'esposizione e casi di malattia professionale. Questo collegamento consente la creazione di un sistema informativo realmente integrato. Il collegamento avviene attraverso le informazioni di base disponibili, codificate nel sistema di codifica standardizzato GESTIS (vedi tabella 1).

Tabella 1. Sistema di codifica GESTIS standardizzato

Le origini dei codici appaiono tra parentesi.

Con l'ausilio del codice GESTIS sia le singole informazioni possono essere collegate tra loro (es. dati di misurazione di un determinato luogo di lavoro con un caso di malattia professionale verificatosi nello stesso luogo di lavoro o simile) e condensate statisticamente, “tipizzate” informazioni (ad es. malattie legate a particolari processi lavorativi con dati sull'esposizione media). In caso di collegamenti individuali di dati (ad es. utilizzando il numero dell'assicurazione pensionistica) le leggi sulla protezione dei dati devono ovviamente essere rigorosamente rispettate.

È chiaro, quindi, che solo un sistema di codifica sistematico è in grado di soddisfare queste esigenze di collegamento all'interno del sistema informativo. Va tuttavia richiamata l'attenzione anche sulla possibilità di collegamento tra diversi sistemi informativi e al di là dei confini nazionali. Queste possibilità di collegamento e confronto dipendono in modo cruciale dall'uso di standard di codifica unificati a livello internazionale, se necessario in aggiunta agli standard nazionali.

Preparazione di informazioni orientate al problema e all'uso

La struttura di GESTIS ha al suo centro le banche dati di fatto su sostanze e prodotti, esposizioni, malattie professionali e letteratura, i dati raccolti sia attraverso gli specialisti attivi presso il centro che attraverso le attività periferiche del BG. Per l'applicazione e l'utilizzo dei dati, è necessario raggiungere gli utenti, centralmente attraverso la pubblicazione su riviste pertinenti (ad esempio, sul tema dell'incidenza delle malattie professionali), ma anche specificamente attraverso l'attività consultiva del BG nei propri membri aziende.

Per l'uso più efficiente possibile delle informazioni rese disponibili in GESTIS, si pone la questione relativa alla preparazione dei fatti come informazioni specifica per il problema e per il gruppo target. I requisiti specifici dell'utente sono affrontati nei database dei fatti su sostanze e prodotti chimici, ad esempio, nella profondità delle informazioni o nella presentazione delle informazioni orientata alla pratica. Tuttavia, non tutti i requisiti specifici dei possibili utenti possono essere affrontati direttamente nelle banche dati dei fatti. È necessaria una preparazione specifica per il gruppo target e per il problema specifico, se necessario supportata dall'elaborazione dei dati. Devono essere rese disponibili informazioni orientate al posto di lavoro sulla manipolazione di sostanze pericolose. I dati più importanti dal database devono essere estratti in una forma generalmente comprensibile e orientata al posto di lavoro, ad esempio sotto forma di "istruzioni sul posto di lavoro", che sono prescritte nelle leggi sulla sicurezza sul lavoro di molti paesi. Spesso si presta troppo poca attenzione a questa preparazione dei dati specifica per l'utente come informazione per i lavoratori. Sistemi informativi speciali possono predisporre queste informazioni, ma anche punti informativi specializzati che rispondono a domande individuali forniscono informazioni e forniscono il supporto necessario alle imprese. Nell'ambito di GESTIS questa raccolta e preparazione delle informazioni procede, ad esempio, attraverso sistemi specifici di settore come GISBAU (Sistema di informazioni sulle sostanze pericolose dell'industria edile BG), GeSi (Sistema di sicurezza e sostanze pericolose) e attraverso centri di informazione specializzati nel BG, nel BIA o nell'associazione delle Berufsgenossenschaften.

GESTIS fornisce le interfacce pertinenti per lo scambio di dati e promuove la cooperazione mediante la condivisione dei compiti:

• La ricerca on-line diretta è possibile per il BG attraverso la banca dati centrale di sostanze e prodotti (ZeSP) e la banca dati della letteratura (ZIGUV-DOK).
• Lo scambio offline tra database centrali e periferici viene realizzato con l'ausilio di formati di interfaccia appropriati.
• Nei punti informativi specializzati all'interno di GESTIS, gli esperti effettuano su richiesta valutazioni e ricerche mirate.

Outlook

L'enfasi dell'ulteriore sviluppo sarà sulla prevenzione. In collaborazione con i produttori, i piani comprendono una preparazione completa e aggiornata dei dati sui prodotti; la definizione di valori caratteristici del posto di lavoro determinati statisticamente, derivati ​​dai dati di misurazione dell'esposizione e dalla documentazione specifica della sostanza e del prodotto; e una valutazione nella documentazione della malattia professionale.

Di ritorno