Gestione di incidenti e non conformità - metodologie e strumenti d'indagine 8agosto 2018 - CGE Risk Management ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
rivista mensile
anno XXXIV
8
agosto 2018
Gestione
di incidenti
e non conformità
metodologie
e strumenti
d’indagine
Luca Fiorentini, Rosario Sicari
(Tecsa srl)
Gestione
di incidenti
e non conformità
metodologie
e strumenti
d’indagine
Luca Fiorentini, Rosario Sicari
(Tecsa srl)
Root Cause Analysis, Tripod Beta, In particolare, è maggiormente evidenziata la ne-
Barrier Failure Analysis, e BowTie cessità di porre in essere, all'interno delle organiz-
sono strumenti d’indagine zazioni, un sistema di valorizzazione dell'espe-
a supporto della rienza operativa ed in particolare degli accadi-
“learning from experience”, menti negativi. Tra questi figurano certamente gli
in un approccio integrato incidenti ma anche i quasi-incidenti, le non con-
alla sicurezza che lega formità e le anomalie.
valutazione del rischio Le organizzazioni hanno l'obbligo di porre in es-
e analisi degli incidenti sere valutazioni adatte a comprendere le cause
radice di questi accadimenti al fine di poter svi-
L
a UNI ISO 45001:2018 ha portato alcune so- luppare le misure preventive e/o protettive volte
stanziali modifiche all'impalcato della prece- a minimizzare rispettivamente la probabilità di un
dente e maggiormente diffusa norma in ma- nuovo accadimento e/o le conseguenze attese.
teria di sistemi di gestione della sicurezza BS OH- Questo articolo intende illustrare brevemente al-
SAS 18001:2007. cune metodologie e strumenti a supporto sia del-
2 ambiente&sicurezza sul lavoro agosto 2018
Analisi incidenti e non conformità
portato una parallela evoluzione della sua defini-
zione.
Con l’affermazione della sicurezza basata sul ri-
schio, è possibile oggi definire la sicurezza come
quello stato in cui il rischio è ridotto (e mantenu-
to) a un livello accettabile attraverso un continuo
processo di identificazione dei pericoli e gestione
del rischio. È possibile individuare un trend tra i
fattori che hanno contribuito, nel tempo, ad incre-
mentare le prestazioni delle organizzazioni in ter-
mini di sicurezza, riducendo così gli incidenti e,
più in generale, le condizioni di inaccettabilità del
rischio (sia esso legato alla vita umana, ma anche
all’ambiente o al business). Significativa è l’imma-
gine di Figura 1, che mostra come solo la recente
adozione di sistemi di gestione della sicurezza e la
creazione di una cultura della sicurezza siano i
principali contributi al miglioramento della sicu-
rezza nell’industria di processo (presa ad esempio
in Figura 1) negli ultimi anni, mostrando altresì
come tale miglioramento non potesse essere rag-
giunto dalle sole migliorie tecniche o dalla sola at-
tenzione ai fattori umani, che pur hanno determi-
nato importanti incrementi tra gli anni ’60 e ’90
circa.
Un sistema di gestione della sicurezza (SGS) inclu-
de la politica, l’organizzazione, le pratiche di ge-
stione, le procedure, il monitoraggio, l’auditing e
le revisioni della gestione che permettono di defi-
nire il SGS come un documentato e formalizzato
la fase di indagine che di quella successiva della sistema di controllo del rischio. Conseguente-
“learning from experience”, fornendo un’introdu- mente, il SGS può essere considerato come un ap-
zione all’utilizzo di tecniche quali Root Cause A- proccio olistico volto alla mitigazione del rischio
nalysis, Tripod Beta, Barrier Failure Analysis, e per la sicurezza che integra sistemi tecnici, opera-
BowTie. tivi e risorse umane.
Tale approccio alla sicurezza è raggiungibile solo
Sicurezza quando l’organizzazione, disponendo delle infor-
e Cultura della Sicurezza mazioni necessarie, riesce a raggiungere un buon
livello di fiducia e conoscenza.
La sicurezza è indubbiamente uno degli aspetti La Figura 2 mostra l’importante relazione tra que-
più importanti per le organizzazioni, sebbene tale sti fattori, descrivendo cinque diversi approcci alla
termine sia talvolta utilizzato per indicare in mo- sicurezza: patologico, reattivo, burocratico, proat-
do vago alcune delle declinazioni del concetto tivo e generativo. Un importante elemento di
che esso rappresenta. Nel corso del tempo, infatti, quest’ultimo approccio è la memoria: invero, le
l’evoluzione dell’approccio alla sicurezza ha com- persone hanno memoria, non le organizzazioni.
ambiente&sicurezza sul lavoro agosto 2018 3
Analisi incidenti e non conformità
Figura 1. Contributi al miglioramento del livello di sicurezza nel tempo nell’industria di processo
(fonte: Fiorentini e Marmo, 2018)
L’esperienza mostra che investigare un incidente reattivo) e il creare nuova conoscenza che può es-
non è sufficiente ad assicurare che le lezioni che sere usata per migliorare la sicurezza (approccio
ne derivano siano apprese e mantenute nella me- generativo). Si parla quindi di cultura alla sicurez-
moria collettiva dell’organizzazione. C’è quindi la za, come quell’insieme di valori, comportamenti e
necessità di raggiungere la convergenza tra la va- norme, ad ogni livello dell’organizzazione, che so-
lorizzazione dell’esperienza operativa (approccio stengono l’approccio generativo.
Figura 2. Differenza tra incidente, quasi-incidente e non conformità (fonte: Fiorentini, 2017)
4 ambiente&sicurezza sul lavoro agosto 2018
Analisi incidenti e non conformità
Figura 3. Differenza tra incidente, quasi-incidente e non conformità
(fonte: Fiorentini e Marmo, 2018)
Per creare tale cultura alla sicurezza occorre man-
tenere un senso di vulnerabilità, seguire procedu-
re rigorose, incoraggiare gli individui a perseguire
i propri obiettivi di sicurezza, assicurare comuni-
cazioni trasparenti ed efficaci, creare il terreno fer-
tile per l’apprendimento, incoraggiare la mutua fi-
ducia e consapevolezza, fornire risposte tempesti-
ve alle questioni legate alla sicurezza.
È bene distinguere tuttavia tra cultura alla sicurez-
za (safety culture) e clima di sicurezza (safety cli- Figura 4. Relazione tra cause immediate
mate). Il clima di sicurezza riguarda le attitudini di e cause radice (fonte: Fiorentini e Marmo, 2018)
una organizzazione in termini di pratiche di sicu-
rezza e regolamentazioni, e come esse siano per-
cepite all’interno della stessa organizzazione. La zione dell’esperienza operativa è indubbiamente
cultura alla sicurezza, invece, è la configurazione una grande opportunità per creare una più robu-
organizzativa che la compagnia segue per creare sta cultura alla sicurezza.
il clima di sicurezza.
La cultura alla sicurezza è quindi cruciale in quan-
to aiuta a determinare come gli individui all’inter- Il nuovo standard internazionale
no di una organizzazione approccino le proble-
matiche legate alla sicurezza. L’implementazione La UNI ISO 45001:2018 definisce i requisiti per l’a-
di una cultura alla sicurezza raramente implica un dozione di un sistema di gestione per la Salute e
cambiamento nella personalità dell’individuo; Sicurezza sul Lavoro (SSL), il cui scopo è la preven-
piuttosto, il suo obiettivo è di modificare ciò che zione delle lesioni e malattie dei lavoratori corre-
può effettivamente essere cambiato, come proce- late al lavoro e la predisposizione di luoghi di la-
dure e consapevolezza. Ne deriva che la valorizza- voro sicuri e salubri.
ambiente&sicurezza sul lavoro agosto 2018 5
Analisi incidenti e non conformità
Figura 5. I pilastri e gli elementi che costituiscono la RBPS (fonte: CCPS, 2007)
In tale contesto, l’analisi del rischio rappresenta lo La normativa tecnica mette quindi in risalto l’im-
strumento per il raggiungimento dei risultati atte- portanza della valorizzazione delle lezioni appre-
si. Un sistema di gestione per la SSL persegue il se da conseguenze non volute quali incidenti,
paradigma del miglioramento continuo solo quasi-incidenti e non conformità.
quando coglie tempestivamente le opportunità È utile fornire le definizioni riportate sulla norma,
per incrementare le proprie prestazioni, svilup- rifacendosi all’esempio di Figura 3:
pando raccomandazioni e adottando azioni cor- • Incidente: evento derivante da un lavoro o che
rettive volte alla prevenzione o mitigazione del ri- ha origine nel corso di un lavoro e che potreb-
schio. be causare o che causa lesioni e malattie, an-
che detto “infortunio” (ad es. il ferimento di un
lavoratore per la caduta di oggetti da un pon-
teggio);
• Quasi-incidente (o near-miss): un incidente
che non causa lesione o malattia ma con un
potenziale per farlo (ad es. la caduta di oggetti
da un ponteggio senza conseguenze, solo
perché nessun lavoratore si trova sulla “linea di
fuoco”);
• Non conformità: una circostanza indesiderata,
il mancato soddisfacimento di un requisito,
Figura 6. La “conclusion pyramid”
quale un’esigenza o aspettativa che può esse-
(fonte: Fiorentini e Marmo, 2018) re esplicita, generalmente implicita, oppure
6 ambiente&sicurezza sul lavoro agosto 2018
Analisi incidenti e non conformità
Figura 7. Esempio di “timeline” (sviluppato con IncidentXP di CGE-NL)
obbligatoria (ad es. non è ammesso il deposito voro (l’ambiente, i fattori circostanti, le condizioni
incontrollato di oggetti a rischio caduta su un al contorno) e la linea di produzione (il lavoratore
ponteggio). esposto in prima fila al pericolo).
La struttura del problema riflette la stratigrafia di
Quando uno di questi eventi avviene, l’organizza- una cipolla (Figura 4). Ai livelli più esterni si posso-
zione deve stabilire, attuare e mantenere quei no trovare le cause immediate di un incidente
processi volti alla loro determinazione e gestione, (quali fallimenti meccanici o errori operativi): azio-
incluso il reporting, l’investigazione e le azioni ni correttive sviluppate su di esse non consento-
correttive da intraprendere. L’obiettivo ultimo del no il perseguimento del miglioramento. Occorre
processo di miglioramento, ovvero fare in modo spingere l’investigazione più a fondo, alla ricerca
che eventi simili non si ripetano, passa dall’identi- prima delle underlying causes (anche dette pre-
ficazione delle cause radice, ovvero quelle cause conditions) capaci di illustrare le condizioni al
solitamente riconducibili all’alta direzione che, contorno che hanno reso il terreno fertile per lo
come in un effetto domino, si ripercuotono sugli sviluppo dell’incidente (quali elevato carico di la-
strati più esterni dell’organizzazione: il luogo di la- voro, stress, scarsa ergonomia, scarsa manuten-
Figura 8. Esempio di albero “RCA”
(sviluppato con IncidentXP di CGE-NL)
ambiente&sicurezza sul lavoro agosto 2018 7
Analisi incidenti e non conformità
Figura 9
Esempio di "TRIO"
in Tripod Beta
(sviluppato con IncidentXP
di CGE-NL)
zione) e, infine delle cause radice. Solo indivi- sed Process Safety (RBPS), concettualmente appli-
duando quest’ultimo livello sarà possibile svilup- cabili anche ad ambiti diversi dalla Sicurezza di
pare raccomandazioni efficaci che abbiano un im- Processo (PS): dedizione alla sicurezza, conoscenza
patto sicuro sulla sicurezza dell’organizzazione. e comprensione di pericoli e rischi, gestione dei ri-
Per arrivare a tale livello di analisi, servono però schi, e valorizzazione dell’esperienza (Figura 5).
metodologie strutturate e strumenti efficaci. L'uti- Un sistema di gestione RBPS, e quindi un sistema
lizzo di una metodologia univoca consente di di gestione SSL, fa suoi questi quattro pilastri allo
“normalizzare” il processo di gestione delle valuta- scopo di prevenire gli incidenti. In particolare,
zioni rispetto alle diverse tipologie di incidenti: la uno degli elementi del quarto pilastro è proprio
normalizzazione consente quindi di utilizzare la l’investigazione degli incidenti: il processo inclu-
medesima metrica rispetto ad accadimenti diffe- de la documentazione e il tracciamento degli inci-
renti, agevolando così le scelte dell’organizzazio- denti investigati, allo scopo di identificare even-
ne in termini di priorità di investimenti e gestione tuali fattori ricorrenti. Non è quindi sufficiente in-
delle risorse. vestigare l’incidente: occorre gestire l’intero pro-
cesso di investigazione.
I pilastri
della Risk Based Process Safety L’esperienza operativa in materia
di prevenzione degli incidenti rilevanti
Quanto richiesto dalla UNI ISO 45001:2018 in ter-
mini di valorizzazione dell’esperienza operativa è L'Allegato 2 al D.Lgs. 105/2015 contiene le indica-
solo uno dei quattro pilastri su cui regge la Risk Ba- zioni circa i dati e le informazioni minimi che de-
Figura 10. Esempio di BFA (sviluppato con IncidentXP di CGE-NL)
8 ambiente&sicurezza sul lavoro agosto 2018
Analisi incidenti e non conformità
Figura 11. Esempio di BowTie (sviluppato con BowTieXP di CGE-NL)
vono figurare nel Rapporto di Sicurezza di cui tiene le informazioni relative al sistema di gestio-
all'Art. 15. ne della sicurezza ed alla organizzazione dello sta-
Nell'ambito della identificazione e analisi dei ri- bilimento ai fini della prevenzione degli incidenti
schi di incidenti e metodi di prevenzione deve es- rilevanti. Ai fini dell'attuazione del sistema di ge-
sere effettuato un [...] riesame degli incidenti e de- stione della sicurezza elaborato dal Gestore si de-
gli eventi anomali occorsi in passato legati all'uti- vono necessariamente porre in essere [...] mecca-
lizzo delle stesse sostanze e degli stessi processi nismi per la sorveglianza e l'adozione di azioni
utilizzati in stabilimento, tenendo in considerazio- correttive in caso di inosservanza. Le procedure
ne insegnamenti tratti da questi e facendo riferi- (da adottare e da applicare, n.d.r.) comprendono il
mento esplicito alle misure adottate per prevenire sistema di notifica del Gestore in caso di incidenti
tali eventi [...]. L'Allegato 3 al D.Lgs. 105/2015 con- rilevanti o di “quasi incidenti” (si può fare riferi-
Figura 12. Processo di feedback: dalla valutazione del rischio all’analisi degli incidenti e viceversa
(fonte: Fiorentini e Marmo, 2018)
ambiente&sicurezza sul lavoro agosto 2018 9
Analisi incidenti e non conformità
Figura 13. Timeline dell’esempio (sviluppata con IncidentXP di CGE-NL)
mento per la definizione alla norma UNI 10617, L'analisi di sicurezza, integrata quindi delle risul-
n.d.r.), soprattutto se dovuti a carenze delle misu- tanze dell'analisi della esperienza operativa, costi-
re di protezione, la loro analisi e le azioni conse- tuisce la base per le attività di informazione, for-
guenti intraprese sulla base dell'esperienza acqui- mazione ed addestramento del personale che la-
sita [...]. vora in stabilimento.
Infatti le linee guida per l'attuazione del sistema
di gestione della sicurezza per la prevenzione de-
gli incidenti rilevanti (riportate nell'Allegato B), in-
dicando che [...] il sistema di gestione della sicu-
rezza deve prevedere le procedure per l'identifi-
cazione dei pericoli e la valutazione dei rischi di
incidente rilevante derivante dall'attività normale
o anomala e l'adozione delle misure per la ridu-
zione del rischio [...], ricordano che le attività di
valutazione [...] devono essere aggiornate perio-
dicamente... qualora intervengano nuove cono-
scenze tecniche in materia di sicurezza, interne o
esterne all'organizzazione, anche derivanti dall'e-
sperienza operativa o dall'analisi di incidenti, qua-
si-incidenti e anomalie di funzionamento [...]. La
valutazione dell'esperienza operativa acquisita,
propria o in situazioni similari, diviene uno degli
elementi in ingresso del controllo delle prestazio-
ni che [...] deve essere effettuato, in termini conti-
Figura 14.
nuativi, mediante riscontri sull'esercizio corrente Possibile RCA dell’esempio
mediante apposite procedure [...]. (sviluppato con IncidentXP di CGE-NL)
10 ambiente&sicurezza sul lavoro agosto 2018Analisi incidenti e non conformità
L'analisi della esperienza storica incidentale rap- essere riportate puntualmente le precauzioni e gli
presenta anche il contenuto specifico di un para- interventi impiantistici e/o gestionali intrapresi al
grafo del Rapporto di Sicurezza (C.1) nel quale è fine di prevenirne l'accadimento nello stabilimen-
necessario (C.1.1) sia specificare qualsiasi proble- to in esame ovvero di mitigare le conseguenze di
ma noto di salute e sicurezza generalmente con- un eventuale accadimento.
nesso con il tipo di installazioni presente nello sta- Nell'ambito della valutazione delle barriere è ne-
bilimento, riportando la fonte del dato/informa- cessario procedere (C.6) alla descrizione delle pre-
zione che (C.1.2) specificare l'esperienza storica e cauzioni assunte per prevenire o mitigare gli inci-
le fonti di informazione relative alla sicurezza di denti andando a considerare sia le precauzioni dal
installazioni similari. Viene inoltre specificatamen- punto di vista impiantistico sia le precauzioni dal
te richiesto di evidenziare, tra le altre informazio- punto di vista gestionale, compresi, soprattutto
ni, le cause e la sintesi dell'analisi di comparazione gli elementi definiti "critici" per la sicurezza. Il Rap-
con il proprio stabilimento, con l'indicazione dei porto di Sicurezza, sviluppato anche a partire da
possibili fattori migliorativi impiantistici e gestio- una analisi critica dell'esperienza operativa, rap-
nali precisando quali sono stati effettivamente a- presenta il documento attraverso il quale il Gesto-
dottati e le relative motivazioni, ovvero individua- re dimostra (giustifica adeguatamente fornendo
re la strategia attuata rispetto la strategia che si è idonee evidenze) di aver adottato adeguate misu-
rivelata carente nell'episodio derivato dall'analisi re per prevenire, controllare e limitare le conse-
storica, mediante un confronto tra le barriere in guenze di un eventuale incidente rilevante.
un caso e nell'altro, con l'evidente necessità di in- L'analisi storica e dell'esperienza operativa deve
dividuare eventuali misure aggiuntive. consentire di verificare che l'assetto attuale scelto
Per ogni evento storico considerato nell'analisi e dal Gestore, sia per gli aspetti impiantistici che
ipotizzabile nello stabilimento in esame devono per gli aspetti operativi, tiene debitamente conto
ambiente&sicurezza sul lavoro agosto 2018 11Analisi incidenti e non conformità
di quanto occorso. La capacità di analisi dell'espe- colo, risultano essere un ottimo strumento di sin-
rienza operativa viene verificata anche nell'ambi- tesi delle informazioni in esito ad una valutazione
to delle ispezioni condotte dalle autorità compe- strutturata delle cause radice, indipendentemen-
tenti sul sistema di gestione della sicurezza per la te dalla metodologia impiegata.
prevenzione degli incidenti rilevanti ai sensi Ciascuna scheda infatti riporta:
dell'art. 27 del D.Lgs. 105/2015 secondo i criteri • la descrizione dell'evento incidentale oggetto
definiti nell'Allegato H. Alla commissione ispettiva di analisi (nell'ambito della quale risulta utile
è infatti richiesto di acquisire le "schede dell'espe- inserire le principali cause di tipo tecnico e ge-
rienza operativa". stionale);
Le schede dell'esperienza operativa, basate sulla • l'indicazione se nell'evento sono stati coinvolti
storia almeno decennale degli incidenti, quasi in- sistemi tecnici (apparecchiatura, sistema di
cidenti ed anomalie, devono indicare quegli a- controllo, sistema di sicurezza, ecc.) individuati
spetti che hanno coinvolto, o avrebbero potuto come critici ai fini del sistema di gestione della
coinvolgere, elementi del sistema di gestione del- sicurezza attraverso l'analisi di sicurezza;
la sicurezza. Le risultanze dell'analisi hanno lo sco- • il fattore gestionale risultato carente (docu-
po di fornire indicatori significativi per la selezio- mentazione, informazione, addestramento,
ne degli elementi gestionali critici ai fini della si- pianificazione della risposta all'emergenza)
curezza in aggiunta a quanto desumibile dal rie- ovvero non completamente attuati o non ade-
same dell'analisi e della valutazione dei rischi. Le guati alla realtà dello stabilimento;
schede di sintesi dell'analisi dell'esperienza ope- • la descrizione della non adeguatezza del fatto-
rativa, condotta secondo metodologie strutturate re gestionale preso a riferimento;
come quelle descritte nell'ambito di questo arti- • le azioni intraprese (nella immediatezza);
12 ambiente&sicurezza sul lavoro agosto 2018Analisi incidenti e non conformità
Figura 15.
Possibile Tripod Beta
dell’esempio
(sviluppato con IncidentXP
di CGE-NL)
• le azioni previste/programmate ai fini del pre- vamente realizzate le misure di intervento se-
venire ulteriori accadimenti (anche ai fini della condo le priorità stabilite;
predisposizione di un piano di miglioramento • sia verificata la presenza di procedimenti per
del sistema di gestione della sicurezza). l'interscambio di informazioni sugli incidenti
occorsi con stabilimenti che svolgono attività a-
Per quanto attiene l'analisi degli incidenti e dei naloghe sia nel territorio nazionale che estero;
quasi incidenti (fattore gestionale 7.ii del sistema • sia verificata l'avvenuta comunicazione e diffu-
di gestione della sicurezza per la prevenzione de- sione ai diversi livelli aziendali delle risultanze
gli incidenti rilevanti), l'attuazione prevede che: derivanti dall'analisi dell'esperienza operativa.
• sia verificata l'esistenza di una procedura che
preveda la classificazione degli eventi (inciden- Perché si investiga
ti, quasi incidenti, anomalie, ecc.), la definizione
delle modalità di raccolta, analisi, approfondi- La conoscenza delle cause immediate e radice è
mento e registrazione dei dati sugli eventi, con importante per un duplice aspetto.
l'archiviazione delle informazioni relative alle Da un lato c’è la conoscenza del nesso di causalità
cause e i provvedimenti adottati (azioni corret- tra gli eventi che, a partire da cause iniziatrici,
tive e preventive); hanno condotto all’incidente: tale aspetto è mol-
• sia verificato il fatto che per tutti gli eventi regi- to utile quando l’incidente è investigato a fini giu-
strati siano state individuate le cause ed effetti- diziari.
ambiente&sicurezza sul lavoro agosto 2018 13Analisi incidenti e non conformità
Figura 16. Possibile BFA dell’esempio (sviluppato con IncidentXP di CGE-NL)
Il secondo aspetto, come già anticipato, riguarda multi-causa, come sono spesso gli incidenti. L’in-
la possibilità di mettere in luce, attraverso una a- vestigazione dovrà partire da una solida base di
nalisi strutturata, le carenze organizzative, proce- evidenze fisiche, la cui analisi, secondo lo schema
durali e tecniche che possono essere corrette al piramidale di Figura 6, condurrà alle conclusioni.
fine di evitare il ripetersi di simili accadimenti. In
tal senso, l’investigazione è lo strumento principe Il flusso di lavoro
per il raggiungimento di questo obiettivo, con-
sentendo in ultima analisi di individuare le barrie- Terminata la fase di risposta emergenziale all’inci-
re di protezione – preventive o mitigative – ag- dente, inizia l’investigazione, il cui iter si articola
giuntive o i piani di miglioramento tesi a rendere nelle seguenti fasi:
più efficaci quelle esistenti. Occorre inoltre osser- 1. Sopralluogo iniziale;
vare che l’obiettivo non è evitare il ripetersi degli 2. Prime valutazioni e formazione della squadra
stessi accadimenti, ma, in linea con l’approccio di investigatori;
generativo, si intende evitare anche incidenti si- 3. Raccolta delle evidenze;
mili, estendendo il campo di applicazione delle le- 4. Sviluppo della timeline;
zioni apprese anche ad altre linee produttive, altri 5. Analisi dell’incidente (ricerca delle cause radice);
processi, altri impianti, altri siti e, in ultimo, altre 6. Report e sviluppo raccomandazioni.
organizzazioni.
Per garantire questa permeabilità a più livelli della
valorizzazione dell’esperienza operativa è neces- Sviluppo della timeline
sario dotarsi di metodi strutturati non solo per l’a- dell’evento incidentale
nalisi degli incidenti, garantendo così metriche u-
guali di valutazione, ma anche per la reportistica, Uno dei metodi più efficaci per sviluppare una ti-
lo sviluppo delle raccomandazioni correttive, il si- meline prevede la creazione di una matrice con:
stema di memoria delle lezioni apprese, e la co- • Gli istanti temporali riportati sulle colonne;
municazione e condivisione delle stesse. • Gli attori suddivisi sulle righe.
L’investigazione degli incidenti Ad una determinata intersezione “attore-tempo”
e la loro analisi si inserisce l’evento all’interno della matrice, dan-
do così una forma organica e sequenzialmente
L’investigazione condivide lo stesso obiettivo corretta delle evidenze raccolte nella precedente
dell’analisi del rischio (il miglioramento della sicu- fase dell’investigazione (Figura 7).
rezza), superando però i limiti dell’approccio pre- Creata la timeline, occorre scegliere una delle tan-
dittivo, in primis la difficoltà a identificare eventi te metodologie di analisi degli incidenti a disposi-
14 ambiente&sicurezza sul lavoro agosto 2018Analisi incidenti e non conformità
zione e, preferibilmente, anche dell’apposito stru- una collocazione temporale degli eventi. Le cause
mento per poterla applicare al meglio. radice sono individuate negli eventi finali delle ra-
Nel seguito vengono brevemente illustrate tre mificazioni.
metodologie.
Tripod Beta
Root Cause Analysis
Il metodo “Tripod Beta” è interamente basato sulla
L’analisi delle cause radice, o Root Cause Analysis definizione di “trio” (Figura 9).
(RCA), è indubbiamente tra le metodologie di a- Un “trio” è l’insieme dei seguenti elementi:
nalisi degli incidenti più diffuse. In sintesi, essa 1. Agente: è l’elemento con il potenziale di intro-
prevede che l’investigatore, a partire dall’evento durre un cambiamento o arrecare un danno
incidentale, si chieda iterativamente il “perché” all’oggetto su cui agisce;
dell’evento, scoprendo così dapprima le cause im- 2. Oggetto: è l’elemento che subisce l’Agente e
mediate e, in ultimo, quelle radice (Figura 8). viene da esso modificato;
Il passaggio da un livello di approfondimento 3. Evento: è il risultato dell’azione dell’Agente
all’altro non è scontato e neppure semplice come sull’Oggetto. Agente e Oggetto devono essere
può apparire: oltre ad una buona esperienza sul contemporaneamente presenti affinché si rea-
metodo onde evitare inutili ramificazioni dell’al- lizzi l’Evento (in altre parole, sono in combina-
bero delle cause radice, viene sovente richiesto di zione logica AND).
ritornare alla fase di raccolta delle evidenze, al fine
di scartare le ipotesi non supportate, verificare Il metodo introduce il concetto di barriera: si trat-
che quelle avanzate non siano in contrasto con al- ta di quelle misure atte a prevenire il rilascio in-
tre evidenze, o anche aggiungere eventuali nuo- controllato dell’Agente (barriere preventive) o
ve ipotesi che dovranno successivamente essere proteggere l’Oggetto (barriere mitigative).
testate dal confronto con nuove evidenze. L’analisi Tripod Beta si concentra sui motivi per cui
Contrariamente a quanto si possa pensare, non e- le barriere, poste in essere dall’organizzazione, fal-
siste “la” causa radice in quanto un incidente è liscono, individuando, come nello schema di Figu-
spesso frutto di più cause radice. Per esse non è ra 4 a pag. 5:
più possibile chiedersi il “perché” siano avvenute o 1. La causa immediata (o active failure): è l’even-
semplicemente, in relazione allo scopo e all’ambi- to che ha causato direttamente il fallimento
to dell’indagine, non ha senso proseguire oltre della barriera. Ci può essere un solo evento
con l’analisi. Gli eventi, disposti in un albero RCA connesso al fallimento di una barriera (ad es.
come quello di Figura 8, sono collegati dal nesso ignorare una procedura, rifiuto a indossare i
causa-effetto; il metodo non consente, a rigori, DPI, interpretazione errata dei segnali);
ambiente&sicurezza sul lavoro agosto 2018 15Analisi incidenti e non conformità
2. La precondition: è l’ambiente, lo stato psicolo- degli incidenti e della valutazione dell’esperienza
gico o situazionale che potrebbe aver promos- operativa, in fase predittiva e non reattiva).
so la active failure. Sovente, è impossibile di- Il metodo BowTie consente di restituire in forma
mostrare con certezza assoluta il nesso cau- grafica i risultati di un’analisi del rischio che, pren-
sa-effetto tra precondition e active failure, ec- dendo le mosse dal top event (un evento non vo-
co perché si usa obbligatoriamente il luto che si verifica quando si perde il controllo sul
condizionale e il nesso tra i due è rappresenta- pericolo, ad es. una perdita di contenimento di li-
to dalla linea tratteggiata in Figura 9. Possono quido infiammabile), individui le sue possibili
essere definite più preconditions per una sin- cause e conseguenze, unitamente alle barriere
gola active failure. preventive (lato sinistro del BowTie) e protettive
3. Le cause radice (o latent failures): le deficienze (lato destro) poste in essere dall’organizzazione.
sistemiche e organizzative che hanno creato le L’efficacia di tali barriere potrebbe essere minac-
condizioni al contorno (preconditions) per il ciata dagli escalation factors (ad es. mancanza di
fallimento della barriera. energia elettrica o di aria strumenti), a controllo
Possono essere definite più latent failures per dei quali vengono poste le barriere secondarie.
una singola precondition. Un sistema di gestione SSL deve tuttavia cogliere
le opportunità per favorire il miglioramento conti-
nuo della sicurezza: ciò richiede, attraverso un
Barrier Failure Analysis processo di feedback, che le lezioni apprese dalla
fase reattiva (analisi degli incidenti) siano valoriz-
L’analisi del fallimento delle barriere può essere zate ai fini di una migliore gestione del rischio in
condotta anche con altre metodologie, quali la fase predittiva, generando così nuova conoscenza
BFA. Essa prevede che gli eventi vengano disposti (approccio generativo di Figura 2 a pag. 4).
in sequenza secondo il nesso “causa-effetto” e, do- Ciò è possibile solo attraverso metodologie e stru-
po aver individuato le barriere esistenti affinché menti idonei, capaci di trasferire informazioni e
sia impedito il raggiungimento di un evento a dati da una fase all’altra. In tal senso, risulta signi-
partire da quello precedente, si analizzano quali ficativo lo schema di Figura 12. Una valutazione
barriere hanno fallito (Figura 10). del rischio ben fatta prevede già i possibili scenari
Il metodo conserva l’approccio basato sulle bar- incidentali.
riere, svincolandosi da definizioni formali come In altre parole, le cause di un incidente occorso
quelle fornite dal Tripod Beta, che possono tutta- andrebbero ricercate proprio tra quelle ipotizzate
via essere molto utili nel guidare l’investigazione durante la fase di valutazione del rischio. Indivi-
verso le cause radice. duato quale sia il percorso sul BowTie che indivi-
dua il nesso causale tra causa, top event e conse-
guenza finale (cioè l’incidente), lo strumento for-
Un approccio integrato nisce un valido input per l’analisi degli incidenti,
alla sicurezza da realizzarsi con una delle metodologie sopra e-
sposte, fermo restando la necessità di condividere
Le metodologie elencate sono tutte caratterizzate l’approccio alla sicurezza basato sulle barriere.
da notazioni fortemente grafiche che consentono Comprese le cause dell’incidente, sarà quindi pos-
un’immediata visualizzazione degli eventi e delle sibile aggiornare i dati statistici circa la frequenza
potenziali relazioni causa-effetto tra questi. di accadimento della specifica causa, o aggiorna-
Questa qualità è condivisa anche dalla metodolo- re la probabilità di fallimento su domanda di una
gia BowTie (Figura 11), utilizzata tipicamente in barriera, o aggiungere una nuova barriera alla
fase di valutazione del rischio (e quindi, nell’ottica nuova valutazione del rischio. In questo modo,
16 ambiente&sicurezza sul lavoro agosto 2018Analisi incidenti e non conformità
nello spirito della UNI ISO 45001:2018, le lezioni Raccolta delle evidenze
apprese dall’incidente vengono trasferite alla fase
di valutazione del rischio, consentendo non solo Gli investigatori sequestrano tre bombolette di
un continuo aggiornamento delle informazioni e schiuma poliuretanica, tra quelle ancora non uti-
dei dati ad essa connessi, ma anche di perseguire lizzate, allo scopo di farne analizzare in laborato-
concretamente l’obiettivo del miglioramento del- rio il contenuto.
la sicurezza. Dalle analisi risulta che il gas propellente è una
miscela di gas propano-butano altamente infiam-
mabile e, come riporta la scheda di sicurezza del
Un esempio prodotto, capace di generare atmosfere esplosive
in ambienti chiusi e non ventilati. Si preleva a re-
L’esempio proposto nel presente paragrafo è pre- perto anche il trapano, che presenta alcune leve
disposto esclusivamente per finalità didattiche. di comando in plastica parzialmente fuse. Inoltre,
viene interrogato il datore di lavoro ed altri operai
I fatti dell’organizzazione.
Le testimonianze rese concordano nel ricostruire i
La mattina del giorno 26/06/2018 sono in corso fatti presentati in premessa. Uno degli operai rive-
alcuni lavori di manutenzione all’interno di un lo- la che il collega deceduto non indossava i DPI pre-
cale adibito a cella frigorifera di un grossista, volti visti per la lavorazione eseguita e che, all’atto
al ripristino dello strato coibente di alcune pareti dell’esplosione, la porta di accesso al locale era
del locale. Tale ripristino viene effettuato insuf- chiusa per agevolare il passaggio del personale
flando schiuma poliuretanica espansa nei punti nel piccolo corridoio all’esterno del locale.
ove la coibentazione si è ritirata. Ad eseguire i la-
vori è il datore di lavoro. Analisi dell’incidente
Dopo una pausa caffè, il Datore di Lavoro chiede
all’Operatore A di sostituirlo nel proseguimento Dalle informazioni acquisite è possibile costruire
delle attività di manutenzione. Alle 12:06 avviene la timeline dell’incidente. Si noti che non necessa-
un’esplosione all’interno del locale. riamente occorre una definizione quantitativa
Le ustioni riportate dall’Operatore A risulteranno della timeline. Nel caso in esame, infatti, non sono
letali, causandone il decesso dopo tre giorni. noti gli istanti di tempo degli eventi in essa ripor-
tati, ma se ne conosce la sequenza e una stima
Sopralluogo iniziale qualitativa delle durate. Nella timeline è possibile
aggiungere eventi che, in questa fase, sono sola-
Il sopralluogo iniziale degli investigatori rivela che mente ipotizzati al fine di garantire una continuità
il locale non era dotato di impianto di ventilazio- logico-temporale all’insieme di eventi finora rac-
ne forzata e che, sul posto, era presente un trapa- colti, fermo restando la necessità di validare o me-
no elettrico usato per praticare dei fori nelle pareti no, tramite le evidenze, tali ipotesi. In altre parole,
rivestite da lamiera metallica, allo scopo di insuf- è comune il caso in cui l’investigatore ritorni più
flare la schiuma poliuretanica all’interno. volte a modificare la timeline, sulla base di nuove
Il sopralluogo rivela inoltre 8 bombolette di schiu- evidenze o ipotesi. Una possibile timeline è quella
ma poliuretanica già utilizzate e numerose altre sviluppata in Figura 13.
ancora non utilizzate. È bene osservare come gli “attori” non corrispon-
Il locale si presenta privo di finestre e dotato di dono necessariamente a persone fisiche, ma an-
una sola porta di accesso. Non sono rilevati ulte- che a luoghi o oggetti inanimati.
riori elementi. Partendo dall’evento incidentale vero e proprio
ambiente&sicurezza sul lavoro agosto 2018 17Analisi incidenti e non conformità
(decesso dell’Operatore A per gravi ustioni), l’in- Una possibile combinazione di trio potrebbe es-
vestigatore potrebbe chiedersi iterativamente sere quella di Figura 15. Per comodità di rappre-
“perché” è avvenuto tale evento, arrivando a co- sentazione, sono state individuate le cause imme-
struire l’albero RCA di Figura 14. Da esso emerge diate e latenti di una sola delle barriere fallite.
la necessità di approfondire alcuni eventi, quali la Infine, lo stesso incidente potrebbe essere analiz-
richiesta del datore di lavori di farsi sostituire nei zato anche con la BFA, come mostrato nel dia-
lavori, in assenza di una procedura “permesso di gramma, volutamente semplificato, di Figura 16.
lavoro”, e le motivazioni per cui era del tutto as-
sente l’impianto di ventilazione forzata nella cella
frigorifera (tali eventi sono contrassegnati da un Conclusioni
punto interrogativo).
Le cause immediate (segnate dal simbolo “CC”) po- In conclusione, quanto riportato è un esempio di
trebbero essere individuate nell’utilizzo di bombo- come sia possibile analizzare, tramite metodolo-
lette di schiuma poliuretanica e nel fatto che la cel- gie strutturate, uno stesso incidente.
la frigo fosse chiusa e non ventilata. In realtà, da Emerge come, per un dato incidente, non esiste
una analisi più approfondita, si scoprirebbe che le “la” soluzione al processo di analisi, perché le fina-
cause radice vanno ricercate nel layout inadeguato lità, lo scopo e l’ambito di applicazione di una in-
della struttura, tale non consentire neppure un ri- vestigazione possono essere molteplici, compor-
cambio d’aria per ventilazione naturale, e nello tando quindi l’esistenza di diversi “punti di vista”
scarso impegno dell’organizzazione in tema di sicu- dai quali analizzare l’incidente.
rezza (per cui sia l’Operatore A che il Datore di lavo- Una volta note le barriere fallite, inadeguate, o
ro, non essendo formati sui rischi di esplosione, uti- mancanti, le cause immediate, le precondizioni, e
lizzavano il trapano elettrico in un ambiente diven- le cause radice è possibile sviluppare dei piani di
tato a potenziale rischio di esplosione, senza le ade- miglioramento della sicurezza.
guate misure preventive quali indumenti antistatici Nel caso in esame, si potrebbe intervenire a livello
o l’impiego di un trapano idoneo per l’utilizzo in at- di cause radice, rafforzando la cultura della sicu-
mosfere esplosive). rezza dell’organizzazione, rivedendo per intero il
Eventuali azioni correttive andrebbero quindi svi- proprio sistema di gestione SSL.
luppate proprio sugli ultimi eventi delle ramifica- La formazione preventiva degli operatori alle
zioni dell’albero RCA individuati come Root Cause mansioni da svolgere e ai rischi più comuni, in
(RC), pur potendo intervenire con azioni correttive particolare quelli legati all’esplosione, deve essere
anche ai livelli di cause immediate (CC), allo scopo rafforzata, fornendo il supporto necessario affin-
di fornire delle raccomandazioni da implementare ché si raggiunga un livello di maturazione tale da
nel breve termine. La necessità di effettuare lavori comprendere l’importanza dell’indossare i DPI
di ripristino, ai fini della investigazione, può non ne- corretti e l’impiego di attrezzature idonee ai luo-
cessitare di ulteriori approfondimenti, per cui l’e- ghi di lavoro. n
vento non è stato ulteriormente investigato ed è
stato siglato come Not a Cause (NC).
Analizzando lo stesso incidente con la metodolo-
gia Tripod Beta, viene richiesta non solo l’identifi-
cazione degli eventi, ma anche degli agenti e de-
gli oggetti. La metodologia, molto strutturata, ri-
chiede che siano anche definite le barriere pre-
senti, individuandone il loro stato (efficaci, fallite,
assenti).
18 ambiente&sicurezza sul lavoro agosto 2018Analisi incidenti e non conformità
RIFERIMENTI BIBLIOGRAFICI
1 CCPS (Center for Chemical Process Safety). Guideli- 10 Fiorentini L, Pinetti G, Sicari R, Farinella M, Marmo L.
nes for Risk Based Process Safety. Wiley; 2007 “Offshore Directive” on Major Accidents: a bar-
2 CCPS (Center for Chemical Process Safety). Guideli- rier-based safety management system built on sha-
nes for enabling conditions and conditional modi- red ontologies and taxonomies. Real applications in
fiers in layers of protection analysis. Wiley; 2013. Italy. Chemical Engineering Transactions. Vol. 67.
3 CCPS (Center for Chemical Process Safety). Guideli- (An AIDIC publication); 2018.
nes for initiating events and independent pro- 11 Fiorentini L. Analisi del rischio di incendio. Presenta-
tection layers in layer of protection analysis. Wiley; zione tenuta nell'ambito dell'evento SafetyExpo
2015. 2017, Bergamo, 20-21 settembre 2017
4 CCPS (Center for Chemical Process Safety). Guideli- 12 IEC 31010:2009. Risk management – Risk asses-
nes for investigating chemical process incidents. sment techniques; 2009.
2nd ed. New York: American Institute of Chemical 13 ISO 17776:2016. Petroleum and natural gas indu-
Engineers; 2003. stries – Offshore production installations – Major
5 CCPS (Center for Chemical Process Safety). Layer of accident hazard management during the design of
Protection Analysis: Simplified Process Risk Asses- new installations; 2016.
sment. New York: Wiley; 2011. 14 ISO 31000:2018. Risk management – Guidelines;
6 CCPS (Center for Chemical Process Safety). Process
2018.
Safety Glossary: Bow Tie Diagram. Available online
15 Mannan S, Lees F. Lee's loss prevention in the pro-
at www.aiche.org/ccps/resources/glossary/pro-
cess industries. 4th ed. Boston: Butterworth-Heine-
cess-safety-glossary/bow-tie-diagram; last access
on April, 30th 2018. mann; 2012.
7 CCPS (Center for Chemical Process Safety). Project 16 Mannan S. Lees' process safety essentials. 1st ed. Ki-
237: Guidelines for Barrier Risk Management (Bow dlington, Oxford, U.K.: Butterworth-Heinemann;
Tie Analysis), 2017 (in progress). 2014.
8 Fiorentini L, Marmo L. Principles of Forensic Engine- 17 Noon R. Forensic engineering investigation. 1st ed.
ering Applied to Industrial Accidents. Wiley, Chiche- Boca Raton, FL: CRC Press; 2001.
ster UK; 2018. 18 UNI EN ISO 45001:2018. Sistemi di gestione per la
9 Fiorentini L, Marmo L. Sound barriers management salute e sicurezza sul lavoro – Requisiti e guida per
in process safety: Bow-Tie approach according to l’uso
the first official AIChE – CCPS guidelines. Chemical 19 Vaughen B. K, Bloch K. Use the Bow Tie Diagram to
Engineering Transactions. Vol. 67. (An AIDIC publi- Help Reduce Process Safety Risks. CEP Magazine
cation); 2018. (An AIChE Publication); 2016.
ambiente&sicurezza sul lavoro agosto 2018 19TECSA - Tecnologie per la Sicurezza e l'Ambiente Via Figino, 101 - 20016 Pero (Milano) Italy Tel. +39 2 33910.484 - Fax +39 2 33910.737 www.tecsasrl.it - tecsa@tecsasrl.it
Puoi anche leggere
