A sistema può essere definito come un insieme di componenti interdipendenti combinati in modo tale da svolgere una data funzione in determinate condizioni. Una macchina è un esempio tangibile e particolarmente chiaro di un sistema in questo senso, ma ci sono altri sistemi, che coinvolgono uomini e donne in una squadra o in un'officina o fabbrica, che sono molto più complessi e non così facili da definire. Sicurezza suggerisce l'assenza di pericolo o rischio di incidente o danno. Per evitare ambiguità, il concetto generale di an occorrenza indesiderata sarà impiegato. La sicurezza assoluta, nel senso dell'impossibilità che si verifichi un incidente più o meno sfortunato, non è raggiungibile; realisticamente si deve mirare a una probabilità molto bassa, piuttosto che nulla, di eventi indesiderati.

Un dato sistema può essere considerato sicuro o non sicuro solo rispetto alle prestazioni che ci si aspetta effettivamente da esso. Con questo in mente, il livello di sicurezza di un sistema può essere definito come segue: “Per ogni dato insieme di eventi indesiderati, il livello di sicurezza (o non sicurezza) di un sistema è determinato dalla probabilità che questi eventi si verifichino in un dato periodo di tempo". Esempi di eventi indesiderati che sarebbero di interesse nella presente connessione includono: decessi multipli, morte di una o più persone, lesioni gravi, lesioni lievi, danni all'ambiente, effetti dannosi su esseri viventi, distruzione di piante o edifici e gravi o limitati danni materiali o alle apparecchiature.

Finalità dell'Analisi del Sistema di Sicurezza

L'obiettivo di un'analisi di sicurezza del sistema è quello di accertare i fattori che incidono sulla probabilità degli eventi indesiderati, studiare il modo in cui questi eventi si verificano e, in ultima analisi, sviluppare misure preventive per ridurne la probabilità.

La fase analitica del problema può essere suddivisa in due aspetti principali:

1. identificazione e descrizione del Tipi di di disfunzione o disadattamento
2. identificazione del sequenze di disfunzioni che si combinano l'una con l'altra (o con eventi più “normali”) per portare infine all'evento indesiderato stesso, e alla valutazione della loro probabilità.

Una volta studiate le varie disfunzioni e le loro conseguenze, gli analisti della sicurezza del sistema possono rivolgere la loro attenzione alle misure preventive. La ricerca in questo settore si baserà direttamente sui risultati precedenti. Questa indagine sui mezzi preventivi segue i due aspetti principali dell'analisi della sicurezza del sistema.

Metodi di analisi

L'analisi della sicurezza del sistema può essere condotta prima o dopo l'evento (a priori oa posteriori); in entrambi i casi, il metodo utilizzato può essere diretto o inverso. Un'analisi a priori ha luogo prima dell'occorrenza indesiderata. L'analista prende un certo numero di tali occorrenze e si propone di scoprire le varie fasi che possono condurvi. Al contrario, un'analisi a posteriori viene effettuata dopo che si è verificato l'evento indesiderato. Il suo scopo è quello di fornire orientamenti per il futuro e, in particolare, di trarre eventuali conclusioni che possano essere utili per eventuali successive analisi a priori.

Sebbene possa sembrare che un'analisi a priori sia molto più preziosa di un'analisi a posteriori, poiché precede l'incidente, le due sono in realtà complementari. Il metodo utilizzato dipende dalla complessità del sistema coinvolto e da ciò che è già noto sull'argomento. Nel caso di sistemi tangibili come macchine o impianti industriali, l'esperienza precedente può solitamente servire a preparare un'analisi a priori abbastanza dettagliata. Tuttavia, anche in questo caso l'analisi non è necessariamente infallibile ed è sicura di beneficiare di una successiva analisi a posteriori basata essenzialmente su uno studio degli incidenti che si verificano nel corso dell'operazione. Per quanto riguarda i sistemi più complessi che coinvolgono le persone, come i turni di lavoro, le officine o le fabbriche, l'analisi a posteriori è ancora più importante. In tali casi, l'esperienza passata non è sempre sufficiente per consentire un'analisi a priori dettagliata e attendibile.

Un'analisi a posteriori può trasformarsi in un'analisi a priori in quanto l'analista va oltre il singolo processo che ha portato all'incidente in questione e inizia a esaminare i vari eventi che potrebbero ragionevolmente portare a tale incidente o incidenti simili.

Un altro modo in cui un'analisi a posteriori può diventare un'analisi a priori è quando l'accento è posto non sull'evento (la cui prevenzione è lo scopo principale dell'analisi attuale) ma su incidenti meno gravi. Questi incidenti, come intoppi tecnici, danni materiali e incidenti potenziali o minori, di per sé relativamente poco significativi, possono essere identificati come segnali di allarme di eventi più gravi. In tali casi, sebbene effettuata successivamente al verificarsi di incidenti minori, l'analisi sarà un'analisi a priori rispetto a eventi più gravi che non si sono ancora verificati.

Ci sono due possibili metodi per studiare il meccanismo o la logica dietro la sequenza di due o più eventi:

1. Il dirette, o induttivo, il metodo parte dalle cause per prevederne gli effetti.
2. Il invertire, o deduttivo, il metodo guarda agli effetti e lavora a ritroso fino alle cause.

La figura 1 è uno schema di un circuito di controllo che richiede due pulsanti (B₁ e B₂) da premere contemporaneamente per attivare la bobina del relè (R) e avviare la macchina. Questo esempio può essere utilizzato per illustrare, in termini pratici, il dirette ed invertire metodi utilizzati nell'analisi della sicurezza del sistema.

Figura 1. Circuito di controllo a due pulsanti

Metodo diretto

Nel metodo diretto, l'analista inizia (1) elencando difetti, disfunzioni e disadattamenti, (2) studiandone gli effetti e (3) determinando se tali effetti rappresentano o meno una minaccia per la sicurezza. Nel caso della figura 1, possono verificarsi i seguenti guasti:

• una rottura nel filo tra 2 e 2´

• contatto involontario a C₁ (o c₂) a causa del blocco meccanico

• chiusura accidentale di B₁ (o b₂)

• cortocircuito tra 1 e 1´.

L'analista può quindi dedurre le conseguenze di questi errori ei risultati possono essere presentati in forma tabellare (tabella 1).

Tabella 1. Possibili disfunzioni di un circuito di comando a due pulsanti e relative conseguenze

* Evento con influenza diretta sull'affidabilità del sistema
** Evento responsabile di una grave riduzione del livello di sicurezza del sistema
*** Evento pericoloso da evitare

Vedere testo e figura 1.

Nella tabella 1 le conseguenze pericolose o suscettibili di ridurre gravemente il livello di sicurezza del sistema possono essere indicate con segni convenzionali come ***.

Nota: Nella tabella 1 una rottura del filo tra 2 e 2´ (mostrata in figura 1) determina un evento non considerato pericoloso. Non ha effetti diretti sulla sicurezza del sistema; tuttavia, la probabilità che si verifichi un tale incidente ha un impatto diretto sull'affidabilità del sistema.

Il metodo diretto è particolarmente appropriato per la simulazione. La figura 2 mostra un simulatore analogico progettato per studiare la sicurezza dei circuiti di controllo della pressa. La simulazione del circuito di controllo consente di verificare che, in assenza di guasti, il circuito è effettivamente in grado di assicurare la funzione richiesta senza violare i criteri di sicurezza. Inoltre, il simulatore può consentire all'analista di introdurre guasti nei vari componenti del circuito, osservarne le conseguenze e quindi distinguere i circuiti progettati correttamente (con pochi o nessun guasto pericoloso) da quelli mal progettati. Questo tipo di analisi della sicurezza può anche essere eseguito utilizzando un computer.

Figura 2. Simulatore per lo studio dei circuiti di controllo della pressa

Metodo inverso

Nel metodo inverso, l'analista lavora a ritroso dall'evento indesiderabile, incidente o accidente, verso i vari eventi precedenti per determinare quale può essere in grado di provocare gli eventi da evitare. Nella figura 1, l'ultimo evento da evitare sarebbe l'avviamento involontario della macchina.

• L'avviamento della macchina può essere causato da un'attivazione incontrollata della bobina del relè (R).

• L'attivazione della bobina può a sua volta derivare da un cortocircuito tra 1 e 1´ o da una chiusura involontaria e contemporanea degli interruttori C₁ e C₂.

• Chiusura involontaria di C₁ può essere la conseguenza di un blocco meccanico di C₁ o della pressione accidentale di B₁. Analogo ragionamento vale per C₂.

I risultati di questa analisi possono essere rappresentati in un diagramma che assomiglia ad un albero (per questo motivo il metodo inverso è noto come "analisi dell'albero dei guasti"), come illustrato nella figura 3.

Figura 3. Possibile catena di eventi

Il diagramma segue le operazioni logiche, le più importanti delle quali sono le operazioni "OR" e "AND". L'operazione "OR" significa che [X₁] si verificherà se si verificano [A] o [B] (o entrambi). L'operazione "AND" significa che prima di [X₂], devono aver avuto luogo sia [C] che [D] (vedi figura 4).

Figura 4. Rappresentazione di due operazioni logiche

Il metodo inverso è molto spesso utilizzato nell'analisi a priori di sistemi tangibili, specialmente nell'industria chimica, aeronautica, spaziale e nucleare. È stato anche trovato estremamente utile come metodo per indagare sugli incidenti sul lavoro.

Sebbene siano molto diversi, i metodi diretto e inverso sono complementari. Il metodo diretto si basa su un insieme di difetti o disfunzioni, e il valore di tale analisi dipende quindi in gran parte dalla rilevanza delle varie disfunzioni prese in considerazione all'inizio. Visto in questa luce, il metodo inverso sembra essere più sistematico. Conoscendo quali tipi di incidenti o inconvenienti possono verificarsi, l'analista può in teoria applicare questo metodo per lavorare a ritroso verso tutte le disfunzioni o combinazioni di disfunzioni in grado di provocarle. Tuttavia, poiché tutti i comportamenti pericolosi di un sistema non sono necessariamente noti in anticipo, possono essere scoperti con il metodo diretto, applicato ad esempio mediante simulazione. Una volta che questi sono stati scoperti, i pericoli possono essere analizzati in maggior dettaglio con il metodo inverso.

Problemi di analisi della sicurezza del sistema

I metodi analitici sopra descritti non sono semplici processi meccanici che devono solo essere applicati automaticamente per raggiungere conclusioni utili per migliorare la sicurezza del sistema. Al contrario, gli analisti incontrano una serie di problemi nel corso del loro lavoro e l'utilità delle loro analisi dipenderà in gran parte da come si accingono a risolverli. Di seguito sono descritti alcuni dei tipici problemi che possono insorgere.

Comprensione del sistema da studiare e delle sue condizioni operative

I problemi fondamentali in qualsiasi analisi di sicurezza del sistema sono la definizione del sistema da studiare, i suoi limiti e le condizioni in cui si suppone che operi durante la sua esistenza.

Se l'analista tiene conto di un sottosistema troppo limitato, il risultato può essere l'adozione di una serie di misure preventive casuali (situazione in cui tutto è finalizzato a prevenire certi tipi particolari di eventi, mentre pericoli altrettanto gravi vengono ignorati o sottovalutati ). Se, invece, il sistema considerato è troppo esauriente o generico rispetto a un determinato problema, ne può derivare un'eccessiva vaghezza di concetti e responsabilità e l'analisi può non portare all'adozione di adeguate misure preventive.

Un tipico esempio che illustra il problema della definizione del sistema da studiare è la sicurezza di macchine o impianti industriali. In questo tipo di situazione, l'analista può essere tentato di considerare solo l'attrezzatura vera e propria, trascurando il fatto che deve essere azionata o controllata da una o più persone. Una semplificazione di questo tipo è talvolta valida. Tuttavia, ciò che deve essere analizzato non è solo il sottosistema macchina, ma l'intero sistema lavoratore-macchina nelle varie fasi di vita dell'attrezzatura (tra cui, ad esempio, trasporto e movimentazione, montaggio, collaudo e regolazione, funzionamento normale , manutenzione, smontaggio e, in alcuni casi, distruzione). In ogni fase la macchina è parte di un sistema specifico il cui scopo e modalità di funzionamento e malfunzionamento sono totalmente diversi da quelli del sistema in altre fasi. Deve quindi essere progettato e realizzato in modo tale da consentire l'esecuzione della funzione richiesta in buone condizioni di sicurezza in ciascuna delle fasi.

Più in generale, per quanto riguarda gli studi sulla sicurezza in azienda, esistono diversi livelli di sistema: la macchina, il posto di lavoro, il turno, il reparto, la fabbrica e l'azienda nel suo complesso. A seconda del livello di sistema preso in considerazione, i possibili tipi di disfunzione e le relative misure preventive sono piuttosto diversi. Una buona politica di prevenzione deve tenere conto delle disfunzioni che possono verificarsi a vari livelli.

Le condizioni operative del sistema possono essere definite in termini del modo in cui il sistema dovrebbe funzionare e delle condizioni ambientali a cui può essere soggetto. Questa definizione deve essere sufficientemente realistica da tenere conto delle condizioni effettive in cui è probabile che il sistema funzioni. Un sistema molto sicuro solo in un campo operativo molto ristretto potrebbe non essere altrettanto sicuro se l'utente non è in grado di mantenersi entro il campo operativo teorico prescritto. Un sistema sicuro deve quindi essere abbastanza robusto da resistere a ragionevoli variazioni delle condizioni in cui funziona e deve tollerare alcuni errori semplici ma prevedibili da parte degli operatori.

Modellazione del sistema

Spesso è necessario sviluppare un modello per analizzare la sicurezza di un sistema. Ciò può sollevare alcuni problemi che vale la pena esaminare.

Per un sistema conciso e relativamente semplice come una macchina convenzionale, il modello è quasi direttamente derivabile dalle descrizioni dei componenti materiali e delle loro funzioni (motori, trasmissione, ecc.) e dal modo in cui questi componenti sono interrelati. Il numero di possibili modalità di guasto dei componenti è analogamente limitato.

Macchine moderne come computer e robot, che contengono componenti complessi come microprocessori e circuiti elettronici con integrazione su larga scala, pongono un problema particolare. Questo problema non è stato completamente risolto né in termini di modellazione né di previsione delle diverse possibili modalità di guasto, perché ci sono così tanti transistor elementari in ogni chip e per l'uso di diversi tipi di software.

Quando il sistema da analizzare è un'organizzazione umana, un problema interessante che si incontra nella modellazione risiede nella scelta e nella definizione di alcuni componenti non materiali o non completamente materiali. Una particolare postazione di lavoro può essere rappresentata, ad esempio, da un sistema comprendente lavoratori, software, attività, macchine, materiali e ambiente. (La componente "compito" può rivelarsi difficile da definire, poiché non è il compito prescritto che conta, ma il compito così come viene effettivamente svolto).

Quando si modellano le organizzazioni umane, l'analista può scegliere di scomporre il sistema in esame in un sottosistema di informazioni e uno o più sottosistemi di azione. L'analisi dei guasti nelle diverse fasi del sottosistema informativo (acquisizione, trasmissione, elaborazione e utilizzo delle informazioni) può essere molto istruttiva.

Problemi associati a più livelli di analisi

I problemi associati a più livelli di analisi si sviluppano spesso perché partendo da un evento indesiderato, l'analista può lavorare a ritroso verso incidenti sempre più remoti nel tempo. A seconda del livello di analisi considerato, varia la natura delle disfunzioni che si manifestano; lo stesso vale per le misure preventive. È importante essere in grado di decidere a quale livello l'analisi dovrebbe essere interrotta ea quale livello dovrebbe essere intrapresa un'azione preventiva. Un esempio è il semplice caso di incidente derivante da un guasto meccanico causato dall'utilizzo ripetuto di una macchina in condizioni anomale. Ciò potrebbe essere stato causato dalla mancanza di formazione degli operatori o da una cattiva organizzazione del lavoro. A seconda del livello di analisi considerato, l'azione preventiva richiesta può essere la sostituzione della macchina con un'altra in grado di sopportare condizioni d'uso più gravose, l'utilizzo della macchina solo in condizioni normali, modifiche nella formazione del personale o una riorganizzazione opera.

L'efficacia e la portata di una misura preventiva dipendono dal livello in cui viene introdotta. È più probabile che un'azione preventiva nelle immediate vicinanze dell'evento indesiderato abbia un impatto diretto e rapido, ma i suoi effetti possono essere limitati; d'altra parte, procedendo ragionevolmente a ritroso nell'analisi degli eventi, dovrebbe essere possibile individuare tipologie di disfunzioni comuni a numerosi infortuni. Qualsiasi azione preventiva intrapresa a questo livello avrà una portata molto più ampia, ma la sua efficacia potrebbe essere meno diretta.

Tenendo presente che esistono diversi livelli di analisi, possono esistere anche numerosi modelli di azione preventiva, ciascuno dei quali porta la propria parte di lavoro di prevenzione. Questo è un punto estremamente importante, e basta tornare all'esempio dell'incidente attualmente in esame per rendersene conto. Proporre la sostituzione della macchina con un'altra in grado di sopportare condizioni d'uso più gravose pone sulla macchina l'onere della prevenzione. Decidere che la macchina debba essere utilizzata solo in condizioni normali significa mettere l'onere sull'utilizzatore. Allo stesso modo, l'onere può gravare sulla formazione del personale, sull'organizzazione del lavoro o contemporaneamente sulla macchina, sull'utilizzatore, sulla funzione formativa e sulla funzione organizzativa.

Per ogni dato livello di analisi, un incidente spesso sembra essere la conseguenza della combinazione di più disfunzioni o disadattamenti. A seconda che si intervenga su una disfunzione piuttosto che su un'altra, o su più contemporaneamente, il modello di azione preventiva adottato varierà.

Di ritorno