Dall’incident analysis al risk assessment
Written by redazione
Passare dall’analisi degli incidenti alla valutazione del rischio è fondamentale per capire cosa è successo e identificare l’evento scatenante ed evitare che in futuro possa rimettere in pericolo il sistema.
Facendo un ulteriore passo avanti, il modello base per descrivere una sequenza di azioni è l’event tree analysis, l’albero degli eventi, corrispondente al modello domino o di incidente con linearità semplice. L’albero degli eventi rappresenta un incidente futuro a seguito di possibili guasti in una sequenza predeterminata di eventi organizzata come un albero ramificato binario. La radice è l’evento iniziale e le ramificazioni sono l’insieme dei possibili risultati – successo o fallimento.
In modo simile, un albero dei guasti, la fault tree analysis corrisponde a un modello con linearità complessa. L’albero dei guasti descrive gli incidenti come risultato di una serie di combinazioni logiche di condizioni, necessarie e sufficienti a produrre l’evento principale, ossia l’incidente.
Gli alberi degli eventi e gli alberi dei guasti possono essere adeguati per la valutazione del rischio quando i risultati vanno da eventi dannosi a piccoli incidenti, poiché questi spesso richiedono spiegazioni meno elaborate e possono essere dovuti a combinazioni relativamente semplici di fattori.
ACCIDENT ANALYSIS | RISK ASSESSMENT | |
Linearità semplice o modello domino | < — > | Linear prediction (event tree analysis) |
Linearità complessa o modello formaggio svizzero | < — > | Conditional prediction (fault tree analysis) |
Modello non-lineare o modello sistemico | < — > | Concurrence (functional resonance) |
La maggior parte dei principali incidenti, tuttavia, è dovuta a complesse concorrenze di molteplici fattori, che non hanno apparenti relazioni a priori. Gli alberi degli eventi e dei guasti non sono quindi in grado di descriverli completamente, sebbene ciò non impedisca agli alberi degli eventi di essere lo strumento preferito per metodi di valutazione probabilistica della sicurezza in generale. È, infatti, una conseguenza della visione sistemica che il potenziale di incidenti (complessi) non può essere descritto da una struttura fissa come un albero, un grafo o una rete, ma deve invocare un modo per rappresentare legami o accoppiamenti dinamici, ad esempio come nel Functional Resonance Accident Model[1]. In effetti, i problemi della valutazione del rischio possono derivare in larga misura dall’affidamento a rappresentazioni grafiche, che – fintanto che si concentrano su descrizioni di collegamenti tra le parti – non sono in grado di rendere adeguatamente conto della concorrenza e di come un sistema stabile, lentamente o bruscamente, può diventare instabile.
La vera sfida per la sicurezza dei sistemi, e quindi anche per l’ingegneria della resilienza, è riconoscere che i sistemi complessi sono dinamici e che uno stato di stabilità dinamica a volte può trasformarsi in uno stato di instabilità dinamica. Questo cambiamento può essere o brusco, come in un incidente, o lento, come in una graduale erosione dei margini di sicurezza. I sistemi complessi devono necessariamente essere dinamici poiché devono essere in grado di adeguare le proprie prestazioni alle condizioni, (vedi i quattro punti descrittivi del modello sistemico). Questi aggiustamenti non possono essere previsti al momento della progettazione e talvolta nemmeno in un secondo momento.
È, infatti, praticamente impossibile progettare per ogni piccolo dettaglio o ogni situazione che può sorgere. a volte chi ha scritto determinate procedure, lo ha fatto dopo aver imparato una lezione a proprie spese. I sistemi complessi devono, tuttavia, essere dinamicamente stabili, o vincolati, nel senso che gli aggiustamenti non sfuggono di mano ma restano sempre sotto controllo. Tecnicamente questo può essere espresso dal concetto di smorzamento (damping), che denota la progressiva riduzione o soppressione di deviazioni o oscillazioni in un dispositivo o sistema (nel tempo).
Un sistema deve ovviamente essere in grado di rispondere ai cambiamenti e alle sfide, ma le risposte non devono portare il sistema fuori controllo. L’essenza della resilienza è quindi la capacità intrinseca di un’organizzazione (sistema) di mantenere o riguadagnare uno stato dinamicamente stabile, che le consenta di continuare le operazioni dopo un grave incidente e/o con la presenza di uno stress continuo.
[1] Hollnagel 2004 – Modello di risonanza funzionale degli incidenti
Modello non-lineare o modello sistemico
Alla luce di quanto analizzato fino ad ora, è facile constatare che le performance di un sistema complesso sono sempre variabili, sia per la variabilità dell’ambiente/contesto (variabilità esogena) che per la variabilità dei sottosistemi che lo costituiscono (variabilità endogena).
La variabilità endogena è in larga parte attribuibile alle persone che operano all’interno del sistema, siano esse singoli o gruppi. Ciò non significa che le performance umane siano sbagliate o cariche di errori a priori, anzi, la variabilità delle performance è necessaria se incontra un sistema cognitivo congiunto, dove il sistema uomo-macchina o più correttamente sistema socio-tecnico riesce a far fronte con successo alla complessità del mondo reale [1].
[1] Hollnagel & Woods, 2005
Linearità semplice o Five Domino Model
Il five domino model o modello della linearità semplice è stato pubblicato da Heinrich per la prima volta nel 1931 su “Industrial Accident Prevention: a scientific approch”.
Con questo studio Heinrich ha sviluppato un modello di causalità sequenziale, secondo cui l’incidente è il risultato di una propagazione lineare di una catena di cause ed effetti. Con questo primo modello che ha impegnato Heinrich per quasi 30 anni, si è avuta una prima formulazione completa della teoria della sicurezza, basata su 10 assiomi per la sicurezza industriale.
Linearità complessa o Swiss Cheese
Il modello di linearità complessa, conosciuto come modello di Reason o del formaggio svizzero (Swiss Cheese Model – SCM), è stato presentato per la prima volta nel 1990 da James T. Reason. Secondo questo modello gli incidenti sono visti come il risultato di interrelazioni tra atti non sicuri compiuti da operatori e condizioni latenti, rappresentate da difese e protezioni deboli, che si presentano in real time, ossia in sequenza temporale utile affinchè le condizioni “negative” (minacce e vulnerabilità) abbiano ad incontrarsi causando l’incidente. Come mostrato in figura qui sotto, la traiettoria della minaccia incontra i buchi (che rappresentano le vulnerabilità/debolezze) dei vari livelli di protezione, causando l’incidente finale.
Related Articles
Related
Ingegneria della Resilienza e le direttive NIS 2 e CER: come rendere l’organizzazione realmente resiliente
Ingegneria della Resilienza e le direttive NIS 2 e CERCOME RENDERE L'ORGANIZZAZIONE RESILIENTE Siamo da anni impegnati in studi e ricerche di nuone pratiche per aiutare le organizzazioni ad essere più resilienti. La recente pandemia ha dimostrato tutte le lacune che...
Il metodo FRAM
FRAM: Functional Resonance Analysis Method Il Functional Resonance Analysis Method (FRAM) è un metodo che si propone di descrivere in termini funzionali i sistemi socio-tecnici e di dare conto della variabilità sia a livello di singola funzione che in termini...
L’ammaraggio sul fiume Hudson
Il volo US Airways 1549 è stato un volo commerciale partito dall'aeroporto LaGuardia di New York e diretto a Charlotte, Carolina del Nord, che il 15 gennaio 2009, pilotato dal comandante Chesley Sullenberger e dal primo ufficiale Jeffrey Skiles, effettuò un ammaraggio...