57. Verifiche, ispezioni e indagini
Editor del capitolo: Jorma Sarari
Audit di sicurezza e audit di gestione
Johan Van de Kerckhove
Analisi dei rischi: il modello di causalità degli incidenti
Jop Groeneweg
Rischi hardware
Carsten D. Groenberg
Analisi dei rischi: fattori organizzativi
Urban Kjellen
Ispezione sul posto di lavoro e applicazione delle normative
Antonio Linehan
Analisi e Reporting: Indagini sugli incidenti
Michele Monteau
Segnalazione e compilazione di statistiche sugli infortuni
Kirsten Jorgensen
Fare clic su un collegamento sottostante per visualizzare la tabella nel contesto dell'articolo.
1. Strata nella politica di qualità e sicurezza
2. Elementi di audit di sicurezza PAS
3. Valutazione dei metodi di controllo del comportamento
4. Tipi e definizioni generali di guasto
5. Concetti del fenomeno infortunistico
6. Variabili caratterizzanti un sinistro
Punta su una miniatura per vedere la didascalia della figura, fai clic per vedere la figura nel contesto dell'articolo.
Durante gli anni '1990, i fattori organizzativi nella politica della sicurezza stanno diventando sempre più importanti. Allo stesso tempo, le opinioni delle organizzazioni sulla sicurezza sono cambiate radicalmente. Gli esperti di sicurezza, la maggior parte dei quali ha un background di formazione tecnica, si trovano quindi di fronte a un duplice compito. Da un lato, devono imparare a comprendere gli aspetti organizzativi e tenerne conto nella costruzione dei programmi di sicurezza. D'altra parte, è importante che siano consapevoli del fatto che la visione delle organizzazioni si sta allontanando sempre di più dal concetto di macchina e ponendo una chiara enfasi su fattori meno tangibili e misurabili come la cultura organizzativa, la modifica del comportamento, la responsabilità -raising o impegno. La prima parte di questo articolo copre brevemente l'evoluzione dei pareri relativi alle organizzazioni, alla gestione, alla qualità e alla sicurezza. La seconda parte dell'articolo definisce le implicazioni di questi sviluppi per i sistemi di controllo. Questo viene quindi inserito molto brevemente in un contesto tangibile utilizzando l'esempio di un vero e proprio sistema di audit di sicurezza basato sugli standard dell'Organizzazione internazionale per la standardizzazione (ISO) 9001.
Nuove opinioni in materia di organizzazione e sicurezza
Cambiamenti nelle circostanze socio-economiche
La crisi economica che ha iniziato a colpire il mondo occidentale nel 1973 ha avuto un'influenza significativa sul pensiero e sull'azione nel campo della gestione, della qualità e della sicurezza sul lavoro. In passato, l'accento sullo sviluppo economico era posto sull'espansione del mercato, sull'aumento delle esportazioni e sul miglioramento della produttività. Tuttavia, l'accento si è gradualmente spostato sulla riduzione delle perdite e sul miglioramento della qualità. Al fine di fidelizzare e acquisire i clienti, è stata fornita una risposta più diretta alle loro esigenze e aspettative. Ne è derivata la necessità di una maggiore differenziazione dei prodotti, con la diretta conseguenza di una maggiore flessibilità all'interno delle organizzazioni per essere sempre in grado di rispondere alle fluttuazioni del mercato in maniera “just in time”. L'accento è stato posto sull'impegno e la creatività dei dipendenti come il principale vantaggio competitivo nella lotta competitiva economica. Oltre all'aumento della qualità, il contenimento delle attività in perdita è diventato un importante strumento per migliorare i risultati operativi.
Gli esperti di sicurezza si sono arruolati in questa strategia sviluppando e istituendo programmi di "controllo totale delle perdite". Non solo i costi diretti degli incidenti o l'aumento dei premi assicurativi sono significativi in questi programmi, ma lo sono anche tutti i costi e le perdite inutili diretti o indiretti. Uno studio di quanta produzione dovrebbe essere aumentata in termini reali per compensare queste perdite rivela immediatamente che ridurre i costi è oggi spesso più efficiente e redditizio che aumentare la produzione.
In questo contesto di miglioramento della produttività, recentemente si è fatto riferimento ai maggiori benefici derivanti dalla riduzione dell'assenteismo per malattia e dallo stimolo alla motivazione dei dipendenti. Sullo sfondo di questi sviluppi, la politica della sicurezza sta assumendo sempre più chiaramente una nuova forma con accenti diversi. In passato, la maggior parte dei vertici aziendali considerava la sicurezza sul lavoro un mero obbligo di legge, un onere da delegare rapidamente a tecnici specializzati. Oggi la politica della sicurezza viene sempre più distintamente vista come un modo per raggiungere i due obiettivi di riduzione delle perdite e di ottimizzazione della politica aziendale. La politica della sicurezza si sta quindi sempre più evolvendo in un affidabile barometro della solidità del successo dell'azienda rispetto a questi obiettivi. Al fine di misurare i progressi, viene dedicata maggiore attenzione alla gestione e agli audit di sicurezza.
Teoria organizzativa
Non sono solo le circostanze economiche che hanno fornito ai capi delle aziende nuove intuizioni. Nuove visioni relative alla gestione, alla teoria organizzativa, all'assistenza di qualità totale e, nella stessa ottica, all'assistenza alla sicurezza, stanno determinando cambiamenti significativi. Una svolta importante nelle opinioni sull'organizzazione è stata elaborata nel celebre lavoro pubblicato da Peters e Waterman (1982), Alla ricerca dell'eccellenza. Già questo lavoro sposava le idee che Pascale e Athos (1980) scoprirono in Giappone e in cui descrissero L'arte della gestione giapponese. Questo nuovo sviluppo può essere simboleggiato, in un certo senso, dal Framework “7-S” di McKinsey (in Peters e Waterman 1982). Oltre a tre aspetti gestionali tradizionali (strategia, struttura e sistemi), le aziende ora sottolineano anche tre aspetti aggiuntivi (personale, competenze e stile). Tutti e sei interagiscono per fornire l'input alla settima “S”, obiettivi sovraordinati (figura 7). Con questo approccio, viene posto un accento molto chiaro sugli aspetti umani dell'organizzazione.
Figuer 1. I valori, la missione e la cultura organizzativa di un'azienda secondo il Framework 7-S di McKinsey
I cambiamenti fondamentali possono essere meglio dimostrati sulla base del modello presentato da Scott (1978), utilizzato anche da Peters e Waterman (1982). Questo modello utilizza due approcci:
Figura 2. Teorie organizzative
Vengono così creati quattro campi nella figura 2 . Due di questi (taylorismo e approccio contingente) sono meccanicamente chiusi, e gli altri due (relazioni umane e sviluppo organizzativo) sono organicamente aperti. C'è stato un enorme sviluppo nella teoria del management, passando dal tradizionale modello di macchina razionale e autoritario (taylorismo) al modello organico orientato all'uomo della gestione delle risorse umane (HRM).
L'efficacia e l'efficienza organizzativa sono più chiaramente collegate a una gestione strategica ottimale, a una struttura organizzativa piatta ea sistemi di qualità affidabili. Inoltre, l'attenzione è ora rivolta a obiettivi sovraordinati e valori significativi che hanno un effetto di legame all'interno dell'organizzazione, come le competenze (in base alle quali l'organizzazione si distingue dai concorrenti) e uno staff motivato alla massima creatività e flessibilità da ponendo l'accento sull'impegno e l'empowerment. Con questi approcci aperti, un controllo di gestione non può limitarsi a un numero di caratteristiche formali o strutturali dell'organizzazione. L'audit deve comprendere anche la ricerca di modalità per mappare gli aspetti culturali meno tangibili e misurabili.
Dal controllo del prodotto alla gestione della qualità totale
Negli anni '1950, la qualità era limitata a un controllo post factum del prodotto finale, il controllo totale della qualità (TQC). Negli anni '1970, in parte stimolati dalla NATO e dal colosso automobilistico Ford, l'accento si spostò sul raggiungimento dell'obiettivo della garanzia di qualità totale (TQA) durante il processo produttivo. Fu solo durante gli anni '1980 che, stimolati dalle tecniche giapponesi, l'attenzione si spostò verso la qualità del total management system e nacque il total quality management (TQM). Questo cambiamento fondamentale nel sistema di assistenza di qualità ha avuto luogo cumulativamente, nel senso che ogni fase precedente è stata integrata nella successiva. È anche chiaro che mentre il controllo del prodotto e l'ispezione di sicurezza sono aspetti più strettamente legati a un concetto organizzativo tayloristico, la garanzia della qualità è più associata a un approccio di sistema socio-tecnico dove l'obiettivo è non tradire la fiducia del cliente (esterno). Il TQM, infine, si riferisce ad un approccio HRM da parte dell'organizzazione in quanto non è più solo il miglioramento del prodotto ad essere coinvolto, ma il miglioramento continuo degli aspetti organizzativi in cui si presta esplicita attenzione anche ai dipendenti.
Nell'approccio di leadership di qualità totale (TQL) della Fondazione europea per la gestione della qualità (EFQM), l'accento è posto con forza sull'impatto paritario dell'organizzazione sul cliente, sui dipendenti e sulla società in generale, con l'ambiente come elemento chiave punto di attenzione. Questi obiettivi possono essere realizzati includendo concetti come "leadership" e "gestione delle persone".
È chiaro che c'è anche una differenza molto importante nell'enfasi tra l'assicurazione della qualità come descritta negli standard ISO e l'approccio TQL dell'EFQM. L'assicurazione della qualità ISO è una forma estesa e migliorata di controllo della qualità, che si concentra non solo sui prodotti e sui clienti interni, ma anche sull'efficienza dei processi tecnici. L'obiettivo dell'ispezione è indagare sulla conformità con le procedure stabilite nell'ISO. TQM, d'altra parte, si sforza di soddisfare le aspettative di tutti i clienti interni ed esterni, nonché tutti i processi all'interno dell'organizzazione, compresi quelli più morbidi e orientati all'uomo. Il coinvolgimento, l'impegno e la creatività dei dipendenti sono chiaramente aspetti importanti di TQM.
Dall'errore umano alla sicurezza integrata
La politica della sicurezza si è evoluta in modo simile all'assistenza di qualità. L'attenzione si è spostata dall'analisi post factum dell'incidente, con particolare attenzione alla prevenzione degli infortuni, a un approccio più globale. La sicurezza è vista più nel contesto del "controllo totale delle perdite" - una politica volta a evitare perdite attraverso la gestione della sicurezza che coinvolge l'interazione di persone, processi, materiali, attrezzature, installazioni e ambiente. La sicurezza si concentra quindi sulla gestione dei processi che potrebbero portare a perdite. Nel periodo di sviluppo iniziale della politica di sicurezza l'accento è stato posto su a errore umano approccio. Di conseguenza, ai dipendenti è stata attribuita una forte responsabilità per la prevenzione degli infortuni sul lavoro. Seguendo una filosofia tayloristica, sono state elaborate condizioni e procedure ed è stato istituito un sistema di controllo per mantenere gli standard di comportamento prescritti. Questa filosofia può filtrare nella moderna politica della sicurezza attraverso i concetti ISO 9000 con conseguente imposizione di una sorta di senso di colpa implicito e indiretto nei confronti dei dipendenti, con tutte le conseguenze negative che ciò comporta per la cultura aziendale - ad esempio, una tendenza può sviluppare che le prestazioni saranno ostacolate piuttosto che migliorate.
In una fase successiva dell'evoluzione della politica della sicurezza, è stato riconosciuto che i dipendenti svolgono il proprio lavoro in un ambiente particolare con risorse lavorative ben definite. Gli incidenti sul lavoro sono stati considerati come un evento multicausale in un sistema uomo/macchina/ambiente in cui l'enfasi si è spostata in un approccio tecnico-sistemico. Anche qui troviamo l'analogia con la garanzia della qualità, dove l'accento è posto sul controllo dei processi tecnici attraverso mezzi come il controllo statistico dei processi.
Solo di recente, e in parte stimolato dalla filosofia TQM, l'enfasi nei sistemi di politica della sicurezza si è spostata su a approccio di sistema sociale, che rappresenta un passo logico nel miglioramento del sistema di prevenzione. Per ottimizzare il sistema uomo/macchina/ambiente non è sufficiente garantire la sicurezza delle macchine e degli strumenti attraverso una politica di prevenzione ben sviluppata, ma occorre anche un sistema di manutenzione preventiva e la garanzia della sicurezza tra tutti i tecnici processi. Inoltre, è di fondamentale importanza che i dipendenti siano sufficientemente formati, qualificati e motivati per quanto riguarda gli obiettivi di salute e sicurezza. Nella società odierna, quest'ultimo obiettivo non può più essere raggiunto attraverso l'approccio autoritario tayloristico, poiché il feedback positivo è molto più stimolante di un sistema di controllo repressivo che spesso ha solo effetti negativi. La gestione moderna implica una cultura aziendale aperta e motivante, in cui vi è un impegno comune per il raggiungimento degli obiettivi aziendali chiave in un approccio partecipativo e basato sul lavoro di squadra. Nel approccio alla cultura della sicurezza, la sicurezza è parte integrante degli obiettivi delle organizzazioni e quindi parte essenziale del compito di tutti, a partire dai vertici aziendali e passando lungo tutta la linea gerarchica fino ai dipendenti di officina.
Sicurezza integrata
Il concetto di sicurezza integrata presenta immediatamente una serie di fattori centrali in un sistema di sicurezza integrato, i più importanti dei quali possono essere così riassunti:
Un impegno ben visibile da parte del top management. Questo impegno non è dato solo sulla carta, ma si traduce in risultati pratici fino all'officina.
Coinvolgimento attivo della linea gerarchica e delle strutture centrali di supporto. L'attenzione alla sicurezza, alla salute e al benessere non solo è parte integrante del compito di ognuno nel processo produttivo, ma è anche integrata nella politica del personale, nella manutenzione preventiva, nella fase di progettazione e nella collaborazione con i terzi.
Piena partecipazione dei dipendenti. I dipendenti sono interlocutori a pieno titolo con i quali è possibile una comunicazione aperta e costruttiva, dando pieno peso al loro contributo. La partecipazione, infatti, è di fondamentale importanza per portare avanti in modo efficiente e motivante la politica aziendale e di sicurezza.
Un profilo adatto per un esperto di sicurezza. L'esperto della sicurezza non è più il tecnico o tuttofare, ma è un qualificato consulente del top management, con particolare attenzione all'ottimizzazione dei processi di policy e del sistema di sicurezza. Non è quindi una persona solo tecnicamente preparata, ma anche una persona che, da buon organizzatore, può relazionarsi con le persone in modo stimolante e collaborare in modo sinergico con altri esperti di prevenzione.
Una cultura proattiva della sicurezza. L'aspetto chiave di una politica di sicurezza integrata è una cultura della sicurezza proattiva, che comprende, tra l'altro, quanto segue:
Audit di sicurezza e di gestione
Descrizione generale
Gli audit di sicurezza sono una forma di analisi e valutazione dei rischi in cui viene svolta un'indagine sistematica al fine di determinare la misura in cui sono presenti le condizioni che prevedono lo sviluppo e l'attuazione di una politica di sicurezza efficace ed efficiente. Ogni audit prevede quindi contemporaneamente gli obiettivi che devono essere realizzati e le migliori circostanze organizzative per metterli in pratica.
Ciascun sistema di audit dovrebbe, in linea di principio, determinare quanto segue:
Le informazioni vengono quindi analizzate a fondo per esaminare in che misura la situazione attuale e il grado di realizzazione soddisfano i criteri desiderati, seguiti da un report con feedback positivo che sottolinea i punti di forza e feedback correttivo che fa riferimento ad aspetti che richiedono un ulteriore miglioramento.
Auditing e strategie per il cambiamento
Ogni sistema di audit contiene esplicitamente o implicitamente una visione sia del design e della concettualizzazione di un'organizzazione ideale, sia del modo migliore per implementare i miglioramenti.
Bennis, Benne e Chin (1985) distinguono tre strategie per cambiamenti pianificati, ciascuno basato su una diversa visione delle persone e dei mezzi per influenzare il comportamento:
Quale strategia di influenza sia più appropriata in una situazione specifica non dipende solo dalla visione di partenza, ma anche dalla situazione attuale e dalla cultura organizzativa esistente. A questo proposito è molto importante sapere quale tipo di comportamento influenzare. Il famoso modello ideato dallo specialista danese del rischio Rasmussen (1988) distingue tra i seguenti tre tipi di comportamento:
Strati nel cambiamento comportamentale e culturale
Sulla base di quanto sopra, la maggior parte dei sistemi di audit (inclusi quelli basati sulla serie di standard ISO) si discostano implicitamente dalle strategie potere-forza o dalle strategie razionale-empiriche, con la loro enfasi sul comportamento di routine o procedurale. Ciò significa che in questi sistemi di audit non viene prestata sufficiente attenzione al “comportamento basato sulla conoscenza” che può essere influenzato principalmente attraverso strategie normativo-rieducative. Nella tipologia utilizzata da Schein (1989), l'attenzione è rivolta solo ai fenomeni di superficie tangibili e coscienti della cultura organizzativa e non agli strati più profondi invisibili e subconsci che si riferiscono più a valori e presupposti fondamentali.
Molti sistemi di audit si limitano alla questione se una particolare disposizione o procedura sia presente. Si assume quindi implicitamente che la sola esistenza di tale disposizione o procedura costituisca una garanzia sufficiente per il buon funzionamento del sistema. Oltre all'esistenza di determinate misure, esistono sempre diversi altri “strati” (o livelli di probabile risposta) che devono essere affrontati in un sistema di audit per fornire informazioni e garanzie sufficienti per il funzionamento ottimale del sistema.
In termini più concreti, il seguente esempio riguarda la risposta ad un'emergenza incendio:
Tabella 1 delinea alcuni strati nella politica di sicurezza audio di qualità.
Tabella 1. Strati nella politica di qualità e sicurezza
Strategie |
Comportamento |
||
Abilità |
Regole |
Conoscenza |
|
Potere-forza |
Approccio all'errore umano |
||
Razionale-empirico |
Approccio di sistema tecnico |
||
Normativo-rieducativo |
Approccio al sistema sociale TQM |
Approccio alla cultura della sicurezza PAS EFQM |
Il sistema di audit Pellenberg
Il nome Sistema di controllo Pellenberg (PAS) deriva dal luogo in cui i progettisti si sono più volte riuniti per sviluppare il sistema (il Maurissens Château a Pellenberg, un edificio dell'Università Cattolica di Leuven). PAS è il risultato di un'intensa collaborazione di un team interdisciplinare di esperti con anni di esperienza pratica, sia nell'area della gestione della qualità che nell'area della sicurezza e dei problemi ambientali, in cui sono stati riuniti una varietà di approcci ed esperienze. Il team ha ricevuto anche il supporto dei dipartimenti scientifici e di ricerca universitari, beneficiando così dei più recenti approfondimenti nel campo del management e della cultura organizzativa.
PAS racchiude tutta una serie di criteri che un sistema di prevenzione aziendale superiore dovrebbe soddisfare (vedi tabella 2). Questi criteri sono classificati secondo il sistema standard ISO (garanzia di qualità nella progettazione, sviluppo, produzione, installazione e assistenza). Tuttavia, PAS non è una semplice traduzione del sistema ISO in sicurezza, salute e benessere. Una nuova filosofia si sviluppa partendo dal prodotto specifico che si ottiene nella politica della sicurezza: posti di lavoro significativi e sicuri. Il contratto del sistema ISO è sostituito dalle disposizioni di legge e dalle aspettative in evoluzione che esistono tra le parti coinvolte nel campo sociale in materia di salute, sicurezza e assistenza. La creazione di posti di lavoro sicuri e significativi è vista come un obiettivo essenziale di ogni organizzazione nel quadro della sua responsabilità sociale. L'impresa è il fornitore e i clienti sono i dipendenti.
Tabella 2. Elementi dell'audit di sicurezza PAS
Elementi di audit di sicurezza PAS |
Corrispondenza con ISO 9001 |
|
1. |
Responsabilità di gestione |
|
1.1 |
Politica di sicurezza |
4.1.1 |
1.2 |
Organizzazione |
|
1.2.1 |
Responsabilità e autorità |
4.1.2.1 |
1.2.2 |
Risorse e personale di verifica |
4.1.2.2 |
1.2.3 |
Servizio di salute e sicurezza |
4.1.2.3 |
1.3 |
Revisione del sistema di gestione della sicurezza |
4.1.3 |
2. |
Sistema di gestione della sicurezza |
4.2 |
3. |
obblighi |
4.3 |
4. |
Controllo del design |
|
4.1 |
Generale |
4.4.1 |
4.2 |
Progettazione e pianificazione dello sviluppo |
4.4.2 |
4.3 |
Input di progettazione |
4.4.3 |
4.4 |
Risultato del progetto |
4.4.4 |
4.5 |
Verifica del progetto |
4.4.5 |
4.6 |
Modifiche al design |
4.4.6 |
5. |
Controllo documenti |
|
5.1 |
Approvazione ed emissione del documento |
4.5.1 |
5.2 |
Cambiamenti/modifiche del documento |
4.5.2 |
6. |
Acquisti e contratti |
|
6.1 |
Generale |
4.6.1 |
6.2 |
Valutazione di fornitori e appaltatori |
4.6.2 |
6.3 |
Dati di acquisto |
4.6.3 |
6.4 |
Prodotti di terzi |
4.7 |
7. |
Identificazione |
4.8 |
8. |
Processi industriali |
|
8.1 |
Generale |
4.9.1 |
8.2 |
Controllo della sicurezza del processo |
4.11 |
9. |
Ispezione |
|
9.1 |
Ricevimento e ispezione pre-avviamento |
4.10.1 |
9.2 |
Ispezioni periodiche |
4.10.2 |
9.3 |
Registri di ispezione |
4.10.4 |
9.4 |
Apparecchiature di ispezione |
4.11 |
9.5 |
Stato di ispezione |
4.12 |
10 |
Incidenti e incidenti |
4.13 |
11 |
Azione correttiva e preventiva |
4.13 |
12 |
Record di sicurezza |
4.16 |
13 |
Audit di sicurezza interni |
4.17 |
14 |
Formazione |
4.18 |
15 |
Assistenza |
4.19 |
16 |
Tecniche statistiche |
4.20 |
Diversi altri sistemi sono integrati nel sistema PAS:
La PAS rimanda costantemente alla più ampia politica aziendale all'interno della quale si inquadra la politica della sicurezza. Dopo tutto, una politica di sicurezza ottimale è allo stesso tempo un prodotto e un produttore di una politica aziendale proattiva. Partendo dal presupposto che un'azienda sicura è allo stesso tempo un'organizzazione efficace ed efficiente e viceversa, particolare attenzione è quindi dedicata all'integrazione della politica della sicurezza nella politica complessiva. Gli ingredienti essenziali di una politica aziendale orientata al futuro includono una forte cultura aziendale, un impegno di vasta portata, la partecipazione dei dipendenti, una particolare attenzione alla qualità del lavoro e un sistema dinamico di miglioramento continuo. Sebbene queste intuizioni costituiscano in parte anche lo sfondo della PAS, non sono sempre molto facili da conciliare con l'approccio più formale e procedurale della filosofia ISO.
Procedure formali e risultati direttamente identificabili sono indiscutibilmente importanti nella politica di sicurezza. Tuttavia, non è sufficiente basare il sistema di sicurezza solo su questo approccio. I risultati futuri di una politica della sicurezza dipendono dalla politica attuale, dagli sforzi sistematici, dalla costante ricerca di miglioramenti, e in particolare dall'ottimizzazione fondamentale dei processi che assicurano risultati durevoli. Questa visione è incorporata nel sistema PAS, con una forte enfasi tra l'altro su un miglioramento sistematico della cultura della sicurezza.
Uno dei principali vantaggi del PAS è l'opportunità di sinergia. Partendo dalla sistematica dell'ISO, le diverse linee di approccio diventano immediatamente riconoscibili per tutti coloro che si occupano di gestione della qualità totale. Ci sono chiaramente diverse opportunità di sinergia tra queste diverse aree politiche perché in tutti questi campi il miglioramento dei processi di gestione è l'aspetto chiave. Un'attenta politica degli acquisti, un solido sistema di manutenzione preventiva, una buona gestione, una gestione partecipativa e lo stimolo di un approccio intraprendente da parte dei dipendenti sono di fondamentale importanza per tutte queste aree politiche.
I diversi sistemi di cura sono organizzati in modo analogo, sulla base di principi quali l'impegno del vertice aziendale, il coinvolgimento della linea gerarchica, la partecipazione attiva dei dipendenti e un contributo valorizzato degli esperti specifici. I diversi sistemi contengono anche strumenti politici analoghi come la dichiarazione politica, i piani d'azione annuali, i sistemi di misurazione e controllo, gli audit interni ed esterni e così via. Il sistema PAS invita quindi chiaramente a perseguire una cooperazione efficace, economica e sinergica tra tutti questi sistemi di assistenza.
Il PAS non offre la strada più facile per ottenere risultati a breve termine. Pochi manager aziendali si lasciano sedurre da un sistema che promette grandi benefici a breve termine con poco sforzo. Ogni buona politica richiede un approccio approfondito, ponendo solide basi per la futura politica. Più importante dei risultati nel breve termine è la garanzia che si sta costruendo un sistema che genererà risultati sostenibili nel futuro, non solo nel campo della sicurezza, ma anche a livello di una politica aziendale generalmente efficace ed efficiente. A questo proposito, lavorare per la salute, la sicurezza e il benessere significa anche lavorare per posti di lavoro sicuri e significativi, dipendenti motivati, clienti soddisfatti e un risultato operativo ottimale. Il tutto avviene in un clima dinamico e propositivo.
In breve
Miglioramento continuo è un prerequisito essenziale per ogni sistema di audit di sicurezza che cerchi di ottenere un successo duraturo nella società odierna in rapida evoluzione. La migliore garanzia per un sistema dinamico di miglioramento continuo e flessibilità costante è il pieno impegno di dipendenti competenti che crescono con l'intera organizzazione perché i loro sforzi sono sistematicamente valorizzati e perché hanno la possibilità di sviluppare e aggiornare regolarmente le proprie competenze. All'interno del processo di audit di sicurezza, la migliore garanzia di risultati duraturi è lo sviluppo di un'organizzazione che apprende in cui sia i dipendenti che l'organizzazione continuino ad apprendere ed evolvere.
Questo articolo esamina il ruolo dei fattori umani nel processo di causalità degli incidenti e passa in rassegna le varie misure preventive (e la loro efficacia) mediante le quali l'errore umano può essere controllato e la loro applicazione al modello di causalità degli incidenti. L'errore umano è un'importante concausa in almeno il 90 di tutti gli incidenti sul lavoro. Mentre errori puramente tecnici e circostanze fisiche incontrollabili possono anche contribuire alla causa degli incidenti, l'errore umano è la principale fonte di fallimento. La maggiore sofisticazione e affidabilità dei macchinari significa che la percentuale di cause di incidenti attribuite all'errore umano aumenta al diminuire del numero assoluto di incidenti. L'errore umano è anche la causa di molti di quegli incidenti che, pur non provocando lesioni o morte, provocano comunque un notevole danno economico per un'azienda. In quanto tale, rappresenta un obiettivo importante per la prevenzione e diventerà sempre più importante. Per efficaci sistemi di gestione della sicurezza e programmi di identificazione del rischio è importante essere in grado di identificare efficacemente la componente umana attraverso l'uso dell'analisi generale del tipo di guasto.
La natura dell'errore umano
L'errore umano può essere visto come il mancato raggiungimento di un obiettivo nel modo pianificato, da una prospettiva locale o più ampia, a causa di un comportamento non intenzionale o intenzionale. Tali azioni pianificate potrebbero non riuscire a raggiungere i risultati desiderati per i seguenti quattro motivi:
1. Comportamento non intenzionale:
2. Comportamento intenzionale:
Le deviazioni possono essere suddivise in tre classi: errori basati sull'abilità, sulle regole e sulla conoscenza.
In alcune situazioni, il termine limite umano sarebbe più appropriato di errore umano. Esistono anche limiti alla capacità di prevedere il comportamento futuro di sistemi complessi (Gleick 1987; Casti 1990).
Il modello di Reason ed Embrey, il Generic Error Modeling System (GEMS) (Reason 1990), tiene conto dei meccanismi di correzione degli errori a livello di abilità, regole e conoscenza. Un presupposto di base di GEMS è che il comportamento quotidiano implica un comportamento di routine. Il comportamento di routine viene controllato regolarmente, ma tra questi cicli di feedback il comportamento è completamente automatico. Poiché il comportamento è basato sull'abilità, gli errori sono errori. Quando il feedback mostra una deviazione dall'obiettivo desiderato, viene applicata la correzione basata su regole. Il problema viene diagnosticato sulla base dei sintomi disponibili e una regola di correzione viene applicata automaticamente quando viene diagnosticata la situazione. Quando viene applicata la regola sbagliata c'è un errore.
Quando la situazione è completamente sconosciuta, vengono applicate regole basate sulla conoscenza. I sintomi vengono esaminati alla luce della conoscenza del sistema e dei suoi componenti. Questa analisi può portare a una possibile soluzione la cui attuazione costituisce un caso di comportamento basato sulla conoscenza. (È anche possibile che il problema non possa essere risolto in un dato modo e che debbano essere applicate ulteriori regole basate sulla conoscenza.) Tutti gli errori a questo livello sono errori. Le violazioni si commettono quando viene applicata una certa regola che si sa essere inappropriata: il pensiero del lavoratore può essere che l'applicazione di una regola alternativa richieda meno tempo o sia forse più adatta alla situazione presente, probabilmente eccezionale. La classe di violazioni più malevole riguarda il sabotaggio, un argomento che non rientra nell'ambito di questo articolo. Quando le organizzazioni stanno tentando di eliminare l'errore umano, dovrebbero tener conto se gli errori sono a livello di abilità, regole o conoscenze, poiché ogni livello richiede le proprie tecniche (Groeneweg 1996).
Influenzare il comportamento umano: una panoramica
Un commento spesso fatto riguardo a un incidente particolare è: "Forse la persona non se ne è accorta in quel momento, ma se non avesse agito in un certo modo, l'incidente non sarebbe accaduto". Gran parte della prevenzione degli incidenti ha lo scopo di influenzare la parte cruciale del comportamento umano a cui si allude in questa osservazione. In molti sistemi di gestione della sicurezza, le soluzioni e le politiche suggerite mirano a influenzare direttamente il comportamento umano. Tuttavia, è molto raro che le organizzazioni valutino l'effettiva efficacia di tali metodi. Gli psicologi hanno dedicato molta attenzione al modo migliore per influenzare il comportamento umano. A questo proposito, verranno esposti i seguenti sei modi di esercitare il controllo sull'errore umano e verrà effettuata una valutazione dell'efficacia relativa di questi metodi nel controllo del comportamento umano a lungo termine (Wagenaar 1992). (Vedi tabella 1.)
Tabella 1. Sei modi per indurre comportamenti sicuri e valutazione del loro rapporto costo-efficacia
No. |
Modo di influenzare |
Costo |
Effetto a lungo termine |
Valutazione Finale |
1 |
Non indurre comportamenti sicuri, |
Alta |
Basso |
povero |
2 |
Dì alle persone coinvolte cosa fare. |
Basso |
Basso |
Medio |
3 |
Premiare e punire. |
Medio |
Medio |
Medio |
4 |
Aumentare la motivazione e la consapevolezza. |
Medio |
Basso |
povero |
5 |
Selezionare personale addestrato. |
Alta |
Medio |
Medio |
6 |
Cambia l'ambiente. |
Alta |
Alta |
Buone |
Non tentare di indurre comportamenti sicuri, ma rendere il sistema “a prova di errore”
La prima opzione è non fare nulla per influenzare il comportamento delle persone, ma progettare il posto di lavoro in modo tale che qualunque cosa faccia il dipendente, non si traduca in alcun tipo di risultato indesiderabile. Va riconosciuto che, grazie all'influenza della robotica e dell'ergonomia, i progettisti hanno notevolmente migliorato la facilità d'uso delle attrezzature sul posto di lavoro. Tuttavia, è quasi impossibile prevedere tutti i diversi tipi di comportamento che le persone possono manifestare. Inoltre, i lavoratori spesso considerano i cosiddetti progetti infallibili come una sfida per "battere il sistema". Infine, poiché i progettisti sono essi stessi esseri umani, anche le apparecchiature progettate con molta attenzione e infallibili possono presentare dei difetti (ad esempio, Petroski 1992). Il vantaggio aggiuntivo di questo approccio rispetto ai livelli di pericolo esistenti è marginale e, in ogni caso, i costi iniziali di progettazione e installazione possono aumentare in modo esponenziale.
Dì alle persone coinvolte cosa fare
Un'altra opzione è quella di istruire tutti i lavoratori su ogni singola attività al fine di portare il loro comportamento completamente sotto il controllo della direzione. Ciò richiederà un vasto e poco pratico inventario delle attività e un sistema di controllo delle istruzioni. Poiché tutto il comportamento è de-automatizzato, eliminerà in larga misura gli errori e gli errori fino a quando le istruzioni non diventeranno parte della routine e l'effetto svanirà.
Non aiuta molto dire alle persone che ciò che fanno è pericoloso - la maggior parte delle persone lo sa molto bene - perché faranno le proprie scelte riguardo al rischio indipendentemente dai tentativi di convincerle del contrario. La loro motivazione a farlo sarà semplificare il loro lavoro, risparmiare tempo, sfidare l'autorità e forse migliorare le proprie prospettive di carriera o richiedere qualche ricompensa finanziaria. Istruire le persone è relativamente economico e la maggior parte delle organizzazioni organizza sessioni di istruzione prima dell'inizio di un lavoro. Ma al di là di un tale sistema di istruzioni, si ritiene che l'efficacia di questo approccio sia bassa.
Premiare e punire
Sebbene i programmi di ricompensa e punizione siano mezzi potenti e molto popolari per controllare il comportamento umano, non sono privi di problemi. La ricompensa funziona meglio solo se il destinatario percepisce che la ricompensa è di valore al momento della ricezione. Il comportamento punitivo che sfugge al controllo di un dipendente (un lapsus) non sarà efficace. Ad esempio, è più conveniente migliorare la sicurezza del traffico modificando le condizioni alla base del comportamento del traffico rispetto a campagne pubbliche o programmi di punizione e ricompensa. Anche un aumento delle possibilità di essere "beccati" non cambierà necessariamente il comportamento di una persona, poiché le opportunità per violare una regola sono ancora presenti, così come la sfida di una violazione riuscita. Se le situazioni in cui le persone lavorano invitano a questo tipo di violazione, le persone sceglieranno automaticamente il comportamento indesiderato, indipendentemente da come vengono punite o ricompensate. L'efficacia di questo approccio è valutata come di qualità media, poiché di solito è di efficacia a breve termine.
Aumentare la motivazione e la consapevolezza
A volte si crede che le persone causino incidenti perché mancano di motivazione o non sono consapevoli del pericolo. Questa ipotesi è falsa, come hanno dimostrato gli studi (ad esempio, Wagenaar e Groeneweg 1987). Inoltre, anche se i lavoratori sono in grado di valutare accuratamente il pericolo, non necessariamente agiscono di conseguenza (Kruysse 1993). Gli incidenti accadono anche alle persone con la migliore motivazione e il più alto grado di consapevolezza della sicurezza. Esistono metodi efficaci per migliorare la motivazione e la consapevolezza che sono discussi di seguito in "Cambiare l'ambiente". Questa opzione è delicata: in contrasto con la difficoltà di motivare ulteriormente le persone, è quasi troppo facile demotivare i dipendenti al punto da considerare anche il sabotaggio.
Gli effetti dei programmi di miglioramento della motivazione sono positivi solo se associati a tecniche di modifica del comportamento come il coinvolgimento dei dipendenti.
Selezionare personale addestrato
La prima reazione a un incidente è spesso che le persone coinvolte devono essere state incompetenti. Col senno di poi, gli scenari infortunistici appaiono immediati e facilmente prevenibili a una persona sufficientemente intelligente e adeguatamente istruita, ma tale apparenza è ingannevole: in realtà i dipendenti coinvolti non avrebbero potuto prevedere l'incidente. Pertanto, una migliore formazione e selezione non avranno l'effetto auspicato. Un livello base di formazione è tuttavia un prerequisito per operazioni sicure. La tendenza in alcuni settori a sostituire il personale esperto con persone inesperte e non adeguatamente formate deve essere scoraggiata, poiché situazioni sempre più complesse richiedono un pensiero basato su regole e conoscenza che richiede un livello di esperienza che spesso tale personale a basso costo non possiede.
Un effetto collaterale negativo dell'istruire le persone molto bene e selezionare solo le persone più classificate è che il comportamento può diventare automatico e si verificano errori. La selezione è costosa, mentre l'effetto non è più che medio.
Cambia l'ambiente
La maggior parte dei comportamenti si verifica come reazione a fattori nell'ambiente di lavoro: programmi di lavoro, piani e aspettative e richieste del management. Un cambiamento nell'ambiente si traduce in un comportamento diverso. Prima che l'ambiente di lavoro possa essere effettivamente modificato, è necessario risolvere diversi problemi. Innanzitutto, devono essere identificati i fattori ambientali che causano il comportamento indesiderato. In secondo luogo, questi fattori devono essere controllati. In terzo luogo, la direzione deve consentire la discussione sul proprio ruolo nella creazione dell'ambiente di lavoro avverso.
È più pratico influenzare il comportamento creando un ambiente di lavoro adeguato. I problemi che dovrebbero essere risolti prima che questa soluzione possa essere messa in pratica sono (1) che si deve sapere quali fattori ambientali causano il comportamento indesiderato, (2) che questi fattori devono essere controllati e (3) che le precedenti decisioni di gestione devono essere considerato (Wagenaar 1992; Groeneweg 1996). Tutte queste condizioni possono effettivamente essere soddisfatte, come si argomenterà nel resto di questo articolo. L'efficacia della modifica del comportamento può essere elevata, anche se un cambiamento di ambiente può essere piuttosto costoso.
Il modello di causalità degli incidenti
Per ottenere maggiori informazioni sulle parti controllabili del processo di causa dell'incidente, è necessaria una comprensione dei possibili circuiti di feedback in un sistema di informazioni sulla sicurezza. Nella figura 1 è presentata la struttura completa di un sistema informativo di sicurezza che può costituire la base del controllo gestionale dell'errore umano. È una versione adattata del sistema presentato da Reason et al. (1989).
Figura 1. Un sistema informativo sulla sicurezza
Indagine sugli incidenti
Quando si indaga sugli incidenti, vengono prodotti rapporti sostanziali e i responsabili delle decisioni ricevono informazioni sulla componente dell'errore umano dell'incidente. Fortunatamente, questo sta diventando sempre più obsoleto in molte aziende. È più efficace analizzare i "disturbi operativi" che precedono gli incidenti e gli inconvenienti. Se un incidente è descritto come un disturbo operativo seguito dalle sue conseguenze, allora la scivolata dalla strada è un disturbo operativo e rimanere uccisi perché il conducente non ha indossato la cintura di sicurezza è un incidente. Le barriere possono essere state poste tra il disturbo operativo e l'incidente, ma sono fallite o sono state violate o aggirate.
Auditing di atti non sicuri
Un atto scorretto commesso da un dipendente è definito in questo articolo un “atto scadente” e non un “atto pericoloso”: la nozione di “non sicuro” sembra limitare l'applicabilità del termine alla sicurezza, mentre può essere applicata anche, per esempio, ai problemi ambientali. A volte vengono registrati atti scadenti, ma le informazioni dettagliate su quali lapsus, errori e violazioni sono stati compiuti e sul motivo per cui sono stati compiuti non vengono quasi mai comunicate ai livelli dirigenziali più elevati.
Indagare sullo stato d'animo del dipendente
Prima che venga commesso un atto scadente, la persona coinvolta era in un certo stato d'animo. Se questi precursori psicologici, come essere in uno stato di fretta o sentirsi tristi, potessero essere adeguatamente controllati, le persone non si troverebbero in uno stato mentale in cui commetterebbero un atto scadente. Dal momento che questi stati mentali non possono essere efficacemente controllati, tali precursori sono considerati materiale da “scatola nera” (figura 1).
Tipi di guasti generali
Il riquadro GFT (general failure type) in figura 1 rappresenta i meccanismi generatori di un incidente - le cause di atti e situazioni scadenti. Poiché questi atti scadenti non possono essere controllati direttamente, è necessario cambiare l'ambiente di lavoro. L'ambiente di lavoro è determinato da 11 di questi meccanismi (tabella 2). (Nei Paesi Bassi l'abbreviazione GFT esiste già in un contesto completamente diverso, e ha a che fare con lo smaltimento dei rifiuti ecologicamente corretto, e per evitare confusione viene utilizzato un altro termine: fattori di rischio fondamentali (BRF) (Roggeveen 1994).)
Tabella 2. Tipi di guasti generali e relative definizioni
Fallimenti generali |
Definizioni |
1. Progettazione (DE) |
Guasti dovuti a cattiva progettazione di un intero impianto oltre che individuale |
2. Hardware (hardware) |
Guasti dovuti a cattivo stato o indisponibilità di attrezzature e strumenti |
3. Procedure (PR) |
Guasti dovuti alla scarsa qualità delle procedure operative con |
4. Errore nell'applicazione |
Fallimenti dovuti alla scarsa qualità dell'ambiente di lavoro, con |
5. Pulizie (HK) |
Fallimenti dovuti a scarsa pulizia |
6. Formazione (TR) |
Fallimenti dovuti a formazione inadeguata o esperienza insufficiente |
7. Obiettivi incompatibili (IG) |
Fallimenti dovuti allo scarso livello di sicurezza e benessere interno |
8. Comunicazione (CO) |
Guasti dovuti a scarsa qualità o assenza di linee di comunicazione |
9. Organizzazione (OR) |
Fallimenti dovuti al modo in cui il progetto è gestito |
10. Manutenzione |
Guasti dovuti alla scarsa qualità delle procedure di manutenzione |
11. Difese (DF) |
Guasti dovuti alla scarsa qualità della protezione contro i pericoli |
La casella GFT è preceduta da una casella del "decisore", in quanto queste persone determinano in larga misura quanto bene viene gestita una GFT. È compito della direzione controllare l'ambiente di lavoro gestendo gli 11 GFT, controllando indirettamente il verificarsi di errori umani.
Tutti questi GFT possono contribuire agli incidenti in modi subdoli, consentendo l'unione di combinazioni indesiderate di situazioni e azioni, aumentando la possibilità che alcune persone commettano atti scadenti e non riuscendo a fornire i mezzi per interrompere sequenze di incidenti già in corso.
Ci sono due GFT che richiedono qualche ulteriore spiegazione: la gestione della manutenzione e le difese.
Gestione della manutenzione (MM)
Poiché la gestione della manutenzione è una combinazione di fattori che possono essere trovati in altri GFT, non è, in senso stretto, un GFT separato: questo tipo di gestione non è fondamentalmente diverso da altre funzioni di gestione. Può essere trattata come una questione separata perché la manutenzione svolge un ruolo importante in così tanti scenari di incidente e perché la maggior parte delle organizzazioni ha una funzione di manutenzione separata.
Difese (DF)
Anche la categoria delle difese non è una vera GFT, in quanto non è correlata allo stesso processo di causalità dell'incidente. Questo GFT è correlato a ciò che accade dopo un disturbo operativo. Di per sé non genera né stati mentali psicologici né atti scadenti. È una reazione che segue un fallimento dovuto all'azione di uno o più GFT. Sebbene sia vero che un sistema di gestione della sicurezza dovrebbe concentrarsi sulle parti controllabili della catena di causalità degli incidenti prima e non dopo l'incidente indesiderato, tuttavia la nozione di difese può essere utilizzata per descrivere l'efficacia percepita delle barriere di sicurezza dopo che si è verificato un disturbo e per mostrare come non siano riuscite a prevenire l'incidente effettivo.
I manager hanno bisogno di una struttura che permetta loro di mettere in relazione i problemi identificati con le azioni preventive. Sono ancora necessarie misure adottate a livello di barriere di sicurezza o atti al di sotto degli standard, anche se queste misure non possono mai avere pieno successo. Fidarsi delle barriere dell'"ultima linea" significa fidarsi di fattori che sono in larga misura fuori dal controllo del management. Il management non dovrebbe tentare di gestire tali dispositivi esterni incontrollabili, ma deve invece cercare di rendere le proprie organizzazioni intrinsecamente più sicure a tutti i livelli.
Misurare il livello di controllo sull'errore umano
L'accertamento della presenza dei GFT in un'organizzazione consentirà agli inquirenti di individuare i punti deboli ei punti di forza dell'organizzazione. Data tale conoscenza, è possibile analizzare gli incidenti ed eliminare o mitigare le loro cause e identificare le debolezze strutturali all'interno di un'azienda e risolverle prima che contribuiscano effettivamente a un incidente.
Indagine sugli incidenti
Il compito di un analista di incidenti è identificare i fattori che contribuiscono e classificarli. Il numero di volte in cui un fattore contribuente viene identificato e classificato in termini di GFT indica la misura in cui questo GFT è presente. Questo viene spesso fatto per mezzo di una lista di controllo o di un programma di analisi del computer.
È possibile e auspicabile combinare profili di tipi di incidenti diversi ma simili. Le conclusioni basate su un accumulo di inchieste sugli incidenti in un tempo relativamente breve sono molto più attendibili di quelle tratte da uno studio in cui il profilo dell'incidente è basato su un singolo evento. Un esempio di tale profilo combinato è presentato nella figura 2, che mostra i dati relativi a quattro occorrenze di un tipo di incidente.
Figura 2. Profilo di una tipologia di incidente
Alcuni dei GFT - progettazione, procedure e obiettivi incompatibili - ottengono un punteggio costantemente alto in tutti e quattro gli incidenti particolari. Ciò significa che in ogni incidente sono stati identificati fattori correlati a questi GFT. Per quanto riguarda il profilo dell'incidente 1, il design è un problema. Le pulizie, sebbene un'area problematica importante nell'incidente 1, sono solo un problema minore se vengono analizzati più del primo incidente. Si suggerisce di esaminare una decina di tipi simili di incidenti e di combinarli in un profilo prima di adottare misure correttive di vasta portata e possibilmente costose. In questo modo, l'identificazione dei fattori contribuenti e la successiva categorizzazione di questi fattori può essere effettuata in modo molto affidabile (Van der Schrier, Groeneweg e van Amerongen 1994).
Identificare in modo proattivo i GFT all'interno di un'organizzazione
È possibile quantificare proattivamente la presenza di GFT, indipendentemente dal verificarsi di incidenti o inconvenienti. Questo viene fatto cercando indicatori della presenza di quel GFT. L'indicatore utilizzato a questo scopo è la risposta a una semplice domanda sì o no. Se si risponde in modo indesiderato, è un'indicazione che qualcosa non funziona correttamente. Un esempio di domanda indicatore è: "Negli ultimi tre mesi, sei andato a una riunione che si è rivelata annullata?" Se il dipendente risponde alla domanda in modo affermativo, non significa necessariamente pericolo, ma è indicativo di una carenza in uno dei GFT: la comunicazione. Tuttavia, se si risponde a un numero sufficiente di domande che verificano un determinato GFT in un modo che indica una tendenza indesiderabile, è un segnale per la direzione che non ha un controllo sufficiente su quel GFT.
Per costruire un profilo di sicurezza del sistema (SSP), è necessario rispondere a 20 domande per ciascuno degli 11 GFT. Ad ogni GFT viene assegnato un punteggio che va da 0 (basso livello di controllo) a 100 (alto livello di controllo). Il punteggio è calcolato rispetto alla media del settore in una determinata area geografica. Un esempio di questa procedura di punteggio è presentato nel riquadro.
Gli indicatori sono presi in modo pseudo-casuale da un database con poche centinaia di domande. Due liste di controllo successive non hanno domande in comune e le domande sono disegnate in modo tale da coprire ogni aspetto del GFT. L'hardware difettoso potrebbe, ad esempio, essere il risultato di un'apparecchiatura assente o difettosa. Entrambi gli aspetti dovrebbero essere coperti nella lista di controllo. Le distribuzioni delle risposte di tutte le domande sono note e le liste di controllo sono bilanciate per uguale difficoltà.
È possibile confrontare i punteggi ottenuti con diverse liste di controllo, nonché quelli ottenuti per diverse organizzazioni o dipartimenti o le stesse unità in un periodo di tempo. Sono stati eseguiti test di convalida approfonditi per garantire che tutte le domande nel database siano valide e che siano tutte indicative del GFT da misurare. Punteggi più alti indicano un livello di controllo più elevato, ovvero più domande hanno ricevuto una risposta nel modo "desiderato". Un punteggio di 70 indica che questa organizzazione è classificata tra i migliori 30 (ovvero, 100 meno 70) di organizzazioni comparabili in questo tipo di settore. Sebbene un punteggio di 100 non significhi necessariamente che questa organizzazione abbia il controllo totale su un GFT, significa che per quanto riguarda questo GFT l'organizzazione è la migliore del settore.
Un esempio di SSP è mostrato nella figura 3. Le aree deboli dell'Organizzazione 1, come esemplificato dalle barre nel grafico, sono le procedure, gli obiettivi incompatibili e le condizioni di imposizione degli errori, poiché ottengono un punteggio inferiore alla media del settore, come mostrato dall'oscuro area grigia. I punteggi su pulizia, hardware e difese sono molto buoni nell'Organizzazione 1. In apparenza, questa organizzazione ben attrezzata e ordinata con tutti i dispositivi di sicurezza in atto sembra essere un luogo sicuro in cui lavorare. L'organizzazione 2 ottiene esattamente la media del settore. Non ci sono gravi carenze e, sebbene i punteggi su hardware, pulizia e difese siano inferiori, questa azienda gestisce (in media) la componente dell'errore umano negli incidenti meglio dell'Organizzazione 1. Secondo il modello di causalità dell'incidente, l'Organizzazione 2 è più sicura di Organizzazione 1, anche se questo non risulterebbe necessariamente evidente confrontando le organizzazioni negli audit "tradizionali".
Figura 3. Esempio di un profilo di sicurezza del sistema
Se queste organizzazioni dovessero decidere dove allocare le loro risorse limitate, le quattro aree con GFT inferiori alla media avrebbero la priorità. Tuttavia, non si può concludere che, poiché gli altri punteggi GFT sono così favorevoli, le risorse possono essere tranquillamente ritirate dal loro mantenimento, poiché queste risorse sono ciò che molto probabilmente le ha mantenute a un livello così alto in primo luogo.
Conclusioni
Questo articolo ha toccato il tema dell'errore umano e della prevenzione degli incidenti. La panoramica della letteratura riguardante il controllo della componente dell'errore umano negli incidenti ha prodotto una serie di sei modi con cui si può tentare di influenzare il comportamento. Uno solo, ristrutturare l'ambiente o modificare i comportamenti per ridurre il numero di situazioni in cui le persone possono commettere un errore, ha un effetto ragionevolmente favorevole in un'organizzazione industriale ben sviluppata dove sono già stati fatti molti altri tentativi. Ci vorrà coraggio da parte del management per riconoscere che queste situazioni avverse esistono e per mobilitare le risorse necessarie per effettuare un cambiamento in azienda. Le altre cinque opzioni non rappresentano alternative utili, poiché avranno un effetto scarso o nullo e saranno piuttosto costose.
"Controllare il controllabile" è il principio chiave che sostiene l'approccio presentato in questo articolo. I GFT devono essere scoperti, attaccati ed eliminati. Gli 11 GFT sono meccanismi che hanno dimostrato di far parte del processo di causalità degli incidenti. Dieci di essi sono finalizzati a prevenire i disturbi operativi e uno (difese) è volto a prevenire che il disturbo operativo si trasformi in un incidente. L'eliminazione dell'impatto dei GFT ha un impatto diretto sull'abbattimento delle concause degli incidenti. Le domande nelle checklist sono finalizzate a misurare lo “stato di salute” di un determinato GFT, sia dal punto di vista generale che da quello della sicurezza. La sicurezza è vista come parte integrante delle normali operazioni: fare il lavoro come dovrebbe essere fatto. Questa visione è in accordo con i recenti approcci gestionali “orientati alla qualità”. La disponibilità di politiche, procedure e strumenti di gestione non è la principale preoccupazione della gestione della sicurezza: la questione è piuttosto se questi metodi siano effettivamente utilizzati, compresi e rispettati.
L'approccio descritto in questo articolo si concentra sui fattori sistemici e sul modo in cui le decisioni del management possono essere tradotte in condizioni di non sicurezza sul posto di lavoro, in contrasto con la convinzione convenzionale che l'attenzione dovrebbe essere rivolta ai singoli lavoratori che compiono atti non sicuri, ai loro atteggiamenti, motivazioni e percezioni del rischio.
Un'indicazione del livello di controllo che la tua organizzazione ha sulla "Comunicazione" di GFT
In questa casella viene presentato un elenco di 20 domande. Alle domande di questo elenco hanno risposto i dipendenti di oltre 250 organizzazioni dell'Europa occidentale. Queste organizzazioni operavano in diversi campi, dalle aziende chimiche alle raffinerie e alle imprese di costruzione. Normalmente, queste domande sarebbero fatte su misura per ogni ramo. Questo elenco serve solo da esempio per mostrare come funziona lo strumento per uno dei GFT. Sono state selezionate solo quelle domande che si sono dimostrate così “generali” da essere applicabili in almeno l'80% dei settori.
Nella "vita reale" i dipendenti non solo dovrebbero rispondere alle domande (in modo anonimo), ma dovrebbero anche motivare le loro risposte. Non è sufficiente rispondere “Sì” ad esempio sull'indicatore "Hai dovuto lavorare nelle ultime 4 settimane con una procedura obsoleta?" Il dipendente dovrebbe indicare quale procedura si trattava ea quali condizioni doveva essere applicata. Questa motivazione serve a due obiettivi: aumenta l'affidabilità delle risposte e fornisce al management informazioni su cui agire.
È necessaria cautela anche nell'interpretazione del punteggio percentile: in una misurazione reale, ogni organizzazione verrebbe confrontata con un campione rappresentativo di organizzazioni di settore per ciascuna delle 11 GFT. La distribuzione dei percentili è del maggio 1995 e questa distribuzione cambia leggermente nel tempo.
Come misurare il “livello di controllo”
Rispondi a tutti i 20 indicatori tenendo presente la tua situazione e fai attenzione ai limiti di tempo nelle domande. Alcune delle domande potrebbero non essere applicabili alla tua situazione; rispondi con “na” Potrebbe essere impossibile per te rispondere ad alcune domande; rispondi con un punto interrogativo "?".
Dopo aver risposto a tutte le domande, confronta le tue risposte con le risposte di riferimento. Ottieni un punto per ogni domanda con risposta "corretta".
Somma il numero di punti. Calcola la percentuale di domande con risposta corretta dividendo il numero di punti per il numero di domande a cui hai risposto con "Sì" o "No". Il "na" e "?" le risposte non vengono prese in considerazione. Il risultato è una percentuale compresa tra 0 e 100.
La misurazione può essere resa più affidabile facendo in modo che più persone rispondano alle domande e calcolando la media dei loro punteggi rispetto ai livelli o alle funzioni nell'organizzazione o in reparti comparabili.
Venti domande sulla “Comunicazione” GFT
Possibili risposte alle domande: Y = Sì; N = No; na = non applicabile; ? = non so.
Risposte di riferimento:
1 = N; 2 = N; 3 = N; 4 = Y; 5 = N; 6 = N; 7 = N; 8 = N; 9 = N; 10 = N; 11 = N; 12 = N; 13 = Y; 14 = N; 15 = N; 16 = Y; 17 = N; 18 = N; 19 = Y; 20 = n.
Punteggio GFT "Comunicazione"
Punteggio percentuale = (a/b) x 100
where a = n. di domande con risposta corretta
where b = n. di domande con risposta "S" o "N".
Il vostro punteggio % |
percentile |
% |
Uguale o migliore |
0-10 |
0-1 |
100 |
99 |
11-20 |
2-6 |
98 |
94 |
21-30 |
7-14 |
93 |
86 |
31-40 |
15-22 |
85 |
78 |
41-50 |
23-50 |
79 |
50 |
51-60 |
51-69 |
49 |
31 |
61-70 |
70-85 |
30 |
15 |
71-80 |
86-97 |
14 |
3 |
81-90 |
98-99 |
2 |
1 |
91-100 |
99-100 |
Questo articolo affronta i pericoli "macchina", quelli che sono specifici delle apparecchiature e dell'hardware utilizzati nei processi industriali associati a recipienti a pressione, apparecchiature di processo, macchine potenti e altre operazioni intrinsecamente rischiose. Questo articolo non affronta i rischi per i lavoratori, che implicano le azioni e il comportamento degli individui, come lo scivolamento sulle superfici di lavoro, la caduta dall'alto e i pericoli derivanti dall'uso di strumenti ordinari. Questo articolo si concentra sui rischi della macchina, che sono caratteristici di un ambiente di lavoro industriale. Poiché questi pericoli minacciano chiunque sia presente e possono anche costituire una minaccia per i vicini e l'ambiente esterno, i metodi di analisi ei mezzi di prevenzione e controllo sono simili ai metodi utilizzati per affrontare i rischi per l'ambiente derivanti dalle attività industriali.
Rischi della macchina
L'hardware di buona qualità è molto affidabile e la maggior parte dei guasti è causata da effetti secondari come incendio, corrosione, uso improprio e così via. Tuttavia, l'hardware può essere evidenziato in alcuni incidenti, perché un componente hardware difettoso è spesso l'anello più evidente o visibilmente prominente della catena di eventi. Sebbene il termine hardware è usato in senso lato, esempi illustrativi di guasti hardware e dei loro immediati "dintorni" nella causa degli incidenti sono stati presi dai luoghi di lavoro industriali. I candidati tipici per l'indagine sui pericoli della "macchina" includono, a titolo esemplificativo ma non esaustivo, quanto segue:
Effetti dell'energia
I rischi legati all'hardware possono includere usi errati, errori di costruzione o frequenti sovraccarichi, e di conseguenza la loro analisi e mitigazione o prevenzione può seguire direzioni piuttosto diverse. Tuttavia, le forme di energia fisica e chimica che sfuggono al controllo umano sono spesso al centro dei pericoli dell'hardware. Pertanto, un metodo molto generale per identificare i pericoli dell'hardware è cercare le energie che sono normalmente controllate con l'effettivo pezzo di attrezzatura o macchinario, come un recipiente a pressione contenente ammoniaca o cloro. Altri metodi utilizzano lo scopo o la funzione prevista dell'hardware effettivo come punto di partenza e quindi cercano i probabili effetti di malfunzionamenti e guasti. Ad esempio, un ponte che non assolve alla sua funzione primaria esporrà i soggetti sul ponte al rischio di caduta; altri effetti del crollo di un ponte saranno quelli secondari della caduta di oggetti, siano essi parti strutturali del ponte o oggetti situati sul ponte. Più in basso nella catena delle conseguenze, potrebbero esserci effetti derivati relativi a funzioni in altre parti del sistema che dipendevano dal fatto che il ponte svolgesse correttamente la sua funzione, come l'interruzione del traffico veicolare di risposta alle emergenze a causa di un altro incidente.
Oltre ai concetti di "energia controllata" e "funzione prevista", le sostanze pericolose devono essere affrontate ponendo domande come "Come potrebbe essere rilasciato l'agente X da recipienti, serbatoi o sistemi di tubazioni e come potrebbe essere prodotto l'agente Y?" (uno o entrambi possono essere pericolosi). L'agente X potrebbe essere un gas pressurizzato o un solvente, e l'agente Y potrebbe essere una diossina estremamente tossica la cui formazione è favorita dalle “giuste” temperature in alcuni processi chimici, oppure potrebbe essere prodotta da una rapida ossidazione, come risultato di un incendio . Tuttavia, i possibili pericoli si sommano a molto di più dei semplici rischi delle sostanze pericolose. Potrebbero esistere condizioni o influenze che consentono alla presenza di un particolare componente hardware di portare a conseguenze dannose per l'uomo.
Ambiente di lavoro industriale
I pericoli della macchina implicano anche fattori di carico o stress che possono essere pericolosi a lungo termine, come i seguenti:
Questi pericoli possono essere riconosciuti e le precauzioni prese perché le condizioni pericolose sono già presenti. Non dipendono da qualche cambiamento strutturale nell'hardware per verificarsi e funzionare con un risultato dannoso, o da qualche evento speciale per provocare danni o lesioni. Anche i pericoli a lungo termine hanno origini specifiche nell'ambiente di lavoro, ma devono essere identificati e valutati osservando i lavoratori e le mansioni, invece di limitarsi ad analizzare la struttura e le funzioni dell'hardware.
Rischi hardware o macchina pericolosi di solito sono eccezionali e piuttosto raramente si trovano in un ambiente di lavoro solido, ma non possono essere evitati del tutto. Diversi tipi di energia incontrollata, come i seguenti agenti di rischio, può essere la conseguenza immediata di un malfunzionamento dell'hardware:
Agenti di rischio
Oggetti in movimento. Oggetti che cadono e volano, flussi di liquidi e getti di liquido o vapore, come quelli elencati, sono spesso le prime conseguenze esterne di guasti hardware o apparecchiature e rappresentano un'ampia percentuale di incidenti.
Sostanze chimiche. I rischi chimici contribuiscono anche agli incidenti sul lavoro e incidono sull'ambiente e sul pubblico. Gli incidenti di Seveso e Bhopal hanno comportato rilasci di sostanze chimiche che hanno colpito numerosi membri del pubblico, e molti incendi ed esplosioni industriali rilasciano sostanze chimiche e fumi nell'atmosfera. Gli incidenti stradali che coinvolgono camion per la consegna di benzina o prodotti chimici o altri trasporti di merci pericolose, uniscono due agenti di rischio: oggetti in movimento e sostanze chimiche.
Energia elettromagnetica. Campi elettrici e magnetici, raggi X e raggi gamma sono tutte manifestazioni dell'elettromagnetismo, ma sono spesso trattati separatamente in quanto si incontrano in circostanze piuttosto diverse. Tuttavia, i pericoli dell'elettromagnetismo hanno alcuni tratti generali: i campi e le radiazioni penetrano nei corpi umani invece di entrare in contatto solo con l'area di applicazione e non possono essere rilevati direttamente, sebbene intensità molto elevate causino il riscaldamento delle parti del corpo interessate. I campi magnetici sono creati dal flusso di corrente elettrica e campi magnetici intensi si trovano in prossimità di grandi motori elettrici, attrezzature per la saldatura ad arco elettrico, apparecchi per l'elettrolisi, lavori in metallo e così via. I campi elettrici accompagnano la tensione elettrica, e anche le normali tensioni di rete da 200 a 300 volt provocano l'accumulo di sporcizia per diversi anni, segno visibile dell'esistenza del campo, effetto noto anche in relazione a linee elettriche ad alta tensione, cinescopi televisivi , monitor di computer e così via.
I campi elettromagnetici si trovano per lo più piuttosto vicini alle loro sorgenti, ma elettromagnetici radiazione è un viaggiatore a lunga distanza, come esemplificano i radar e le onde radio. La radiazione elettromagnetica viene diffusa, riflessa e smorzata mentre attraversa lo spazio e incontra oggetti, superfici, sostanze e atmosfere diverse e simili; la sua intensità è quindi ridotta in diversi modi.
Le caratteristiche generali delle fonti di pericolo elettromagnetico (EM) sono:
Radiazione nucleare. I pericoli associati alle radiazioni nucleari sono di particolare interesse per i lavoratori delle centrali nucleari e degli impianti che lavorano con materiali nucleari come la produzione di combustibili e il ritrattamento, il trasporto e lo stoccaggio di materiale radioattivo. Le sorgenti di radiazioni nucleari sono utilizzate anche in medicina e da alcune industrie per la misurazione e il controllo. Un utilizzo più comune è negli allarmi antincendio/rilevatori di fumo, che utilizzano un emettitore di particelle alfa come l'americio per monitorare l'atmosfera.
I rischi nucleari sono principalmente incentrati su cinque fattori:
I pericoli derivano dal radioattivo processi di fissione nucleare e decadimento di materiali radioattivi. Questo tipo di radiazione viene emessa dai processi del reattore, dal combustibile del reattore, dal materiale moderatore del reattore, dai prodotti di fissione gassosi che possono essere sviluppati e da alcuni materiali da costruzione che vengono attivati dall'esposizione alle emissioni radioattive derivanti dal funzionamento del reattore.
Altri agenti di rischio. Altre classi di agenti di rischio che rilasciano o emettono energia includono:
Attivazione dei rischi hardware
Entrambi improvviso e graduale il passaggio dalla condizione controllata - o "sicura" - a una condizione di maggiore pericolo può avvenire attraverso le seguenti circostanze, che possono essere controllate attraverso mezzi organizzativi appropriati come l'esperienza dell'utente, l'istruzione, le competenze, la sorveglianza e il test delle apparecchiature:
Poiché operazioni corrette non possono compensare in modo affidabile una progettazione e un'installazione improprie, è importante considerare l'intero processo, dalla selezione e progettazione fino all'installazione, all'uso, alla manutenzione e al collaudo, al fine di valutare lo stato e le condizioni effettive dell'articolo hardware.
Caso di pericolo: il serbatoio del gas pressurizzato
Il gas può essere contenuto in contenitori adatti per lo stoccaggio o il trasporto, come le bombole di gas e ossigeno utilizzate dai saldatori. Spesso il gas viene movimentato ad alta pressione, consentendo un notevole aumento della capacità di stoccaggio, ma con un maggior rischio di incidenti. Il fenomeno accidentale chiave nello stoccaggio di gas in pressione è la creazione improvvisa di un foro nel serbatoio, con questi risultati:
Lo sviluppo di un tale incidente dipende da questi fattori:
Il contenuto del serbatoio può essere rilasciato quasi immediatamente o per un periodo di tempo e comportare diversi scenari, dall'esplosione di gas libero da un serbatoio rotto, a rilasci moderati e piuttosto lenti da piccole forature.
Il comportamento di vari gas in caso di perdita
Quando si sviluppano modelli di calcolo del rilascio, è molto importante determinare le seguenti condizioni che influenzano il potenziale comportamento del sistema:
I calcoli esatti relativi a un processo di rilascio in cui il gas liquefatto fuoriesce da un foro sotto forma di getto e poi evapora (o, in alternativa, diventa prima una nebbia di goccioline) sono difficili. Anche la specificazione della successiva dispersione delle nubi risultanti è un problema difficile. Occorre considerare i movimenti e la dispersione dei rilasci di gas, se il gas forma nubi visibili o invisibili e se il gas sale o rimane a livello del suolo.
Mentre l'idrogeno è un gas leggero rispetto a qualsiasi atmosfera, il gas di ammoniaca (NH3, con un peso molecolare di 17.0) salirà in una normale atmosfera di ossigeno-azoto simile all'aria alla stessa temperatura e pressione. Cloro (cl2, con un peso molecolare di 70.9) e butano (C4H10, mol. wt.58) sono esempi di sostanze chimiche le cui fasi gassose sono più dense dell'aria, anche a temperatura ambiente. Acetilene (c2H2, mol. peso. 26.0) ha una densità di circa 0.90g/l, prossima a quella dell'aria (1.0g/l), il che significa che in un ambiente di lavoro il gas di saldatura fuoriuscito non avrà una marcata tendenza a fluttuare verso l'alto o ad affondare verso il basso; quindi può mescolarsi facilmente con l'atmosfera.
Ma l'ammoniaca rilasciata da un recipiente a pressione come liquido inizialmente si raffredderà a causa della sua evaporazione e potrebbe quindi fuoriuscire attraverso diversi passaggi:
Anche una nuvola di gas leggero potrebbe non sollevarsi immediatamente da un rilascio di gas liquido; può prima formare una nebbia - una nuvola di goccioline - e rimanere vicino al suolo. Il movimento della nube di gas e la sua graduale miscelazione/diluizione con l'atmosfera circostante dipende dai parametri meteorologici e dall'ambiente circostante: area chiusa, area aperta, case, traffico, presenza di pubblico, lavoratori e così via.
Guasto del serbatoio
Le conseguenze del guasto del serbatoio possono comportare incendio ed esplosione, asfissia, avvelenamento e soffocamento, come dimostra l'esperienza con i sistemi di produzione e trattamento del gas (propano, metano, azoto, idrogeno, ecc.), con i serbatoi di ammoniaca o cloro e con la saldatura a gas ( utilizzando acetilene e ossigeno). Ciò che effettivamente avvia la formazione di un buco in un serbatoio ha una forte influenza sul "comportamento" del buco - che a sua volta influenza il deflusso del gas - ed è cruciale per l'efficacia degli sforzi di prevenzione. Un recipiente a pressione è progettato e costruito per resistere a determinate condizioni di utilizzo e impatto ambientale e per gestire un determinato gas, o forse una scelta di gas. Le effettive capacità di un serbatoio dipendono dalla sua forma, dai materiali, dalle saldature, dalla protezione, dall'uso e dal clima; pertanto, la valutazione della sua adeguatezza come contenitore per gas pericolosi deve tenere conto delle specifiche del progettista, della storia del serbatoio, delle ispezioni e dei test. Le aree critiche includono i cordoni di saldatura utilizzati sulla maggior parte dei recipienti a pressione; i punti di collegamento alla nave di pertinenze quali prese, prese, sostegni e strumenti; le estremità piatte di serbatoi cilindrici come i serbatoi ferroviari; e altri aspetti di forme geometriche ancora meno ottimali.
I cordoni di saldatura vengono esaminati visivamente, mediante raggi X o mediante test distruttivi di campioni, poiché questi possono rivelare difetti locali, ad esempio sotto forma di resistenza ridotta che potrebbe mettere in pericolo la resistenza complessiva della nave, o addirittura essere un punto di innesco per il serbatoio acuto fallimento.
La robustezza del serbatoio è influenzata dalla storia di utilizzo del serbatoio, in primo luogo dai normali processi di usura e dai graffi e dagli attacchi di corrosione tipici del particolare settore e dell'applicazione. Altri parametri storici di particolare interesse includono:
Il materiale di costruzione - lamiera di acciaio, lamiera di alluminio, calcestruzzo per applicazioni non pressurizzate e così via - può subire deterioramenti a causa di queste influenze in modi che non è sempre possibile controllare senza sovraccaricare o distruggere l'apparecchiatura durante il collaudo.
Caso di incidente: Flixborough
L'esplosione di una grande nube di cicloesano a Flixborough (Regno Unito) nel 1974, che uccise 28 persone e causò ingenti danni alle piante, costituisce un caso molto istruttivo. L'evento scatenante è stata la rottura di una tubazione temporanea che fungeva da sostituto in un'unità reattore. L'incidente è stato "causato" dalla rottura di un pezzo di ferramenta, ma a un'indagine più attenta è emerso che il guasto è stato causato da un sovraccarico e che la costruzione temporanea era in realtà inadeguata per l'uso previsto. Dopo due mesi di servizio, il tubo è stato esposto a forze di flessione dovute a un leggero aumento di pressione dei 10 bar (106 Pa) contenuto di cicloesano a circa 150°C. I due soffietti tra il tubo ei reattori vicini si sono rotti e sono state rilasciate da 30 a 50 tonnellate di cicloesano che sono state presto incendiate, probabilmente da una fornace a una certa distanza dalla perdita. (Vedi figura 1.) Un resoconto molto leggibile del caso si trova in Kletz (1988).
Figura 1. Connessione temporanea tra serbatoi a Flixborough
Hazard Analysis
I metodi che sono stati sviluppati per trovare i rischi che possono essere rilevanti per un'apparecchiatura, per un processo chimico o per una determinata operazione sono indicati come "analisi dei rischi". Questi metodi pongono domande come: "Cosa potrebbe andare storto?" "Potrebbe essere grave?" e "Cosa si può fare al riguardo?" Diversi metodi di conduzione delle analisi sono spesso combinati per ottenere una copertura ragionevole, ma nessuno di questi set può fare di più che guidare o assistere un gruppo di analisti intelligenti nelle loro determinazioni. Le principali difficoltà con l'analisi dei pericoli sono le seguenti:
Per produrre valutazioni del rischio utilizzabili in queste circostanze è importante definire rigorosamente l'ambito e il livello di "ambizione" appropriato all'analisi in questione; ad esempio, è chiaro che non è necessario lo stesso tipo di informazioni per scopi assicurativi come per scopi di progettazione, o per la pianificazione di schemi di protezione e la costruzione di dispositivi di emergenza. In generale, il quadro di rischio deve essere compilato mescolando tecniche empiriche (cioè statistiche) con ragionamento deduttivo e immaginazione creativa.
Diversi strumenti di valutazione del rischio, anche programmi per computer per l'analisi del rischio, possono essere molto utili. Lo studio dei pericoli e dell'operabilità (HAZOP) e l'analisi delle modalità e degli effetti dei guasti (FMEA) sono metodi comunemente usati per indagare sui pericoli, specialmente nell'industria chimica. Il punto di partenza del metodo HAZOP è la tracciatura di possibili scenari di rischio sulla base di un insieme di parole guida; per ogni scenario si devono identificare probabili cause e conseguenze. Nella seconda fase, si cerca di trovare mezzi per ridurre le probabilità o mitigare le conseguenze di quegli scenari giudicati inaccettabili. Una revisione del metodo HAZOP può essere trovata in Charsley (1995). Il metodo FMEA pone una serie di domande "what if" per ogni possibile componente di rischio al fine di determinare accuratamente quali modalità di errore possono esistere e quindi identificare gli effetti che possono avere sulle prestazioni del sistema; tale analisi sarà illustrata nell'esempio dimostrativo (per un sistema a gas) presentato più avanti in questo articolo.
Alberi di guasto e gli alberi degli eventi e le modalità di analisi logica proprie delle strutture di causalità degli incidenti e del ragionamento probabilistico non sono in alcun modo specifici dell'analisi dei pericoli hardware, in quanto sono strumenti generali per la valutazione dei rischi del sistema.
Tracciamento dei rischi hardware in un impianto industriale
Per identificare possibili pericoli, informazioni sulla costruzione e sul funzionamento possono essere ricercate da:
Selezionando e digerendo tali informazioni, gli analisti formano un'immagine dell'oggetto di rischio stesso, delle sue funzioni e del suo effettivo utilizzo. Dove le cose non sono ancora costruite - o non sono disponibili per l'ispezione - non possono essere fatte osservazioni importanti e la valutazione deve basarsi interamente su descrizioni, intenzioni e progetti. Tale valutazione potrebbe sembrare piuttosto scadente, ma in realtà la maggior parte delle valutazioni pratiche del rischio viene effettuata in questo modo, sia per ottenere l'approvazione autorevole per le domande di intraprendere nuove costruzioni, sia per confrontare la relativa sicurezza di soluzioni progettuali alternative. I processi di vita reale saranno consultati per le informazioni non mostrate nei diagrammi formali o descritte verbalmente da interviste e per verificare che le informazioni raccolte da queste fonti siano fattuali e rappresentino condizioni reali. Questi includono quanto segue:
La maggior parte di queste informazioni aggiuntive, in particolare i percorsi nascosti, è rilevabile solo da osservatori creativi e qualificati con una notevole esperienza, e alcune delle informazioni sarebbero quasi impossibili da tracciare con mappe e diagrammi. Percorsi furtivi denotano interazioni non intenzionali e impreviste tra sistemi, in cui il funzionamento di un sistema influenza la condizione o il funzionamento di un altro sistema attraverso modi diversi da quelli funzionali. Ciò accade in genere quando parti funzionalmente diverse sono situate l'una vicino all'altra o (ad esempio) una sostanza che perde gocciola sull'apparecchiatura sottostante e provoca un guasto. Un'altra modalità di azione di un percorso invisibile può comportare l'introduzione di sostanze o parti sbagliate in un sistema per mezzo di strumenti o strumenti durante il funzionamento o la manutenzione: le strutture previste e le loro funzioni previste vengono modificate attraverso i percorsi nascosti. Di guasti di modo comune uno significa che determinate condizioni, come allagamenti, fulmini o interruzioni di corrente, possono disturbare più sistemi contemporaneamente, portando forse a blackout o incidenti inaspettatamente estesi. In generale, si cerca di evitare effetti di percorso nascosto e guasti di modo comune attraverso layout adeguati e introducendo distanza, isolamento e diversità nelle operazioni di lavoro.
Un caso di analisi dei rischi: consegna di gas da una nave a un serbatoio
La figura 2 mostra un sistema per la consegna di gas da una nave da trasporto a un serbatoio di stoccaggio. Una perdita potrebbe apparire ovunque in questo sistema: nave, linea di trasmissione, serbatoio o linea di uscita; dati i due invasi del serbatoio, una perdita da qualche parte sulla linea potrebbe rimanere attiva per ore.
Figura 2. Linea di trasmissione per la consegna di gas liquido dalla nave al serbatoio di stoccaggio
I componenti più critici del sistema sono i seguenti:
Un serbatoio di stoccaggio con un grande inventario di gas liquido è posto in cima a questo elenco, perché è difficile fermare una perdita da un serbatoio con breve preavviso. Il secondo elemento dell'elenco - il collegamento alla nave - è fondamentale perché le perdite nel tubo o nel tubo flessibile e le connessioni allentate o gli accoppiamenti con guarnizioni usurate e le variazioni tra le diverse navi potrebbero rilasciare il prodotto. Le parti flessibili come tubi flessibili e soffietti sono più critiche delle parti rigide e richiedono manutenzione e ispezione regolari. I dispositivi di sicurezza come la valvola di rilascio della pressione sulla parte superiore del serbatoio e le due valvole di arresto di emergenza sono fondamentali, poiché devono essere utilizzati per rivelare guasti latenti o in via di sviluppo.
Fino a questo punto, la classifica dei componenti del sistema per quanto riguarda la loro importanza rispetto all'affidabilità è stata solo di carattere generale. Ora, per scopi analitici, si attirerà l'attenzione sulle funzioni particolari del sistema, la principale essendo ovviamente il movimento del gas liquefatto dalla nave al serbatoio di stoccaggio fino a quando il serbatoio della nave collegato è vuoto. Il pericolo prevalente è una fuga di gas, i possibili meccanismi contributivi sono uno o più dei seguenti:
Applicazione del metodo FMEA
L'idea centrale dell'approccio FMEA, o analisi "what if", è registrare esplicitamente, per ogni componente del sistema, le sue modalità di guasto, e per ogni guasto trovare le possibili conseguenze per il sistema e per l'ambiente. Per i componenti standard come un serbatoio, un tubo, una valvola, una pompa, un flussometro e così via, le modalità di guasto seguono schemi generali. Nel caso di una valvola, ad esempio, le modalità di guasto potrebbero includere le seguenti condizioni:
Per una pipeline, le modalità di errore considererebbero elementi come:
Gli effetti delle perdite sembrano evidenti, ma a volte gli effetti più importanti potrebbero non essere i primi effetti: cosa succede, ad esempio, se una valvola è bloccata in una posizione semiaperta? Una valvola di intercettazione sulla linea di mandata che non si apre completamente su richiesta ritarderà il processo di riempimento del serbatoio, una conseguenza non pericolosa. Tuttavia, se la condizione di "blocco semiaperto" si verifica contemporaneamente a una richiesta di chiusura, in un momento in cui il serbatoio è quasi pieno, potrebbe verificarsi un riempimento eccessivo (a meno che la valvola di arresto di emergenza non venga attivata con successo). In un sistema progettato e gestito correttamente, la probabilità che entrambe queste valvole siano bloccate contemporaneamente sarà mantenuto piuttosto basso.
Chiaramente una valvola di sicurezza che non funziona su richiesta potrebbe significare un disastro; infatti, si potrebbe legittimamente affermare che i guasti latenti minacciano costantemente tutti i dispositivi di sicurezza. Le valvole limitatrici di pressione, ad esempio, possono essere difettose a causa di corrosione, sporco o vernice (tipicamente a causa di una cattiva manutenzione) e, nel caso di gas liquido, tali difetti in combinazione con la diminuzione della temperatura in caso di fuga di gas potrebbero produrre ghiaccio e quindi ridurre o forse arrestare il flusso di materiale attraverso una valvola di sicurezza. Se una valvola limitatrice di pressione non funziona su richiesta, la pressione può accumularsi in un serbatoio o nei sistemi di serbatoi collegati, provocando infine altre perdite o la rottura del serbatoio.
Per semplicità, gli strumenti non sono mostrati in figura 2; non mancheranno ovviamente gli strumenti relativi a pressione, flusso e temperatura, che sono parametri essenziali per il monitoraggio dello stato del sistema, i relativi segnali vengono trasmessi alle console operatore o ad una sala di controllo per scopi di controllo e monitoraggio. Inoltre, saranno previste linee di alimentazione diverse da quelle destinate al trasporto dei materiali - per l'energia elettrica, idraulica e così via - e ulteriori dispositivi di sicurezza. Un'analisi completa deve passare anche attraverso questi sistemi e cercare le modalità di guasto e anche gli effetti di questi componenti. In particolare, il lavoro di investigazione sugli effetti di modo comune e sui percorsi furtivi richiede di costruire il quadro integrale dei principali componenti del sistema, controlli, strumenti, forniture, operatori, orari di lavoro, manutenzione e così via.
Esempi di effetti di modo comune da considerare in relazione ai sistemi a gas sono affrontati da domande come queste:
Anche un impianto ottimamente progettato con ridondanza e linee di alimentazione indipendenti può soffrire di una manutenzione inferiore, dove, ad esempio, una valvola e la sua valvola di riserva (nel nostro caso la valvola di arresto di emergenza) sono state lasciate in uno stato errato dopo un test. Un importante effetto di modo comune con un sistema di gestione dell'ammoniaca è la situazione di perdita stessa: una perdita moderata può rendere tutte le operazioni manuali sui componenti dell'impianto piuttosto scomode - e ritardate - a causa dell'implementazione della necessaria protezione di emergenza.
In breve
I componenti hardware sono molto raramente le parti colpevoli nello sviluppo di incidenti; anzi, ci sono cause profonde da ricercare in altri anelli della catena: concetti sbagliati, cattiva progettazione, errori di manutenzione, errori di operatore, errori di gestione e così via. Sono già stati forniti diversi esempi delle condizioni e degli atti specifici che possono portare al fallimento dello sviluppo; un'ampia raccolta di tali agenti terrebbe conto di quanto segue:
Il controllo dei rischi hardware in un ambiente di lavoro richiede la revisione di tutte le possibili cause e il rispetto delle condizioni che risultano essere critiche con i sistemi reali. Le implicazioni di ciò per l'organizzazione dei programmi di gestione del rischio sono trattate in altri articoli, ma, come indica chiaramente l'elenco precedente, il monitoraggio e il controllo delle condizioni dell'hardware possono essere necessari fino alla scelta dei concetti e dei progetti per il sistemi e processi selezionati.
Attraverso l'industrializzazione, i lavoratori si sono organizzati nelle fabbriche quando è diventato possibile l'utilizzo di fonti energetiche come il motore a vapore. Rispetto all'artigianato tradizionale, la produzione meccanizzata, con maggiori fonti di energia a disposizione, presentava nuovi rischi di incidenti. Con l'aumentare della quantità di energia, i lavoratori sono stati rimossi dal controllo diretto di queste energie. Le decisioni che influivano sulla sicurezza venivano spesso prese a livello dirigenziale piuttosto che da coloro che erano direttamente esposti a questi rischi. In questa fase dell'industrializzazione, è diventata evidente la necessità di una gestione della sicurezza.
Alla fine degli anni '1920, Heinrich formulò il primo quadro teorico completo per la gestione della sicurezza, secondo il quale la sicurezza doveva essere ricercata attraverso decisioni di gestione basate sull'identificazione e l'analisi delle cause degli incidenti. A questo punto dello sviluppo della gestione della sicurezza, gli incidenti sono stati attribuiti a guasti a livello di sistema lavoratore-macchina, ovvero ad azioni e condizioni non sicure.
Successivamente sono state sviluppate diverse metodologie per l'identificazione e la valutazione dei rischi infortunistici. Con MORT (Management Oversight and Risk Tree), l'attenzione si è spostata sugli ordini superiori di controllo dei rischi infortunistici, ovvero sul controllo delle condizioni a livello gestionale. L'iniziativa di sviluppare il MORT è stata presa alla fine degli anni '1960 dall'Amministrazione statunitense per la ricerca e lo sviluppo dell'energia, che desiderava migliorare i propri programmi di sicurezza per ridurre le perdite dovute agli incidenti.
Il diagramma MORT ei principi sottostanti
L'intento di MORT era quello di formulare un sistema di gestione della sicurezza ideale basato su una sintesi dei migliori elementi del programma di sicurezza e tecniche di gestione della sicurezza allora disponibili. Poiché i principi alla base dell'iniziativa MORT sono stati applicati allo stato dell'arte contemporaneo nella gestione della sicurezza, la letteratura e le competenze sulla sicurezza in gran parte non strutturate hanno assunto la forma di un albero analitico. La prima versione dell'albero è stata pubblicata nel 1971. La figura 1 mostra gli elementi di base della versione dell'albero che è stata pubblicata da Johnson nel 1980. L'albero appare anche in forma modificata in successive pubblicazioni sul tema del concetto MORT ( si veda, ad esempio, Knox e Eicher 1992).
Figura 1. Una versione dell'albero analitico MORT
Il diagramma MORT
MORT è utilizzato come strumento pratico nelle indagini sugli incidenti e nelle valutazioni dei programmi di sicurezza esistenti. L'evento superiore dell'albero nella figura 1 (Johnson 1980) rappresenta le perdite (subite o potenziali) dovute a un incidente. Al di sotto di questo evento principale ci sono tre rami principali: sviste e omissioni specifiche (S), sviste e omissioni da parte della direzione (M) e rischi assunti (R). Il R-ramo consiste in rischi assunti, che sono eventi e condizioni noti alla direzione e che sono stati valutati e accettati al livello di direzione appropriato. Altri eventi e condizioni che vengono rivelati attraverso le valutazioni successive ai rami S e M sono indicati come "meno che adeguati" (LTA).
Il Marketplace per le Ramo a S si concentra sugli eventi e le condizioni dell'evento reale o potenziale. (In generale, il tempo è mostrato leggendo da sinistra a destra, e la sequenza delle cause è mostrata leggendo dal basso verso l'alto.) Le strategie di Haddon (1980) per la prevenzione degli incidenti sono elementi chiave in questo ramo. Un evento è definito incidente quando un bersaglio (una persona o un oggetto) è esposto a un trasferimento incontrollato di energia e subisce danni. Nel ramo S del MORT, gli incidenti vengono prevenuti attraverso barriere. Esistono tre tipi fondamentali di barriere: (1) barriere che circondano e confinano la fonte di energia (il pericolo), (2) barriere che proteggono il bersaglio e (3) barriere che separano il pericolo e il bersaglio fisicamente o nel tempo o nello spazio . Queste diverse tipologie di barriere si riscontrano nello sviluppo delle diramazioni al di sotto dell'evento accidentale. Il miglioramento si riferisce alle azioni intraprese dopo l'incidente per limitare le perdite.
Al livello successivo del ramo S, vengono riconosciuti i fattori che si riferiscono alle diverse fasi del ciclo di vita di un sistema industriale. Queste sono la fase del progetto (progettazione e pianificazione), l'avvio (prontezza operativa) e il funzionamento (supervisione e manutenzione).
Il Marketplace per le Ramo M supporta un processo in cui i risultati specifici di un'indagine sugli incidenti o di una valutazione del programma di sicurezza vengono resi più generali. Gli eventi e le condizioni del ramo S hanno quindi spesso le loro controparti nel ramo M. Quando è impegnato con il sistema nel ramo M, il pensiero dell'analista si espande al sistema di gestione totale. Pertanto, qualsiasi raccomandazione influirà anche su molti altri possibili scenari di incidente. Le più importanti funzioni di gestione della sicurezza si trovano nel ramo M: impostazione della politica, attuazione e follow-up. Sono gli stessi elementi di base che ritroviamo nei principi di garanzia della qualità della serie ISO 9000 pubblicati dall'Organizzazione Internazionale per la Standardizzazione (ISO).
Quando i rami del diagramma MORT vengono elaborati in dettaglio, ci sono elementi provenienti da campi così diversi come l'analisi del rischio, l'analisi dei fattori umani, i sistemi informativi di sicurezza e l'analisi organizzativa. In totale, il diagramma MORT copre circa 1,500 eventi di base.
Applicazione del Diagramma MORT
Come indicato, il diagramma MORT ha due utilizzi immediati (Knox e Eicher 1992): (1) per analizzare i fattori gestionali e organizzativi relativi ad un incidente avvenuto e (2) per valutare o verificare un programma di sicurezza in relazione ad un incidente rilevante che ha il potenziale per verificarsi. Il diagramma MORT funge da strumento di screening nella pianificazione delle analisi e delle valutazioni. Viene anche utilizzato come lista di controllo per il confronto delle condizioni reali con il sistema idealizzato. In questa applicazione, MORT facilita il controllo della completezza dell'analisi ed evita pregiudizi personali.
In fondo, MORT è costituito da una raccolta di domande. Da queste domande derivano i criteri che guidano i giudizi sul fatto che specifici eventi e condizioni siano soddisfacenti o meno che adeguati. Nonostante il disegno direttivo delle domande, i giudizi espressi dall'analista sono in parte soggettivi. Diventa quindi importante garantire un'adeguata qualità e grado di intersoggettività tra le analisi MORT effettuate da diversi analisti. Ad esempio, negli Stati Uniti è disponibile un programma di formazione per la certificazione degli analisti MORT.
Esperienze con MORT
La letteratura sulle valutazioni del MORT è scarsa. Johnson riporta miglioramenti significativi nella completezza delle indagini sugli incidenti dopo l'introduzione del MORT (Johnson 1980). Le carenze a livello di supervisione e gestione sono state rilevate in modo più sistematico. L'esperienza è stata acquisita anche dalle valutazioni delle applicazioni MORT all'interno dell'industria finlandese (Ruuhilehto 1993). Alcune limitazioni sono state identificate negli studi finlandesi. MORT non supporta l'identificazione di rischi immediati dovuti a guasti e disturbi. Inoltre, nel concetto MORT non è integrata alcuna capacità di stabilire priorità. Di conseguenza, i risultati delle analisi MORT necessitano di un'ulteriore valutazione per tradurli in azioni correttive. Infine, l'esperienza dimostra che il MORT richiede tempo e la partecipazione di esperti.
Oltre alla capacità di concentrarsi sui fattori organizzativi e gestionali, MORT ha l'ulteriore vantaggio di collegare la sicurezza con le normali attività produttive e la gestione generale. L'applicazione del MORT supporterà quindi la pianificazione e il controllo generale e contribuirà anche a ridurre la frequenza dei disturbi della produzione.
Metodi e tecniche di gestione della sicurezza associati
Con l'introduzione del concetto MORT nei primi anni '1970, negli Stati Uniti è iniziato un programma di sviluppo. Il punto focale di questo programma è stato il System Safety Development Center di Idaho Falls. Da questo programma sono scaturiti diversi metodi e tecniche associati al MORT in settori quali l'analisi dei fattori umani, i sistemi informativi sulla sicurezza e l'analisi della sicurezza. Un primo esempio di un metodo derivante dal programma di sviluppo del MORT è l'Operational Readiness Program (Nertney 1975). Questo programma viene introdotto durante lo sviluppo di nuovi sistemi industriali e modifiche di quelli esistenti. L'obiettivo è garantire che, dal punto di vista della gestione della sicurezza, il sistema nuovo o modificato sia pronto al momento dell'avvio. Una condizione di prontezza operativa presuppone che le necessarie barriere e controlli siano stati installati nell'hardware, nel personale e nelle procedure del nuovo sistema. Un altro esempio di un elemento del programma MORT è l'analisi della causa principale basata su MORT (Cornelison 1989). Viene utilizzato per identificare i problemi di gestione della sicurezza di base di un'organizzazione. Questo viene fatto mettendo in relazione i risultati specifici delle analisi MORT a 27 diversi problemi generici di gestione della sicurezza.
Sebbene il MORT non sia destinato all'uso diretto nella raccolta di informazioni durante le indagini sugli incidenti e gli audit di sicurezza, in Scandinavia le domande MORT sono servite come base per lo sviluppo di uno strumento diagnostico utilizzato a tale scopo. Si chiama Safety Management and Organization Review Technique, o SMORT (Kjellén e Tinmannsvik 1989). Un'analisi SMORT procede all'indietro per gradi, partendo dalla situazione specifica e terminando a livello di gestione generale. Il punto di partenza (livello 1) è una sequenza di incidente o una situazione di rischio. Al livello 2, vengono esaminati l'organizzazione, la pianificazione del sistema e i fattori tecnici relativi al funzionamento quotidiano. I livelli successivi comprendono la progettazione di nuovi sistemi (livello 3) e le funzioni gestionali superiori (livello 4). I risultati su un livello sono estesi ai livelli superiori. Ad esempio, i risultati relativi alla sequenza dell'incidente e alle operazioni quotidiane sono utilizzati nell'analisi dell'organizzazione e delle routine dell'azienda per il lavoro a progetto (livello 3). I risultati al livello 3 non influenzeranno la sicurezza nelle operazioni esistenti ma possono essere applicati alla pianificazione di nuovi sistemi e modifiche. SMORT differisce da MORT anche nel modo in cui vengono identificati i reperti. Al livello 1, si tratta di eventi e condizioni osservabili che si discostano dalle norme generalmente accettate. Quando i fattori organizzativi e gestionali vengono inseriti nell'analisi ai livelli da 2 a 4, i risultati vengono identificati attraverso giudizi di valore formulati da un gruppo di analisi e verificati attraverso una procedura di controllo della qualità. L'obiettivo è quello di garantire una comprensione reciprocamente condivisa dei problemi organizzativi.
In breve
Il MORT è stato determinante negli sviluppi nella gestione della sicurezza sin dagli anni '1970. È possibile tracciare l'influenza del MORT in aree come la letteratura sulla ricerca sulla sicurezza, la letteratura sulla gestione della sicurezza e gli strumenti di audit e la legislazione sull'autoregolamentazione e il controllo interno. Nonostante questo impatto, i suoi limiti devono essere attentamente considerati. Il MORT ei metodi associati sono normativi nel senso che prescrivono come devono essere organizzati ed eseguiti i programmi di gestione della sicurezza. L'ideale è un'organizzazione ben strutturata con obiettivi chiari e realistici e linee di responsabilità e autorità ben definite. MORT è quindi più adatto per organizzazioni grandi e burocratiche.
Sistemi di Ispezione
L'auditing è stato definito come “il processo strutturato di raccolta di informazioni indipendenti sull'efficienza, l'efficacia e l'affidabilità del sistema di gestione totale della sicurezza e di elaborazione di piani per azioni correttive” (Successful Health & Safety Management 1991).
L'ispezione sul posto di lavoro quindi non è solo la fase finale nella creazione di un programma di gestione della sicurezza, ma è anche un processo continuo nel suo mantenimento. Può essere condotto solo dove è stato istituito un sistema di gestione della sicurezza adeguatamente concepito. Tale sistema prevede innanzitutto una dichiarazione politica formale da parte della direzione che definisca i suoi principi per la creazione di un ambiente di lavoro sano e sicuro e quindi stabilisca i meccanismi e le strutture all'interno dell'organizzazione per mezzo dei quali questi principi saranno effettivamente implementati. Il management deve inoltre impegnarsi a fornire risorse adeguate, sia umane che finanziarie, a supporto dei meccanismi e delle strutture del sistema. Successivamente, ci deve essere una pianificazione dettagliata per la sicurezza e la salute e la definizione di obiettivi misurabili. Devono essere ideati sistemi per garantire che le prestazioni di sicurezza e salute nella pratica possano essere misurate rispetto a norme stabilite e rispetto a risultati precedenti. Solo quando questa struttura è in atto ed è operativa può essere applicato un efficace sistema di controllo di gestione.
Sistemi completi di gestione della sicurezza e della salute possono essere concepiti, prodotti e implementati dalle risorse delle imprese più grandi. Inoltre, esistono numerosi sistemi di controllo della gestione della sicurezza che sono disponibili presso consulenti, compagnie assicurative, agenzie governative, associazioni e società specializzate. Spetta all'impresa decidere se produrre il proprio sistema o avvalersi di servizi esterni. Entrambe le alternative sono in grado di produrre ottimi risultati se c'è un genuino impegno da parte del management ad applicarle diligentemente ea farle funzionare. Ma per il loro successo, dipendono fortemente dalla qualità del sistema di audit.
Ispezioni di gestione
La procedura di ispezione deve essere scrupolosa e obiettiva come l'ispezione finanziaria della società. L'ispezione deve innanzitutto verificare se la dichiarazione di politica aziendale in materia di sicurezza e salute trova adeguato riscontro nelle strutture e nei meccanismi creati per attuarla; in caso contrario, l'ispezione può raccomandare che la politica fondamentale venga rivalutata o suggerire aggiustamenti o modifiche alle strutture e ai meccanismi esistenti. Un processo simile deve essere applicato alla pianificazione della sicurezza e della salute, alla validità delle norme di definizione degli obiettivi e alla misurazione delle prestazioni. I risultati di qualsiasi ispezione devono essere presi in considerazione dall'alta direzione dell'impresa e qualsiasi correzione deve essere approvata e attuata attraverso tale autorità.
In pratica è indesiderabile, e spesso poco pratico, intraprendere un'ispezione completa di tutte le caratteristiche di un sistema e della loro applicazione in ogni reparto dell'azienda in una sola volta. Più di solito, la procedura di ispezione si concentra su una caratteristica del sistema di gestione della sicurezza totale in tutto l'impianto o, in alternativa, sull'applicazione di tutte le caratteristiche in un reparto o anche sottoreparto. Ma l'obiettivo è quello di coprire tutte le funzionalità in tutti i reparti per un periodo concordato al fine di convalidare i risultati.
In tal senso, l'ispezione della direzione dovrebbe essere considerata come un processo continuo di vigilanza. La necessità di obiettività è chiaramente di notevole importanza. Se le ispezioni vengono condotte internamente, deve esistere una procedura di ispezione standardizzata; le ispezioni dovrebbero essere effettuate da personale adeguatamente formato a tal fine; e quelli selezionati come ispettori non devono valutare i dipartimenti in cui lavorano normalmente, né devono valutare qualsiasi altro lavoro in cui hanno un coinvolgimento personale. Quando si fa affidamento sui consulenti, questo problema è ridotto al minimo.
Molte grandi aziende hanno adottato questo tipo di sistema, ideato internamente o ottenuto come schema proprietario. Quando i sistemi sono stati attentamente seguiti dalla dichiarazione politica all'ispezione, al feedback e alle azioni correttive, dovrebbero derivarne una sostanziale riduzione dei tassi di incidenti, che è la principale giustificazione della procedura, e un aumento della redditività, che è un gradito risultato secondario.
Ispezioni da parte degli ispettorati
Il quadro giuridico concepito per offrire protezione ai lavoratori deve essere adeguatamente amministrato ed efficacemente applicato se si vuole raggiungere lo scopo della normativa regolamentare. La maggior parte dei paesi ha quindi adottato il modello generale di un servizio di ispezione che ha il compito di garantire l'applicazione della legislazione in materia di sicurezza e salute. Molti paesi vedono le questioni relative alla sicurezza e alla salute come parte di un pacchetto completo sui rapporti di lavoro che copre le relazioni industriali, gli accordi salariali e di ferie e le prestazioni sociali. In questo modello, le ispezioni di sicurezza e salute sono un elemento delle funzioni dell'ispettore del lavoro. Esiste anche un diverso modello in cui l'ispettorato statale si occupa esclusivamente della legislazione in materia di sicurezza e salute, per cui le ispezioni sui luoghi di lavoro si concentrano esclusivamente su questo aspetto. Ulteriori variazioni sono evidenti nella divisione delle funzioni ispettive tra un ispettorato nazionale o un ispettorato regionale/provinciale, o addirittura, come in Italia e nel Regno Unito, ad esempio, come combinazione operativa di entrambi gli ispettorati nazionali e regionali. Ma qualunque sia il modello adottato, la funzione essenziale dell'ispettorato è quella di accertare il rispetto della normativa mediante un programma di ispezioni programmate e indagini sul luogo di lavoro.
Non può esistere un sistema di controllo efficace se coloro che intraprendono questo lavoro non sono dotati di poteri adeguati per svolgerlo. C'è molto terreno comune tra gli ispettorati per quanto riguarda i poteri loro conferiti dai rispettivi legislatori. Ci deve essere sempre il diritto di accesso ai locali, che è chiaramente fondamentale per l'ispezione. Successivamente vi è il diritto legale di esaminare documenti, registri e rapporti pertinenti, di intervistare membri della forza lavoro individualmente o collettivamente, di avere accesso illimitato ai rappresentanti sindacali sul posto di lavoro, di prelevare campioni di sostanze o materiali in uso sul posto di lavoro , scattare fotografie e, se del caso, raccogliere dichiarazioni scritte dalle persone che lavorano nei locali.
Sono spesso previsti poteri aggiuntivi per consentire agli ispettori di rettificare condizioni che potrebbero costituire una fonte immediata di pericolo o di malattia per la forza lavoro. Ancora una volta c'è un'ampia varietà di pratiche. Laddove gli standard sono così scadenti che esiste un rischio imminente di pericolo per la forza lavoro, allora un ispettore può essere autorizzato a notificare un atto legale sul posto che vieta l'uso del macchinario o dell'impianto, o interrompe il processo fino a quando il rischio non è stato effettivamente risolto controllato. Per un ordine di rischio inferiore, gli ispettori possono emettere un avviso legale che richiede formalmente che siano prese misure entro un dato tempo per migliorare gli standard. Si tratta di modi efficaci per migliorare rapidamente le condizioni di lavoro e sono spesso una forma di esecuzione preferibile ai procedimenti giudiziari formali, che possono essere macchinosi e lenti nell'ottenere rimedi.
I procedimenti legali occupano un posto importante nella gerarchia dell'esecuzione. Si sostiene che, poiché i procedimenti giudiziari sono semplicemente punitivi e non comportano necessariamente un cambiamento degli atteggiamenti nei confronti della sicurezza e della salute sul lavoro, dovrebbero quindi essere invocati solo come ultima risorsa quando tutti gli altri tentativi di ottenere miglioramenti sono falliti. Ma questo punto di vista deve essere contrapposto al fatto che dove i requisiti legali sono stati ignorati o ignorati e dove la sicurezza e la salute delle persone sono state significativamente messe a rischio, allora la legge deve essere applicata ei tribunali devono decidere la questione. C'è l'ulteriore argomento che le imprese che non rispettano la legislazione sulla sicurezza e la salute possono in tal modo godere di un vantaggio economico rispetto ai loro concorrenti, che forniscono risorse adeguate per adempiere ai loro obblighi legali. Il perseguimento di coloro che ostinatamente non rispettano i propri doveri è quindi un deterrente per i senza scrupoli e un incoraggiamento per coloro che cercano di osservare la legge.
Ogni servizio di ispezione deve determinare il giusto equilibrio tra fornire consulenza e far rispettare la legge nel corso del lavoro di ispezione. Una particolare difficoltà emerge in relazione all'ispezione delle piccole imprese. Le economie locali, e in effetti le economie nazionali, sono spesso sostenute da stabilimenti industriali che impiegano ciascuno meno di 20 persone; nel caso dell'agricoltura, il dato di occupazione per unità è molto inferiore. La funzione dell'ispettorato in questi casi è quella di utilizzare l'ispezione sul posto di lavoro per fornire informazioni e consulenza non solo sui requisiti legali, ma anche sugli standard pratici e sui modi efficaci per soddisfare tali standard. La tecnica deve essere quella di incoraggiare e stimolare, piuttosto che applicare immediatamente la legge con un'azione punitiva. Ma anche qui l'equilibrio è difficile. I lavoratori hanno diritto a standard di sicurezza e salute indipendentemente dalle dimensioni dell'impresa, e sarebbe quindi del tutto fuorviante per un servizio di ispezione ignorare o minimizzare i rischi e limitare o addirittura rinunciare all'applicazione semplicemente per alimentare l'esistenza di persone economicamente fragili piccola impresa.
Coerenza delle ispezioni
In considerazione della natura complessa del loro lavoro - con le sue esigenze combinate di competenze legali, prudenziali, tecniche e scientifiche, gli ispettori non adottano - anzi non dovrebbero - adottare un approccio meccanicistico all'ispezione. Questo vincolo, combinato con un difficile equilibrio tra le funzioni consultive ed esecutive, crea ancora un'altra preoccupazione, quella della coerenza dei servizi ispettivi. Gli industriali ei sindacati hanno il diritto di aspettarsi un'applicazione coerente degli standard, sia tecnici che legali, da parte degli ispettori in tutto il paese. In pratica questo non è sempre facile da raggiungere, ma è qualcosa per cui le autorità esecutive devono sempre adoperarsi.
Ci sono modi per raggiungere una coerenza accettabile. In primo luogo, l'ispettorato dovrebbe essere il più aperto possibile nel pubblicare i suoi standard tecnici e nel definire pubblicamente le sue politiche di applicazione. In secondo luogo, attraverso la formazione, l'applicazione di esercizi di revisione tra pari e istruzioni interne, dovrebbe essere in grado sia di riconoscere un problema sia di fornire sistemi per affrontarlo. Infine, dovrebbe garantire l'esistenza di procedure che consentano all'industria, alla forza lavoro, al pubblico e alle parti sociali di ottenere un risarcimento in caso di legittimo reclamo per incoerenza o altre forme di cattiva amministrazione associate all'ispezione.
Frequenza delle ispezioni
Con quale frequenza gli ispettorati devono effettuare ispezioni sul posto di lavoro? Anche in questo caso vi è una notevole variazione nel modo in cui si può rispondere a questa domanda. L'Organizzazione internazionale del lavoro (ILO) ritiene che il requisito minimo dovrebbe essere che ogni posto di lavoro debba essere ispezionato dalle autorità preposte almeno una volta all'anno. In pratica, pochi paesi riescono a produrre un programma di ispezione del lavoro che soddisfi questo obiettivo. In effetti, dopo la grave depressione economica alla fine degli anni '1980, alcuni governi hanno ridotto i servizi di ispezione con limitazioni di bilancio che si traducono in tagli al numero di ispettori o con restrizioni sull'assunzione di nuovo personale per sostituire quelli che vanno in pensione.
Esistono diversi approcci per determinare la frequenza con cui devono essere effettuate le ispezioni. Un approccio è stato puramente ciclico. Le risorse vengono impiegate per fornire l'ispezione di tutti i locali su base biennale o, più probabilmente, quadriennale. Ma questo approccio, pur avendo forse l'apparenza di equità, tratta tutte le premesse come uguali indipendentemente dalle dimensioni o dal rischio. Eppure le imprese sono manifestamente diverse per quanto riguarda le condizioni di sicurezza e salute, e nella misura in cui differiscono, questo sistema può essere considerato meccanicistico e viziato.
Un approccio diverso, adottato da alcuni ispettorati, è stato quello di tentare di elaborare un programma di lavoro basato sulla pericolosità; quanto maggiore è il pericolo per la sicurezza o per la salute, tanto più frequente è l'ispezione. Quindi le risorse vengono applicate dall'ispettorato a quei luoghi in cui il potenziale di danno per la forza lavoro è maggiore. Sebbene questo approccio abbia dei meriti, ci sono ancora notevoli problemi ad esso associati. In primo luogo, ci sono difficoltà nel valutare accuratamente e obiettivamente il pericolo e il rischio. In secondo luogo, estende notevolmente gli intervalli tra le ispezioni di quei locali in cui i pericoli ei rischi sono considerati bassi. Pertanto, possono trascorrere periodi prolungati durante i quali molti membri della forza lavoro potrebbero dover rinunciare a quel senso di sicurezza e garanzia che l'ispezione può fornire. Inoltre, il sistema tende a presumere che pericoli e rischi, una volta valutati, non cambino radicalmente. Questo è tutt'altro che vero, e c'è il pericolo che un'impresa di basso livello possa modificare o sviluppare la sua produzione in modo tale da aumentare i pericoli e il rischio senza che l'ispettorato sia a conoscenza dello sviluppo.
Altri approcci includono ispezioni basate su tassi di infortuni all'impianto che sono superiori alle medie nazionali per il settore specifico o immediatamente dopo un infortunio mortale o una catastrofe grave. Non ci sono risposte brevi e facili al problema di determinare la frequenza delle ispezioni, ma ciò che sembra stia accadendo è che i servizi di ispezione in molti paesi sono troppo spesso significativamente a corto di risorse, con il risultato che la reale protezione della forza lavoro offerta da il servizio viene progressivamente eroso.
Obiettivi dell'ispezione
Le tecniche di ispezione sul posto di lavoro variano a seconda delle dimensioni e della complessità dell'impresa. Nelle aziende più piccole, l'ispezione sarà completa e valuterà tutti i pericoli e la misura in cui i rischi derivanti dai pericoli sono stati ridotti al minimo. L'ispezione garantirà quindi che il datore di lavoro sia pienamente consapevole dei problemi di sicurezza e salute e riceva indicazioni pratiche su come affrontarli. Ma anche nella più piccola impresa l'ispettorato non deve dare l'impressione che l'accertamento delle colpe e l'applicazione di opportuni rimedi siano di competenza dell'ispettorato e non del datore di lavoro. I datori di lavoro devono essere incoraggiati dall'ispezione a controllare e gestire efficacemente i problemi di sicurezza e salute, e non devono abdicare alle proprie responsabilità attendendo un'ispezione da parte delle autorità di contrasto prima di intraprendere le azioni necessarie.
Nelle aziende più grandi, l'importanza dell'ispezione è piuttosto diversa. Queste aziende hanno le risorse tecniche e finanziarie per affrontare i problemi di sicurezza e salute. Dovrebbero ideare sia sistemi di gestione efficaci per risolvere i problemi, sia procedure di gestione per verificare che i sistemi funzionino. In tali circostanze, l'enfasi ispettiva dovrebbe pertanto essere posta sulla verifica e sulla convalida dei sistemi di controllo di gestione presenti sul posto di lavoro. L'ispezione non dovrebbe quindi essere un esame esaustivo di tutti gli elementi di impianti e attrezzature per determinarne la sicurezza, ma piuttosto utilizzare esempi selezionati per testare l'efficacia o meno dei sistemi di gestione per garantire la sicurezza e la salute sul lavoro.
Coinvolgimento dei lavoratori nelle ispezioni
Qualunque sia la sede, un elemento critico in qualsiasi tipo di ispezione è il contatto con la forza lavoro. In molti locali più piccoli, potrebbe non esserci alcuna struttura sindacale formale o addirittura alcuna organizzazione della forza lavoro. Tuttavia, per garantire l'obiettività e l'accettazione del servizio di ispezione, il contatto con i singoli lavoratori dovrebbe essere parte integrante dell'ispezione. Nelle imprese più grandi, i contatti dovrebbero essere sempre presi con i sindacati o altri rappresentanti dei lavoratori riconosciuti. La legislazione di alcuni paesi (Svezia e Regno Unito, ad esempio) conferisce riconoscimento ufficiale e poteri ai rappresentanti sindacali per la sicurezza, compreso il diritto di effettuare ispezioni sul posto di lavoro, di indagare su incidenti ed eventi pericolosi e in alcuni paesi (sebbene ciò sia eccezionale) di arrestare i macchinari dell'impianto o il processo di produzione se è imminentemente pericoloso. Molte informazioni utili possono essere ricavate da questi contatti con i lavoratori, che dovrebbero essere presenti in ogni ispezione, e certamente ogni volta che l'ispettorato sta conducendo un'ispezione a seguito di un infortunio o di una denuncia.
Risultati dell'ispezione
L'elemento finale in un'ispezione è rivedere i risultati dell'ispezione con il membro più anziano della direzione sul sito. La direzione ha la responsabilità primaria di rispettare i requisiti legali in materia di sicurezza e salute, e pertanto nessuna ispezione dovrebbe essere completa senza che la direzione sia pienamente consapevole della misura in cui ha adempiuto a tali obblighi e di ciò che deve essere fatto per garantire e mantenere standard adeguati . Certamente se vengono emessi avvisi legali a seguito di un'ispezione o se è probabile un procedimento legale, l'alta dirigenza deve essere a conoscenza di questo stato di cose il prima possibile.
Ispezioni aziendali
Le ispezioni aziendali sono un ingrediente importante per il mantenimento di solidi standard di sicurezza e salute sul lavoro. Sono adatti a tutte le imprese e, nelle aziende più grandi, possono essere un elemento della procedura di controllo della direzione. Per le aziende più piccole, è essenziale adottare una qualche forma di regolare ispezione aziendale. Non si dovrebbe fare affidamento sui servizi ispettivi forniti dagli ispettorati delle autorità esecutive. Questi sono di solito troppo rari e dovrebbero servire in gran parte come stimolo per migliorare o mantenere gli standard, piuttosto che essere la fonte primaria per la valutazione degli standard. Le ispezioni aziendali possono essere effettuate da consulenti o da società specializzate in questo lavoro, ma l'attuale discussione si concentrerà sull'ispezione da parte del personale dell'impresa.
Con quale frequenza devono essere effettuate le ispezioni aziendali? In una certa misura la risposta dipende dai rischi associati al lavoro e dalla complessità dell'impianto. Ma anche nei locali a basso rischio dovrebbe esserci qualche forma di ispezione su base regolare (mensile, trimestrale, ecc.). Se l'azienda impiega un professionista della sicurezza, allora chiaramente l'organizzazione e lo svolgimento dell'ispezione devono essere una parte importante di questa funzione. L'ispezione dovrebbe solitamente essere un lavoro di squadra che coinvolge il professionista della sicurezza, il direttore di reparto o il caposquadra e un rappresentante sindacale o un lavoratore qualificato, come un membro del comitato per la sicurezza. L'ispezione dovrebbe essere completa; vale a dire, va fatto un attento esame sia del software di sicurezza (ad esempio, sistemi, procedure e permessi di lavoro) sia dell'hardware (ad esempio, protezione dei macchinari, dispositivi antincendio, ventilazione di scarico e dispositivi di protezione individuale). Particolare attenzione dovrebbe essere prestata ai "near miss" - quegli incidenti che non provocano danni o lesioni personali ma che hanno il potenziale imminente di gravi lesioni accidentali. C'è l'aspettativa che, dopo un incidente con conseguente assenza dal lavoro, il gruppo di ispezione si riunisca immediatamente per indagare sulle circostanze, come una questione al di fuori del normale ciclo di ispezione. Ma anche durante l'ispezione di routine in officina, il team dovrebbe anche considerare l'entità delle lesioni accidentali minori che si sono verificate nel reparto dall'ispezione precedente.
È importante che le ispezioni aziendali non sembrino essere costantemente negative. Laddove esistano difetti è importante che vengano individuati e corretti, ma è altrettanto importante elogiare il mantenimento di buoni standard, commentare positivamente l'ordine e la buona pulizia e incoraggiare coloro che utilizzano i dispositivi di protezione individuale previsti per la loro sicurezza . Per completare l'ispezione dovrebbe essere redatto un rapporto scritto formale delle carenze significative riscontrate. Occorre prestare particolare attenzione a eventuali carenze individuate in precedenti ispezioni ma non ancora corrette. Laddove esista un consiglio per la sicurezza del lavoro, o un comitato per la sicurezza congiunto dirigenza-lavoratori, il rapporto di ispezione dovrebbe figurare come punto permanente nell'ordine del giorno del consiglio. Il rapporto sull'ispezione deve essere inviato e discusso con l'alta direzione dell'impresa, che dovrebbe quindi determinare se è necessaria un'azione e, in tal caso, autorizzare e sostenere tale azione.
Anche le aziende più piccole, dove non esiste un professionista della sicurezza e dove i sindacati potrebbero non esistere, dovrebbero prendere in considerazione le ispezioni aziendali. Molti ispettorati hanno prodotto linee guida molto semplici che illustrano i concetti di base di sicurezza e salute, la loro applicazione a una vasta gamma di industrie e modi pratici in cui possono essere applicati anche nelle imprese più piccole. Molte associazioni di sicurezza si rivolgono specificamente alle piccole imprese con pubblicazioni (spesso gratuite) che forniscono le informazioni di base per stabilire condizioni di lavoro sicure e salutari. Armato di questo tipo di informazioni e con il dispendio di pochissimo tempo, il titolare di una piccola impresa può stabilire standard ragionevoli e può quindi forse evitare il tipo di incidenti che possono accadere alla forza lavoro anche nella più piccola impresa.
È un paradosso che la prevenzione degli infortuni sul lavoro non sia emersa molto presto come una necessità assoluta, dal momento che la salute e la sicurezza sono fondamentali per il lavoro stesso. Solo all'inizio del Novecento, infatti, gli infortuni sul lavoro cessarono di essere considerati inevitabili e la loro causa divenne oggetto di indagine e di prevenzione. Tuttavia, le indagini sugli incidenti sono rimaste a lungo superficiali ed empiriche. Storicamente, gli incidenti sono stati inizialmente concepiti come fenomeni semplici, cioè come risultanti da un'unica causa (o principale) e da un piccolo numero di cause sussidiarie. È ormai riconosciuto che l'indagine sugli infortuni, finalizzata all'individuazione delle cause del fenomeno in modo da scongiurarne il ripetersi, dipende sia dal concetto sotteso al processo di indagine sia dalla complessità della situazione a cui si applica.
Cause di incidenti
È vero infatti che nelle situazioni più precarie gli infortuni sono spesso il risultato di una sequenza abbastanza semplice di poche cause rapidamente riconducibili a problemi tecnici di base che anche un'analisi sommaria può rivelare (attrezzature mal progettate, modalità di lavoro non definite, eccetera.). D'altra parte, quanto più gli elementi materiali del lavoro (macchine, impianti, disposizione del posto di lavoro, ecc.) sono conformi ai requisiti delle procedure, degli standard e dei regolamenti sul lavoro sicuro, tanto più sicura diventa la situazione di lavoro. Il risultato è che un incidente può poi verificarsi solo quando sono presenti contemporaneamente un insieme di condizioni eccezionali, condizioni che diventano sempre più numerose. In tali casi, la lesione o il danno appare come il risultato finale di una rete di cause spesso complessa. Questa complessità è in realtà la prova dei progressi nella prevenzione e richiede metodi di indagine appropriati. La tabella 1 elenca i concetti principali del fenomeno infortunistico, le loro caratteristiche e le implicazioni per la prevenzione.
Tabella 1. Principali concetti del fenomeno infortunistico, loro caratteristiche e implicazioni per la prevenzione
Concetto o “fenomeno incidentale” |
Elementi significativi (obiettivi, procedure, limiti, ecc.) |
Principali conseguenze per la prevenzione |
Concetto di base (incidente come |
L'obiettivo è identificare “la” causa singola o principale |
Semplici misure di prevenzione relative all'immediato antecedente dell'infortunio (protezione individuale, istruzioni per la cura, protezione delle macchine pericolose) |
Concetto incentrato su misure normative |
Concentrati sulla ricerca di chi è responsabile; l'“istruttoria” individua essenzialmente infrazioni e colpe Raramente preoccupato delle condizioni che generano le situazioni esaminate |
Prevenzione solitamente limitata a promemoria sui requisiti normativi esistenti o istruzioni formali |
Concetto lineare (o quasi lineare) (modello “domino”) |
Individuazione di una successione cronologica di “condizioni di pericolo” e “atti pericolosi” |
Conclusioni generalmente relative agli atti pericolosi |
Concetto multifattoriale |
Ricerche approfondite per raccogliere i fatti (circostanze, cause, fattori, ecc.) |
Concetto poco favorevole alla ricerca di soluzioni caso per caso (analisi clinica) e più adatto all'individuazione di aspetti statistici (trend, tabelle, grafici, ecc.) |
Concetto sistematico |
Individuazione della rete dei fattori di ciascun sinistro |
Metodi incentrati sull'analisi clinica |
Al giorno d'oggi, l'infortunio sul lavoro è generalmente visto come un indice (o sintomo) di disfunzione in un sistema costituito da un'unica unità produttiva, come una fabbrica, un'officina, un team o una postazione di lavoro. È la natura di un sistema che la sua analisi richieda all'investigatore di esaminare non solo gli elementi che compongono il sistema, ma anche le loro relazioni tra loro e con l'ambiente di lavoro. Nell'ambito di un sistema, l'indagine infortunistica cerca di risalire alle sue origini la sequenza delle disfunzioni di base che hanno determinato l'infortunio e, più in generale, la rete degli antecedenti dell'evento indesiderato (incidente, mancato incidente o incidente).
L'applicazione di metodi di questo tipo, come il metodo STEP (procedure di tracciamento sequenziale degli eventi temporizzati) e il metodo dell'“albero delle cause” (simile all'analisi degli alberi degli eventi o dei guasti), consente di visualizzare il processo dell'incidente sotto forma di un grafico aggiustato che illustra la multicausalità del fenomeno. Poiché questi due metodi sono così simili, descrivere entrambi rappresenterebbe una duplicazione dello sforzo; di conseguenza, questo articolo si concentra sul metodo dell'albero delle cause e, ove applicabile, rileva le sue principali differenze rispetto al metodo STEP.
Informazioni utili per l'indagine
La fase iniziale delle indagini, la raccolta delle informazioni, deve consentire di descrivere in termini concreti, precisi e oggettivi il decorso dell'incidente. L'indagine si propone quindi di accertare i fatti tangibili, avendo cura di non interpretarli o di esprimere un giudizio su di essi. Questi sono gli antecedenti dell'infortunio, di cui esistono due tipi:
Ad esempio, una protezione insufficiente di una macchina (un antecedente permanente) può rivelarsi un fattore di incidente se consente all'operatore di prendere posizione in un'area pericolosa per far fronte a un particolare incidente (antecedente insolito).
La raccolta delle informazioni viene effettuata sul luogo dell'incidente stesso il prima possibile dopo il suo verificarsi. È preferibilmente eseguito da persone che conoscono l'operazione o il processo e che cercano di ottenere una descrizione precisa del lavoro senza limitarsi alle circostanze immediate del danno o della lesione. L'indagine viene inizialmente effettuata principalmente attraverso interviste, se possibile, al lavoratore o all'operatore, alle vittime e ai testimoni oculari, agli altri membri del gruppo di lavoro e ai superiori gerarchici. Se del caso, viene completata mediante un'indagine tecnica e l'utilizzo di esperti esterni.
L'indagine cerca di identificare, in ordine di priorità, gli antecedenti insoliti e di determinare le loro connessioni logiche. Nello stesso tempo si cerca di rivelare gli antecedenti permanenti che hanno permesso il verificarsi dell'incidente. In questo modo l'indagine è in grado di risalire a uno stadio più remoto rispetto agli immediati antecedenti dell'incidente. Questi antecedenti più remoti possono riguardare gli individui, i loro compiti, le attrezzature che utilizzano, l'ambiente in cui operano e la cultura della sicurezza. Procedendo nel modo appena descritto, è generalmente possibile stilare un lungo elenco di antecedenti, ma di solito sarà difficile utilizzare immediatamente i dati. L'interpretazione dei dati è resa possibile grazie ad una rappresentazione grafica di tutti gli antecedenti coinvolti nella genesi dell'incidente, ovvero un albero delle cause.
Costruire un albero delle cause
L'albero delle cause presenta tutti gli antecedenti raccolti che hanno dato luogo all'incidente, nonché i nessi logici e cronologici che li legano; è una rappresentazione della rete di antecedenti che hanno causato direttamente o indirettamente il danno. L'albero delle cause è costruito partendo dal punto finale dell'evento - cioè la lesione o il danno - e procedendo a ritroso verso la causa ponendo sistematicamente le seguenti domande per ogni antecedente raccolto:
Questo insieme di domande può rivelare tre tipi di connessione logica, riassunti nella figura 1, tra gli antecedenti.
Figura 1. Collegamenti logici utilizzati nel metodo "albero delle cause".
La coerenza logica dell'albero viene verificata ponendo le seguenti domande per ogni antecedente:
Inoltre, la stessa costruzione dell'albero delle cause induce gli inquirenti a proseguire la raccolta delle informazioni, e quindi l'indagine, ben prima che si verificasse l'incidente. Una volta completato, l'albero rappresenta la rete degli antecedenti che hanno dato origine alla lesione: sono infatti i fattori incidentali. A titolo di esempio, l'incidente riassunto di seguito ha prodotto l'albero delle cause mostrato in figura 2.
Figura 2. Albero delle cause di incidente subito da un apprendista meccanico durante il rimontaggio di un motore su un'auto
Rapporto di riepilogo dell'incidente: Un apprendista meccanico, appena assunto, ha dovuto lavorare da solo in caso di emergenza. Un'imbracatura usurata veniva utilizzata per sospendere un motore che doveva essere rimontato, e durante questa operazione l'imbracatura si ruppe e il motore cadde ferendo il braccio del meccanico.
Analisi con il metodo STEP
Secondo il metodo STEP (figura 3), ogni evento è rappresentato graficamente in modo da mostrare l'ordine cronologico della sua comparsa, mantenendo una riga per “agente” interessato (un agente è la persona o la cosa che determina il corso degli eventi che costituiscono processo infortunistico). Ogni evento è descritto con precisione indicandone l'inizio, la durata, il luogo di inizio e di fine e così via. Quando ci sono più ipotesi plausibili, l'investigatore può mostrarle nella rete degli eventi usando la relazione logica “o”.
Figura 3. Esempio di rappresentazione possibile con il metodo STEP
Analisi con il metodo dell'albero delle cause
L'utilizzo dell'albero delle cause ai fini dell'analisi degli infortuni ha due obiettivi:
Data la struttura logica dell'albero, l'assenza di un unico antecedente avrebbe impedito il verificarsi dell'incidente. Una misura di prevenzione oculata sarebbe quindi sufficiente, in linea di principio, a soddisfare il primo obiettivo impedendo il ripetersi dello stesso infortunio. Il secondo obiettivo richiederebbe l'eliminazione di tutti i fattori scoperti, ma in pratica gli antecedenti non sono tutti di pari importanza ai fini della prevenzione. È quindi necessario stilare un elenco di precedenti che richiedano un'azione preventiva ragionevole e realistica. Se questo elenco è lungo, bisogna fare una scelta. Questa scelta ha più possibilità di essere opportuna se viene effettuata nell'ambito di un dibattito tra le parti coinvolte nell'incidente. Inoltre, il dibattito guadagnerà in chiarezza nella misura in cui sarà possibile valutare l'efficacia in termini di costi di ciascuna misura proposta.
Efficacia delle misure preventive
L'efficacia di una misura preventiva può essere giudicata con l'ausilio dei seguenti criteri:
La stabilità della misura. Gli effetti di una misura preventiva non devono scomparire nel tempo: informare gli operatori (in particolare ricordando loro le istruzioni) non è una misura molto stabile perché i suoi effetti sono spesso transitori. Lo stesso vale peraltro per alcuni dispositivi di protezione quando sono facilmente rimovibili.
La possibilità di integrare la sicurezza. Quando una misura di sicurezza si aggiunge, cioè quando non contribuisce direttamente alla produzione, si dice che la sicurezza non è integrata. Qualora ciò avvenga, si osserva che la misura tende a scomparire. In generale va evitata qualsiasi misura preventiva che comporti un costo aggiuntivo per l'operatore, sia esso un costo fisiologico (aumento del carico fisico o nervoso), un costo psicologico, un costo finanziario (nel caso di salario o rendimento) o addirittura una semplice perdita di tempo.
Il non spostamento del rischio. Alcune misure preventive possono avere effetti indiretti dannosi per la sicurezza. Occorre quindi sempre prevedere le possibili ripercussioni di una misura preventiva sul sistema (lavoro, squadra o officina) in cui è inserita.
La possibilità di applicazione generale (la nozione di potenziale fattore di incidente). Questo criterio riflette la preoccupazione che la stessa azione preventiva possa essere applicata ad altri posti di lavoro rispetto a quello interessato dall'incidente in esame. Quando possibile, si dovrebbe fare uno sforzo per andare oltre il caso particolare che ha dato origine all'indagine, sforzo che richiede spesso una riformulazione dei problemi scoperti. Le informazioni ricavate da un infortunio possono quindi portare ad azioni preventive relative a fattori sconosciuti ma presenti in altre situazioni lavorative dove non hanno ancora dato luogo a infortuni. Per questo vengono chiamati “fattori incidentali potenziali”. Questa nozione apre la strada alla diagnosi precoce dei rischi, menzionata in seguito.
L'effetto sulle “cause” alla radice. In linea generale, la prevenzione dei fattori infortunistici in prossimità del punto di lesione elimina alcuni effetti delle situazioni pericolose, mentre la prevenzione agendo ben a monte dell'infortunio tende ad eliminare le situazioni di pericolo stesse. Un'indagine approfondita sugli incidenti è giustificata nella misura in cui l'azione preventiva riguarda anche i fattori a monte.
Il tempo impiegato per l'applicazione. La necessità di agire il più rapidamente possibile dopo il verificarsi di un incidente per evitarne il ripetersi si traduce spesso nell'applicazione di una semplice misura preventiva (un'istruzione, per esempio), ma ciò non elimina la necessità di altre più durature e un'azione più efficace. Ogni incidente deve quindi dar luogo a una serie di proposte la cui attuazione è oggetto di follow-up.
I criteri di cui sopra hanno lo scopo di dare una migliore valutazione della qualità dell'azione preventiva proposta dopo ogni indagine sull'incidente. Tuttavia, la scelta finale non viene effettuata solo su questa base, poiché devono essere prese in considerazione anche altre considerazioni, come quelle economiche, culturali o sociali. Infine, le misure decise devono ovviamente rispettare la normativa vigente.
Fattori di incidente
Gli insegnamenti tratti dall'analisi di ogni incidente meritano di essere registrati sistematicamente in modo da facilitare il passaggio dalla conoscenza all'azione. Così la figura 4 consiste di tre colonne. Nella colonna di sinistra sono indicati i fattori incidentali che richiedono misure preventive. La possibile azione preventiva è descritta nella colonna centrale per ogni fattore deciso. Dopo la discussione di cui sopra, l'azione selezionata viene registrata in questa parte del documento.
Figura 4. Insegnamenti tratti dagli incidenti e utilizzo di questi insegnamenti
Nella colonna di destra sono rappresentati i fattori incidentali potenziali suggeriti dai fattori elencati nella colonna di sinistra: si ritiene che ogni fattore incidentale scoperto sia spesso solo un caso particolare di un fattore più generale noto come fattore incidentale potenziale. Il passaggio dal caso particolare al caso più generale avviene spesso in modo spontaneo. Tuttavia, ogni volta che un fattore accidentale si esprime in modo tale che non è possibile incontrarlo altrove che nella situazione in cui si è manifestato, occorre considerare una formulazione più generale. Nel fare ciò, è necessario evitare due trappole opposte in modo da utilizzare efficacemente la nozione di potenziale fattore di incidente nella rilevazione precoce dei rischi che si presentano successivamente. Una formulazione troppo circoscritta non consente l'individuazione sistematica dei fattori, mentre una formulazione troppo ampia rende impraticabile la nozione e non riveste alcun interesse pratico. L'individuazione di potenziali fattori incidentali presuppone quindi che siano ben formulati. Questa rilevazione può poi essere effettuata in due modi, peraltro complementari:
Utilità, efficacia e limiti delle indagini sugli incidenti
Utilità. Rispetto alle indagini non sistematiche, i metodi di indagine sugli incidenti basati su un concetto sistematico presentano numerosi vantaggi, tra cui:
Efficacia. Per essere efficace, l'indagine sugli incidenti richiede che siano soddisfatte contemporaneamente quattro condizioni:
Limitazioni. Anche se svolta molto bene, l'inchiesta sugli incidenti soffre di una doppia limitazione:
La necessità di segnalare e compilare i dati sugli incidenti
Lo scopo principale della raccolta e dell'analisi dei dati sugli infortuni sul lavoro è fornire conoscenze da utilizzare nella prevenzione di infortuni sul lavoro, decessi e altre forme di danno come esposizioni tossiche con effetti a lungo termine. Questi dati sono utili anche per valutare le necessità di risarcire le vittime per lesioni subite in precedenza. Ulteriori scopi più specifici per la compilazione delle statistiche sugli incidenti includono quanto segue:
Spesso si desidera una panoramica del numero di incidenti che si verificano su base annua. A tale scopo viene spesso utilizzata una frequenza, rapportando il numero di infortuni ad una misura relativa al gruppo di rischio ed espressa, ad esempio, in termini di infortuni per 100,000 lavoratori o per 100,000 ore lavorate. Tali conteggi annuali hanno lo scopo di rivelare le variazioni di un tasso di infortuni da un anno all'altro. Tuttavia, mentre possono indicare i tipi di incidenti che richiedono l'azione preventiva più urgente, da soli non forniscono indicazioni sulla forma che questa azione dovrebbe assumere.
La necessità di informazioni sugli incidenti riguarda i seguenti tre livelli di funzione che ne fanno uso:
Il ruolo dell'organizzazione nella compilazione delle informazioni sugli incidenti
In molti paesi è un obbligo legale che le imprese conservino statistiche sugli infortuni sul lavoro che provocano lesioni, morte o esposizione tossica a un lavoratore. Lo scopo di questo è solitamente quello di richiamare l'attenzione sui rischi che hanno effettivamente portato a questo tipo di incidenti, con attività di sicurezza incentrate principalmente sul particolare incidente e sullo studio dell'evento stesso. Tuttavia, è più comune che le informazioni sugli incidenti vengano raccolte e registrate sistematicamente, una funzione che normalmente viene svolta a un livello superiore.
Poiché le circostanze effettive della maggior parte degli incidenti sono speciali, raramente si verificano incidenti del tutto identici e la prevenzione basata sull'analisi del singolo incidente tende molto facilmente a diventare una questione altamente specifica. Attraverso la compilazione sistematica delle informazioni sugli infortuni è possibile ottenere una visione più ampia di quelle aree in cui si riscontrano rischi specifici e scoprire i fattori meno evidenti che determinano la causa dell'incidente. Processi di lavoro specifici, team di lavoro specifici o il lavoro con macchinari specifici possono dar luogo a incidenti altamente circostanziali. Tuttavia, uno studio approfondito dei tipi di infortuni associati a una determinata classe di lavoro uniforme può rivelare fattori quali processi di lavoro inopportuni, uso scorretto dei materiali, condizioni di lavoro difficili o mancanza di un'adeguata istruzione del lavoratore. L'analisi di numerosi incidenti ricorrenti evidenzierà i fattori fondamentali da affrontare quando si intraprende un'azione preventiva.
Segnalazione di informazioni sugli incidenti alle autorità preposte alla sicurezza
La legislazione che richiede la denuncia degli infortuni sul lavoro varia notevolmente da paese a paese, con differenze principalmente relative alle classi di datori di lavoro e altri a cui si applicano le leggi. I paesi che pongono un'enfasi significativa sulla sicurezza sul posto di lavoro di solito impongono che i dati sugli incidenti siano segnalati all'autorità responsabile della supervisione del rispetto della legislazione sulla sicurezza. (In alcuni casi, la legislazione richiede la denuncia degli infortuni sul lavoro che comportano un'assenza dal lavoro, la durata di tale assenza varia da 1 a 3 giorni oltre al giorno dell'infortunio.) Comune alla maggior parte della legislazione è il fatto che la denuncia è collegata con una sorta di sanzione o risarcimento per le conseguenze degli incidenti.
Al fine di fornire una solida base per la prevenzione degli infortuni sul lavoro, è necessario garantire informazioni sugli infortuni relative a tutti i settori ea tutti i tipi di attività. Dovrebbe essere fornita una base di confronto a livello nazionale per consentire di dare priorità all'azione di prevenzione e affinché la conoscenza dei rischi associati alle mansioni trasversali ai diversi settori possa essere messa a frutto nel lavoro di prevenzione. Si raccomanda pertanto che l'obbligo di compilare informazioni sugli infortuni sul lavoro a livello nazionale si applichi a tutti gli infortuni sul lavoro di una determinata gravità, indipendentemente dal fatto che riguardino dipendenti di imprese o lavoratori autonomi, persone che lavorano con lavoro temporaneo o lavoratori dipendenti regolari, o lavoratori del settore pubblico o privato.
Mentre i datori di lavoro, in generale, hanno il dovere di denunciare gli infortuni, è un dovere svolto con diversi gradi di entusiasmo. Il grado di rispetto dell'obbligo di denuncia degli infortuni dipende dagli incentivi che spingono il datore di lavoro a farlo. Alcuni paesi hanno una regola, ad esempio, secondo la quale i datori di lavoro saranno risarciti per la retribuzione per ore lavorative perse della vittima di un incidente, un accordo che dà loro una buona ragione per denunciare gli infortuni sul lavoro. Altri paesi penalizzano i datori di lavoro che si trovano a non denunciare gli infortuni. Laddove non esistono incentivi di questo tipo, non sempre viene rispettato l'obbligo meramente legale che grava sul datore di lavoro. Si raccomanda inoltre che le informazioni sugli infortuni sul lavoro destinate alle applicazioni preventive siano fornite all'autorità preposta alle attività di prevenzione e mantenute separate dall'autorità di indennizzo.
Quali informazioni devono essere compilate?
Esistono tre classi fondamentali di informazioni ottenibili mediante la registrazione degli infortuni:
È necessario compilare un certo complemento di dati di base per documentare correttamente quando e dove si verifica un incidente e analizzare come si verifica. A livello aziendale, i dati raccolti sono più dettagliati rispetto a quelli raccolti a livello nazionale, ma i report generati a livello locale conterranno elementi di informazione preziosi a tutti i livelli. La tabella 1 illustra particolari tipi di informazioni che potrebbero essere registrate per descrivere un singolo incidente. Di seguito vengono meglio descritte le voci particolarmente rilevanti per l'attività di elaborazione delle statistiche relative all'infortunio.
Tabella 1. Variabili informative che caratterizzano un incidente
Azioni |
articoli |
Passo 1 |
|
Attività della vittima: ad esempio, utilizzare una macchina, eseguire la manutenzione, guidare, camminare, ecc. |
Componente relativo all'attività della vittima: ad es. pressa elettrica, attrezzo, veicolo, pavimento, ecc. |
Passo 2 |
|
Azione deviante: es. esplosione, cedimento strutturale, inciampo, perdita di controllo, ecc. |
Componente correlato all'azione deviante: ad es. recipiente a pressione, muro, cavo, veicolo, macchina, utensile, ecc. |
Passo 3 |
|
Azione che porta a lesioni: ad esempio, colpito da, schiacciato, intrappolato, in contatto con, morso da, ecc. |
Agente di lesione: ad esempio, mattone, terra, macchina, ecc. |
Numero di identificazione dell'incidente. A tutti gli infortuni sul lavoro deve essere assegnato un numero identificativo univoco. È particolarmente vantaggioso utilizzare un identificatore numerico ai fini dell'archiviazione informatica e della successiva elaborazione.
Numero di identificazione personale e data. La registrazione della vittima è una parte essenziale dell'identificazione dell'incidente. Il numero può essere il compleanno del lavoratore, il numero di lavoro, il numero di previdenza sociale o qualche altro identificatore univoco. La registrazione sia del numero di identificazione personale che della data del sinistro evita la duplicazione della registrazione dello stesso evento infortunistico e consente inoltre di verificare l'avvenuta denuncia del sinistro. Il legame tra le informazioni contenute nella denuncia di sinistro con il numero di identificazione personale può essere protetto a fini di sicurezza.
Nazionalità. La nazionalità della vittima può essere un elemento di informazione particolarmente importante nei paesi con una forza lavoro straniera significativamente ampia. È possibile selezionare un numero di codice a due cifre tra quelli elencati nello standard DS/ISO 3166.
Occupazione. Un numero di registrazione dell'occupazione può essere scelto dall'elenco di codici di occupazione internazionale a quattro cifre fornito dalla International Standard Classification of Occupations (ISCO).
Enterprise. Il nome, l'indirizzo e il numero di identificazione dell'impresa sono utilizzati nella registrazione degli infortuni a livello nazionale (sebbene il nome e l'indirizzo non possano essere utilizzati per la registrazione informatica). Il settore produttivo dell'impresa sarà solitamente registrato presso la sua compagnia assicurativa contro gli infortuni sul lavoro o registrato in relazione alla registrazione della sua forza lavoro. Un identificatore di settore numerico può essere assegnato secondo il sistema di classificazione internazionale NACE a cinque cifre.
Il processo di lavoro. Una componente fondamentale delle informazioni relative agli infortuni sul lavoro è una descrizione del processo lavorativo svolto al momento in cui si è verificato l'infortunio. L'identificazione del processo di lavoro è un prerequisito per una prevenzione mirata in modo accurato. Va notato che il processo lavorativo è l'effettiva funzione lavorativa che la vittima stava svolgendo al momento dell'incidente e potrebbe non essere necessariamente identico al processo lavorativo che ha causato la lesione, la morte o l'esposizione.
L'evento incidente. Un evento di incidente normalmente comprende una catena di eventi. C'è spesso una tendenza da parte degli investigatori a concentrarsi sulla parte del ciclo di eventi in cui si è effettivamente verificata la lesione. Dal punto di vista della prevenzione, invece, è altrettanto importante una descrizione di quella parte del ciclo dell'evento in cui qualcosa è andato storto, e di ciò che la vittima stava facendo quando l'evento si è verificato.
Le conseguenze dell'incidente. Dopo aver specificato la parte del corpo lesa e descritto il tipo di lesione (questo viene fatto in parte codificando da una lista di controllo e in parte dalla descrizione nel ciclo degli eventi), vengono registrate le informazioni che descrivono la gravità della lesione, se ha provocato assenza dal lavoro (e per quanto tempo), o se è stata fatale o ha comportato invalidità. Informazioni dettagliate in termini di assenza dal lavoro di lunga durata, ricovero o invalidità sono normalmente disponibili presso le casse di compensazione e il sistema di previdenza sociale.
Ai fini della rilevazione, l'esame degli eventi infortunistici si articola quindi nelle seguenti tre componenti informative:
I seguenti esempi illustrano l'applicazione di queste categorie di analisi:
Segnalazione di informazioni sugli incidenti
Le informazioni da ottenere per ogni incidente possono essere registrate in un modulo di rapporto simile a quello mostrato in figura 1.
Figura 1. Modulo di report di esempio
Le informazioni dal modulo di rapporto possono essere registrate su un computer utilizzando chiavi di classificazione. (Laddove si possono raccomandare sistemi di classificazione internazionale, questi sono menzionati nella descrizione delle singole variabili informative, data sopra.) Le classificazioni per le altre variabili utilizzate per registrare gli infortuni sul lavoro sono state sviluppate dal Servizio danese per l'ambiente di lavoro e i principi da utilizzare nell'istituire un sistema di registrazione armonizzato fanno parte di una proposta elaborata dall'Unione europea.
L'uso delle statistiche sugli incidenti
Le statistiche sugli incidenti costituiscono uno strumento prezioso in un'ampia gamma di contesti: mappatura, monitoraggio e allerta, definizione delle priorità delle aree di prevenzione, misure di prevenzione specifiche, reperimento e ricerca di informazioni. Un'area può sovrapporsi a un'altra, ma i principi di applicazione variano.
Mappatura
Mappatura dei dati sugli infortuni sul lavoro comporta l'estrazione di informazioni di tipo predeterminato da un accumulo di dati registrati e l'analisi delle interrelazioni tra di essi. I seguenti esempi illustreranno l'utilità delle applicazioni di mappatura.
Monitoraggio e allerta
Controllo è un processo di sorveglianza in corso accompagnato da identificazione dei warning dei rischi maggiori, e in particolare delle variazioni di tali rischi. I cambiamenti osservati nelle segnalazioni di incidenti in entrata possono essere indicativi di cambiamenti nel modello di segnalazione o, più seriamente, possono riflettere effettivi cambiamenti nei fattori di rischio. Si può dire che esistano rischi maggiori dove c'è un'alta frequenza di lesioni, dove si verificano molte lesioni gravi e dove c'è un grande gruppo di esposizione umana.
Definizione delle priorità
Definizione delle priorità è la selezione delle aree di rischio o dei problemi dell'ambiente di lavoro più importanti per un'azione preventiva. Attraverso i risultati delle indagini di mappatura e delle attività di monitoraggio e allerta, può essere costruito un registro degli infortuni sul lavoro che può contribuire a questa definizione delle priorità, i cui elementi possono includere quanto segue:
I dati tratti da un registro degli infortuni sul lavoro possono essere utilizzati per stabilire le priorità a più livelli, forse a livello nazionale generale oa livello aziendale più specifico. Qualunque sia il livello, le analisi e le valutazioni possono essere fatte sulla base degli stessi principi.
Frodi
Le analisi e la documentazione utilizzate a scopo preventivo sono in genere molto specifiche e concentrate in aree limitate, ma trattate in modo approfondito. Un esempio di tale analisi è la campagna contro gli incidenti mortali condotta dall'Ispettorato nazionale del lavoro danese. Indagini preliminari di mappatura hanno individuato i mestieri e le funzioni lavorative in cui si sono verificati infortuni mortali. I trattori agricoli sono stati selezionati come area focale per l'analisi. Lo scopo dell'analisi era quindi determinare cosa rendesse i trattori così pericolosi. Sono state indagate domande su chi li ha guidati, dove sono stati operati, quando si sono verificati gli incidenti e, in particolare, quali tipi di situazioni ed eventi hanno portato agli incidenti. L'analisi ha prodotto una descrizione di sette situazioni tipiche che più frequentemente hanno portato a incidenti. Sulla base di questa analisi è stato formulato un programma preventivo.
Il numero di infortuni sul lavoro in una singola impresa è spesso troppo piccolo per fornire statistiche utilizzabili per l'analisi preventiva. Un'analisi del modello degli incidenti può essere utilizzata per prevenire il ripetersi di lesioni specifiche, ma difficilmente può avere successo nel prevenire il verificarsi di incidenti che in un modo o nell'altro differiscono da casi precedenti. A meno che il focus dell'indagine non sia un'impresa abbastanza grande, tali analisi sono quindi meglio eseguite su un gruppo di imprese di natura molto simile o su un gruppo di processi produttivi dello stesso tipo. Ad esempio, un'analisi dell'industria del legname mostra che gli incidenti che si verificano con le macchine da taglio riguardano principalmente lesioni alle dita. Gli incidenti di trasporto consistono prevalentemente in lesioni ai piedi e alle gambe, mentre i danni cerebrali e l'eczema sono i pericoli più comuni nel settore del trattamento delle superfici. Un'analisi più dettagliata dei processi di lavoro rilevanti all'interno del settore può rivelare quali situazioni tipicamente causano incidenti. Sulla base di queste informazioni, gli esperti del settore in questione possono quindi individuare quando è probabile che si verifichino tali situazioni e le possibilità di prevenzione.
Recupero e ricerca di informazioni
Uno degli usi più comuni di tali sistemi informativi come i sistemi di archiviazione e biblioteca è il recupero di informazioni di natura specifica e ben definita ai fini della ricerca sulla sicurezza. Ad esempio, in uno studio finalizzato alla formulazione di norme in materia di lavori sui tetti, è stato sollevato il dubbio se a tali lavori fosse associato un rischio particolare. La convinzione prevalente era che le persone si ferissero molto raramente cadendo dai tetti durante il lavoro. Tuttavia, in questo caso, è stato utilizzato un registro degli infortuni sul lavoro per recuperare tutte le denunce in cui le persone avevano subito lesioni per caduta dai tetti, ed è stato infatti rilevato un numero considerevole di casi, a conferma dell'importanza di continuare a formulare norme in materia.
" DISCLAIMER: L'ILO non si assume alcuna responsabilità per i contenuti presentati su questo portale Web presentati in una lingua diversa dall'inglese, che è la lingua utilizzata per la produzione iniziale e la revisione tra pari del contenuto originale. Alcune statistiche non sono state aggiornate da allora la produzione della 4a edizione dell'Enciclopedia (1998)."