56. Prevenzione degli infortuni
Editor del capitolo: Jorma Sarari
Introduzione
Jorma Sarari
Concetti di Analisi degli incidenti
Kirsten Jorgensen
Teoria delle cause degli incidenti
Abdul Rauf
Fattori umani nella modellazione degli incidenti
Anne-Marie Feyer e Ann M. Williamson
Modelli di incidente: omeostasi del rischio
Gerald JS Wilde
Modellazione degli incidenti
Andrew R. Hale
Modelli di sequenza degli incidenti
Ragnar Anderson
Modelli di deviazione degli incidenti
Urban Kjellen
MAIM: Il modello informativo sugli incidenti del Merseyside
Harry S. Shannon e John Davies
Principi di prevenzione: l'approccio della sanità pubblica alla riduzione degli infortuni sul posto di lavoro
Gordon S. Smith e Mark A. Veazie
Principi teorici della sicurezza sul lavoro
Reinald Skiba
Principi di prevenzione: informazioni sulla sicurezza
Mark R. Lehto e James M. Miller
Costi per infortuni sul lavoro
Diego Andreoni
Fare clic su un collegamento sottostante per visualizzare la tabella nel contesto dell'articolo.
1. Tassonomie per la classificazione delle deviazioni
2. La matrice di Haddon applicata alle lesioni dei veicoli a motore
3. Le dieci strategie di contromisura di Haddon per la costruzione
4. Informazioni sulla sicurezza associate alla sequenza dell'incidente
5. Raccomandazioni all'interno di sistemi di allarme selezionati
Punta su una miniatura per vedere la didascalia della figura, fai clic per vedere la figura nel contesto dell'articolo.
57. Verifiche, ispezioni e indagini
Editor del capitolo: Jorma Sarari
Audit di sicurezza e audit di gestione
Johan Van de Kerckhove
Analisi dei rischi: il modello di causalità degli incidenti
Jop Groeneweg
Rischi hardware
Carsten D. Groenberg
Analisi dei rischi: fattori organizzativi
Urban Kjellen
Ispezione sul posto di lavoro e applicazione delle normative
Antonio Linehan
Analisi e Reporting: Indagini sugli incidenti
Michele Monteau
Segnalazione e compilazione di statistiche sugli infortuni
Kirsten Jorgensen
Fare clic su un collegamento sottostante per visualizzare la tabella nel contesto dell'articolo.
1. Strata nella politica di qualità e sicurezza
2. Elementi di audit di sicurezza PAS
3. Valutazione dei metodi di controllo del comportamento
4. Tipi e definizioni generali di guasto
5. Concetti del fenomeno infortunistico
6. Variabili caratterizzanti un sinistro
Punta su una miniatura per vedere la didascalia della figura, fai clic per vedere la figura nel contesto dell'articolo.
58. Applicazioni di sicurezza
Redattori di capitoli: Kenneth Gerecke e Charles T. Pope
Analisi dei sistemi
Manh Trung Ho
Sicurezza delle mani e degli utensili elettrici portatili
Dipartimento del lavoro degli Stati Uniti—Amministrazione per la sicurezza e la salute sul lavoro; a cura di Kenneth Gerecke
Parti mobili di macchine
Tomas Backström e Marianne Döös
Salvaguardia della macchina
Dipartimento del lavoro degli Stati Uniti - Amministrazione per la sicurezza e la salute sul lavoro; a cura di Kenneth Gerecke
Rilevatori di presenza
Paolo Schreiber
Dispositivi per il controllo, l'isolamento e la commutazione dell'energia
Renè Troxler
Applicazioni relative alla sicurezza
Dietmar Reinert e Karlheinz Meffert
Software e computer: sistemi automatizzati ibridi
Waldemar Karwowski e Jozef Zurada
Principi per la progettazione di sistemi di controllo sicuri
Georg Vondraček
Principi di sicurezza per macchine utensili CNC
Toni Retsch, Guido Schmitter e Albert Marty
Principi di sicurezza per robot industriali
Toni Retsch, Guido Schmitter e Albert Marty
Sistemi di controllo relativi alla sicurezza elettrici, elettronici ed elettronici programmabili
Ron Bell
Requisiti tecnici per i sistemi relativi alla sicurezza basati su dispositivi elettrici, elettronici ed elettronici programmabili
John Brazendale e Ron Bell
Rollover
Bengt Springfeldt
Cade dalle altezze
Jean Arteau
Spazi confinati
Neil McManus
Principi di Prevenzione: Movimentazione di Materiali e Traffico Interno
Kari Hakkinen
Fare clic su un collegamento sottostante per visualizzare la tabella nel contesto dell'articolo.
1. Possibili disfunzioni di un circuito di comando a due pulsanti
2. Guardie della macchina
3. dispositivi
4. Metodi di alimentazione ed espulsione
5. Combinazioni di strutture circuitali nei controlli di macchina
6. Livelli di integrità della sicurezza per i sistemi di protezione
7. Progettazione e sviluppo software
8. Livello di integrità della sicurezza: componenti di tipo B
9. Requisiti di integrità: architetture di sistemi elettronici
10 Cadute dall'alto: Quebec 1982-1987
11Tipici sistemi anticaduta e anticaduta
12 Differenze tra prevenzione delle cadute e arresto delle cadute
13 Modulo campione per la valutazione delle condizioni pericolose
14 Un permesso di ingresso campione
Punta su una miniatura per vedere la didascalia della figura, fai clic per vedere la figura nel contesto dell'articolo.
59. Politica e leadership sulla sicurezza
Editor del capitolo: Jorma Sarari
Politica di Sicurezza, Leadership e Cultura
Dan Petersen
Cultura e gestione della sicurezza
Marcello Simar
Clima organizzativo e sicurezza
Nicole Dedobbeleer e François Béland
Processo partecipativo di miglioramento del posto di lavoro
Jorma Sarari
Metodi del processo decisionale sulla sicurezza
Terje Sten
Percezione del rischio
Bernhard Zimolong e Rudiger Trimpop
Accettazione del rischio
Rüdiger Trimpop e Bernhard Zimolong
Fare clic su un collegamento sottostante per visualizzare la tabella nel contesto dell'articolo.
1. Misure climatiche di sicurezza
2. Tuttava e altre differenze di programma/tecniche
3. Un esempio di buone pratiche di lavoro
4. Obiettivi prestazionali in una fabbrica di inchiostri da stampa
Punta su una miniatura per vedere la didascalia della figura, fai clic per vedere la figura nel contesto dell'articolo.
60. Programmi di sicurezza
Editor del capitolo: Jorma Saari
Ricerca sulla sicurezza sul lavoro: una panoramica
Herbert I. Linn e Alfred A. Amendola
Servizi governativi
Antonio Linehan
Servizi di sicurezza: consulenti
Dan Petersen
Implementazione di un programma di sicurezza
Tom B. Leamon
Programmi di sicurezza di successo
Tom B. Leamon
Programmi di incentivazione per la sicurezza
Gerald JS Wilde
Promozione della sicurezza
Thomas W. Planek
Caso di studio: campagne per la salute e la sicurezza sul lavoro a livello nazionale in India
KC Gupta
Fare clic su un collegamento sottostante per visualizzare la tabella nel contesto dell'articolo.
1. Modelli OBM vs. TQM di motivazione dei dipendenti
2. Fabbriche indiane: occupazione e infortuni
Punta su una miniatura per vedere la didascalia della figura, fai clic per vedere la figura nel contesto dell'articolo.
Questo articolo esamina il ruolo dei fattori umani nel processo di causalità degli incidenti e passa in rassegna le varie misure preventive (e la loro efficacia) mediante le quali l'errore umano può essere controllato e la loro applicazione al modello di causalità degli incidenti. L'errore umano è un'importante concausa in almeno il 90 di tutti gli incidenti sul lavoro. Mentre errori puramente tecnici e circostanze fisiche incontrollabili possono anche contribuire alla causa degli incidenti, l'errore umano è la principale fonte di fallimento. La maggiore sofisticazione e affidabilità dei macchinari significa che la percentuale di cause di incidenti attribuite all'errore umano aumenta al diminuire del numero assoluto di incidenti. L'errore umano è anche la causa di molti di quegli incidenti che, pur non provocando lesioni o morte, provocano comunque un notevole danno economico per un'azienda. In quanto tale, rappresenta un obiettivo importante per la prevenzione e diventerà sempre più importante. Per efficaci sistemi di gestione della sicurezza e programmi di identificazione del rischio è importante essere in grado di identificare efficacemente la componente umana attraverso l'uso dell'analisi generale del tipo di guasto.
La natura dell'errore umano
L'errore umano può essere visto come il mancato raggiungimento di un obiettivo nel modo pianificato, da una prospettiva locale o più ampia, a causa di un comportamento non intenzionale o intenzionale. Tali azioni pianificate potrebbero non riuscire a raggiungere i risultati desiderati per i seguenti quattro motivi:
1. Comportamento non intenzionale:
2. Comportamento intenzionale:
Le deviazioni possono essere suddivise in tre classi: errori basati sull'abilità, sulle regole e sulla conoscenza.
In alcune situazioni, il termine limite umano sarebbe più appropriato di errore umano. Esistono anche limiti alla capacità di prevedere il comportamento futuro di sistemi complessi (Gleick 1987; Casti 1990).
Il modello di Reason ed Embrey, il Generic Error Modeling System (GEMS) (Reason 1990), tiene conto dei meccanismi di correzione degli errori a livello di abilità, regole e conoscenza. Un presupposto di base di GEMS è che il comportamento quotidiano implica un comportamento di routine. Il comportamento di routine viene controllato regolarmente, ma tra questi cicli di feedback il comportamento è completamente automatico. Poiché il comportamento è basato sull'abilità, gli errori sono errori. Quando il feedback mostra una deviazione dall'obiettivo desiderato, viene applicata la correzione basata su regole. Il problema viene diagnosticato sulla base dei sintomi disponibili e una regola di correzione viene applicata automaticamente quando viene diagnosticata la situazione. Quando viene applicata la regola sbagliata c'è un errore.
Quando la situazione è completamente sconosciuta, vengono applicate regole basate sulla conoscenza. I sintomi vengono esaminati alla luce della conoscenza del sistema e dei suoi componenti. Questa analisi può portare a una possibile soluzione la cui attuazione costituisce un caso di comportamento basato sulla conoscenza. (È anche possibile che il problema non possa essere risolto in un dato modo e che debbano essere applicate ulteriori regole basate sulla conoscenza.) Tutti gli errori a questo livello sono errori. Le violazioni si commettono quando viene applicata una certa regola che si sa essere inappropriata: il pensiero del lavoratore può essere che l'applicazione di una regola alternativa richieda meno tempo o sia forse più adatta alla situazione presente, probabilmente eccezionale. La classe di violazioni più malevole riguarda il sabotaggio, un argomento che non rientra nell'ambito di questo articolo. Quando le organizzazioni stanno tentando di eliminare l'errore umano, dovrebbero tener conto se gli errori sono a livello di abilità, regole o conoscenze, poiché ogni livello richiede le proprie tecniche (Groeneweg 1996).
Influenzare il comportamento umano: una panoramica
Un commento spesso fatto riguardo a un incidente particolare è: "Forse la persona non se ne è accorta in quel momento, ma se non avesse agito in un certo modo, l'incidente non sarebbe accaduto". Gran parte della prevenzione degli incidenti ha lo scopo di influenzare la parte cruciale del comportamento umano a cui si allude in questa osservazione. In molti sistemi di gestione della sicurezza, le soluzioni e le politiche suggerite mirano a influenzare direttamente il comportamento umano. Tuttavia, è molto raro che le organizzazioni valutino l'effettiva efficacia di tali metodi. Gli psicologi hanno dedicato molta attenzione al modo migliore per influenzare il comportamento umano. A questo proposito, verranno esposti i seguenti sei modi di esercitare il controllo sull'errore umano e verrà effettuata una valutazione dell'efficacia relativa di questi metodi nel controllo del comportamento umano a lungo termine (Wagenaar 1992). (Vedi tabella 1.)
Tabella 1. Sei modi per indurre comportamenti sicuri e valutazione del loro rapporto costo-efficacia
No. |
Modo di influenzare |
Costo |
Effetto a lungo termine |
Valutazione Finale |
1 |
Non indurre comportamenti sicuri, |
Alta |
Basso |
povero |
2 |
Dì alle persone coinvolte cosa fare. |
Basso |
Basso |
Medio |
3 |
Premiare e punire. |
Medio |
Medio |
Medio |
4 |
Aumentare la motivazione e la consapevolezza. |
Medio |
Basso |
povero |
5 |
Selezionare personale addestrato. |
Alta |
Medio |
Medio |
6 |
Cambia l'ambiente. |
Alta |
Alta |
Buone |
Non tentare di indurre comportamenti sicuri, ma rendere il sistema “a prova di errore”
La prima opzione è non fare nulla per influenzare il comportamento delle persone, ma progettare il posto di lavoro in modo tale che qualunque cosa faccia il dipendente, non si traduca in alcun tipo di risultato indesiderabile. Va riconosciuto che, grazie all'influenza della robotica e dell'ergonomia, i progettisti hanno notevolmente migliorato la facilità d'uso delle attrezzature sul posto di lavoro. Tuttavia, è quasi impossibile prevedere tutti i diversi tipi di comportamento che le persone possono manifestare. Inoltre, i lavoratori spesso considerano i cosiddetti progetti infallibili come una sfida per "battere il sistema". Infine, poiché i progettisti sono essi stessi esseri umani, anche le apparecchiature progettate con molta attenzione e infallibili possono presentare dei difetti (ad esempio, Petroski 1992). Il vantaggio aggiuntivo di questo approccio rispetto ai livelli di pericolo esistenti è marginale e, in ogni caso, i costi iniziali di progettazione e installazione possono aumentare in modo esponenziale.
Dì alle persone coinvolte cosa fare
Un'altra opzione è quella di istruire tutti i lavoratori su ogni singola attività al fine di portare il loro comportamento completamente sotto il controllo della direzione. Ciò richiederà un vasto e poco pratico inventario delle attività e un sistema di controllo delle istruzioni. Poiché tutto il comportamento è de-automatizzato, eliminerà in larga misura gli errori e gli errori fino a quando le istruzioni non diventeranno parte della routine e l'effetto svanirà.
Non aiuta molto dire alle persone che ciò che fanno è pericoloso - la maggior parte delle persone lo sa molto bene - perché faranno le proprie scelte riguardo al rischio indipendentemente dai tentativi di convincerle del contrario. La loro motivazione a farlo sarà semplificare il loro lavoro, risparmiare tempo, sfidare l'autorità e forse migliorare le proprie prospettive di carriera o richiedere qualche ricompensa finanziaria. Istruire le persone è relativamente economico e la maggior parte delle organizzazioni organizza sessioni di istruzione prima dell'inizio di un lavoro. Ma al di là di un tale sistema di istruzioni, si ritiene che l'efficacia di questo approccio sia bassa.
Premiare e punire
Sebbene i programmi di ricompensa e punizione siano mezzi potenti e molto popolari per controllare il comportamento umano, non sono privi di problemi. La ricompensa funziona meglio solo se il destinatario percepisce che la ricompensa è di valore al momento della ricezione. Il comportamento punitivo che sfugge al controllo di un dipendente (un lapsus) non sarà efficace. Ad esempio, è più conveniente migliorare la sicurezza del traffico modificando le condizioni alla base del comportamento del traffico rispetto a campagne pubbliche o programmi di punizione e ricompensa. Anche un aumento delle possibilità di essere "beccati" non cambierà necessariamente il comportamento di una persona, poiché le opportunità per violare una regola sono ancora presenti, così come la sfida di una violazione riuscita. Se le situazioni in cui le persone lavorano invitano a questo tipo di violazione, le persone sceglieranno automaticamente il comportamento indesiderato, indipendentemente da come vengono punite o ricompensate. L'efficacia di questo approccio è valutata come di qualità media, poiché di solito è di efficacia a breve termine.
Aumentare la motivazione e la consapevolezza
A volte si crede che le persone causino incidenti perché mancano di motivazione o non sono consapevoli del pericolo. Questa ipotesi è falsa, come hanno dimostrato gli studi (ad esempio, Wagenaar e Groeneweg 1987). Inoltre, anche se i lavoratori sono in grado di valutare accuratamente il pericolo, non necessariamente agiscono di conseguenza (Kruysse 1993). Gli incidenti accadono anche alle persone con la migliore motivazione e il più alto grado di consapevolezza della sicurezza. Esistono metodi efficaci per migliorare la motivazione e la consapevolezza che sono discussi di seguito in "Cambiare l'ambiente". Questa opzione è delicata: in contrasto con la difficoltà di motivare ulteriormente le persone, è quasi troppo facile demotivare i dipendenti al punto da considerare anche il sabotaggio.
Gli effetti dei programmi di miglioramento della motivazione sono positivi solo se associati a tecniche di modifica del comportamento come il coinvolgimento dei dipendenti.
Selezionare personale addestrato
La prima reazione a un incidente è spesso che le persone coinvolte devono essere state incompetenti. Col senno di poi, gli scenari infortunistici appaiono immediati e facilmente prevenibili a una persona sufficientemente intelligente e adeguatamente istruita, ma tale apparenza è ingannevole: in realtà i dipendenti coinvolti non avrebbero potuto prevedere l'incidente. Pertanto, una migliore formazione e selezione non avranno l'effetto auspicato. Un livello base di formazione è tuttavia un prerequisito per operazioni sicure. La tendenza in alcuni settori a sostituire il personale esperto con persone inesperte e non adeguatamente formate deve essere scoraggiata, poiché situazioni sempre più complesse richiedono un pensiero basato su regole e conoscenza che richiede un livello di esperienza che spesso tale personale a basso costo non possiede.
Un effetto collaterale negativo dell'istruire le persone molto bene e selezionare solo le persone più classificate è che il comportamento può diventare automatico e si verificano errori. La selezione è costosa, mentre l'effetto non è più che medio.
Cambia l'ambiente
La maggior parte dei comportamenti si verifica come reazione a fattori nell'ambiente di lavoro: programmi di lavoro, piani e aspettative e richieste del management. Un cambiamento nell'ambiente si traduce in un comportamento diverso. Prima che l'ambiente di lavoro possa essere effettivamente modificato, è necessario risolvere diversi problemi. Innanzitutto, devono essere identificati i fattori ambientali che causano il comportamento indesiderato. In secondo luogo, questi fattori devono essere controllati. In terzo luogo, la direzione deve consentire la discussione sul proprio ruolo nella creazione dell'ambiente di lavoro avverso.
È più pratico influenzare il comportamento creando un ambiente di lavoro adeguato. I problemi che dovrebbero essere risolti prima che questa soluzione possa essere messa in pratica sono (1) che si deve sapere quali fattori ambientali causano il comportamento indesiderato, (2) che questi fattori devono essere controllati e (3) che le precedenti decisioni di gestione devono essere considerato (Wagenaar 1992; Groeneweg 1996). Tutte queste condizioni possono effettivamente essere soddisfatte, come si argomenterà nel resto di questo articolo. L'efficacia della modifica del comportamento può essere elevata, anche se un cambiamento di ambiente può essere piuttosto costoso.
Il modello di causalità degli incidenti
Per ottenere maggiori informazioni sulle parti controllabili del processo di causa dell'incidente, è necessaria una comprensione dei possibili circuiti di feedback in un sistema di informazioni sulla sicurezza. Nella figura 1 è presentata la struttura completa di un sistema informativo di sicurezza che può costituire la base del controllo gestionale dell'errore umano. È una versione adattata del sistema presentato da Reason et al. (1989).
Figura 1. Un sistema informativo sulla sicurezza
Indagine sugli incidenti
Quando si indaga sugli incidenti, vengono prodotti rapporti sostanziali e i responsabili delle decisioni ricevono informazioni sulla componente dell'errore umano dell'incidente. Fortunatamente, questo sta diventando sempre più obsoleto in molte aziende. È più efficace analizzare i "disturbi operativi" che precedono gli incidenti e gli inconvenienti. Se un incidente è descritto come un disturbo operativo seguito dalle sue conseguenze, allora la scivolata dalla strada è un disturbo operativo e rimanere uccisi perché il conducente non ha indossato la cintura di sicurezza è un incidente. Le barriere possono essere state poste tra il disturbo operativo e l'incidente, ma sono fallite o sono state violate o aggirate.
Auditing di atti non sicuri
Un atto scorretto commesso da un dipendente è definito in questo articolo un “atto scadente” e non un “atto pericoloso”: la nozione di “non sicuro” sembra limitare l'applicabilità del termine alla sicurezza, mentre può essere applicata anche, per esempio, ai problemi ambientali. A volte vengono registrati atti scadenti, ma le informazioni dettagliate su quali lapsus, errori e violazioni sono stati compiuti e sul motivo per cui sono stati compiuti non vengono quasi mai comunicate ai livelli dirigenziali più elevati.
Indagare sullo stato d'animo del dipendente
Prima che venga commesso un atto scadente, la persona coinvolta era in un certo stato d'animo. Se questi precursori psicologici, come essere in uno stato di fretta o sentirsi tristi, potessero essere adeguatamente controllati, le persone non si troverebbero in uno stato mentale in cui commetterebbero un atto scadente. Dal momento che questi stati mentali non possono essere efficacemente controllati, tali precursori sono considerati materiale da “scatola nera” (figura 1).
Tipi di guasti generali
Il riquadro GFT (general failure type) in figura 1 rappresenta i meccanismi generatori di un incidente - le cause di atti e situazioni scadenti. Poiché questi atti scadenti non possono essere controllati direttamente, è necessario cambiare l'ambiente di lavoro. L'ambiente di lavoro è determinato da 11 di questi meccanismi (tabella 2). (Nei Paesi Bassi l'abbreviazione GFT esiste già in un contesto completamente diverso, e ha a che fare con lo smaltimento dei rifiuti ecologicamente corretto, e per evitare confusione viene utilizzato un altro termine: fattori di rischio fondamentali (BRF) (Roggeveen 1994).)
Tabella 2. Tipi di guasti generali e relative definizioni
Fallimenti generali |
Definizioni |
1. Progettazione (DE) |
Guasti dovuti a cattiva progettazione di un intero impianto oltre che individuale |
2. Hardware (hardware) |
Guasti dovuti a cattivo stato o indisponibilità di attrezzature e strumenti |
3. Procedure (PR) |
Guasti dovuti alla scarsa qualità delle procedure operative con |
4. Errore nell'applicazione |
Fallimenti dovuti alla scarsa qualità dell'ambiente di lavoro, con |
5. Pulizie (HK) |
Fallimenti dovuti a scarsa pulizia |
6. Formazione (TR) |
Fallimenti dovuti a formazione inadeguata o esperienza insufficiente |
7. Obiettivi incompatibili (IG) |
Fallimenti dovuti allo scarso livello di sicurezza e benessere interno |
8. Comunicazione (CO) |
Guasti dovuti a scarsa qualità o assenza di linee di comunicazione |
9. Organizzazione (OR) |
Fallimenti dovuti al modo in cui il progetto è gestito |
10. Manutenzione |
Guasti dovuti alla scarsa qualità delle procedure di manutenzione |
11. Difese (DF) |
Guasti dovuti alla scarsa qualità della protezione contro i pericoli |
La casella GFT è preceduta da una casella del "decisore", in quanto queste persone determinano in larga misura quanto bene viene gestita una GFT. È compito della direzione controllare l'ambiente di lavoro gestendo gli 11 GFT, controllando indirettamente il verificarsi di errori umani.
Tutti questi GFT possono contribuire agli incidenti in modi subdoli, consentendo l'unione di combinazioni indesiderate di situazioni e azioni, aumentando la possibilità che alcune persone commettano atti scadenti e non riuscendo a fornire i mezzi per interrompere sequenze di incidenti già in corso.
Ci sono due GFT che richiedono qualche ulteriore spiegazione: la gestione della manutenzione e le difese.
Gestione della manutenzione (MM)
Poiché la gestione della manutenzione è una combinazione di fattori che possono essere trovati in altri GFT, non è, in senso stretto, un GFT separato: questo tipo di gestione non è fondamentalmente diverso da altre funzioni di gestione. Può essere trattata come una questione separata perché la manutenzione svolge un ruolo importante in così tanti scenari di incidente e perché la maggior parte delle organizzazioni ha una funzione di manutenzione separata.
Difese (DF)
Anche la categoria delle difese non è una vera GFT, in quanto non è correlata allo stesso processo di causalità dell'incidente. Questo GFT è correlato a ciò che accade dopo un disturbo operativo. Di per sé non genera né stati mentali psicologici né atti scadenti. È una reazione che segue un fallimento dovuto all'azione di uno o più GFT. Sebbene sia vero che un sistema di gestione della sicurezza dovrebbe concentrarsi sulle parti controllabili della catena di causalità degli incidenti prima e non dopo l'incidente indesiderato, tuttavia la nozione di difese può essere utilizzata per descrivere l'efficacia percepita delle barriere di sicurezza dopo che si è verificato un disturbo e per mostrare come non siano riuscite a prevenire l'incidente effettivo.
I manager hanno bisogno di una struttura che permetta loro di mettere in relazione i problemi identificati con le azioni preventive. Sono ancora necessarie misure adottate a livello di barriere di sicurezza o atti al di sotto degli standard, anche se queste misure non possono mai avere pieno successo. Fidarsi delle barriere dell'"ultima linea" significa fidarsi di fattori che sono in larga misura fuori dal controllo del management. Il management non dovrebbe tentare di gestire tali dispositivi esterni incontrollabili, ma deve invece cercare di rendere le proprie organizzazioni intrinsecamente più sicure a tutti i livelli.
Misurare il livello di controllo sull'errore umano
L'accertamento della presenza dei GFT in un'organizzazione consentirà agli inquirenti di individuare i punti deboli ei punti di forza dell'organizzazione. Data tale conoscenza, è possibile analizzare gli incidenti ed eliminare o mitigare le loro cause e identificare le debolezze strutturali all'interno di un'azienda e risolverle prima che contribuiscano effettivamente a un incidente.
Indagine sugli incidenti
Il compito di un analista di incidenti è identificare i fattori che contribuiscono e classificarli. Il numero di volte in cui un fattore contribuente viene identificato e classificato in termini di GFT indica la misura in cui questo GFT è presente. Questo viene spesso fatto per mezzo di una lista di controllo o di un programma di analisi del computer.
È possibile e auspicabile combinare profili di tipi di incidenti diversi ma simili. Le conclusioni basate su un accumulo di inchieste sugli incidenti in un tempo relativamente breve sono molto più attendibili di quelle tratte da uno studio in cui il profilo dell'incidente è basato su un singolo evento. Un esempio di tale profilo combinato è presentato nella figura 2, che mostra i dati relativi a quattro occorrenze di un tipo di incidente.
Figura 2. Profilo di una tipologia di incidente
Alcuni dei GFT - progettazione, procedure e obiettivi incompatibili - ottengono un punteggio costantemente alto in tutti e quattro gli incidenti particolari. Ciò significa che in ogni incidente sono stati identificati fattori correlati a questi GFT. Per quanto riguarda il profilo dell'incidente 1, il design è un problema. Le pulizie, sebbene un'area problematica importante nell'incidente 1, sono solo un problema minore se vengono analizzati più del primo incidente. Si suggerisce di esaminare una decina di tipi simili di incidenti e di combinarli in un profilo prima di adottare misure correttive di vasta portata e possibilmente costose. In questo modo, l'identificazione dei fattori contribuenti e la successiva categorizzazione di questi fattori può essere effettuata in modo molto affidabile (Van der Schrier, Groeneweg e van Amerongen 1994).
Identificare in modo proattivo i GFT all'interno di un'organizzazione
È possibile quantificare proattivamente la presenza di GFT, indipendentemente dal verificarsi di incidenti o inconvenienti. Questo viene fatto cercando indicatori della presenza di quel GFT. L'indicatore utilizzato a questo scopo è la risposta a una semplice domanda sì o no. Se si risponde in modo indesiderato, è un'indicazione che qualcosa non funziona correttamente. Un esempio di domanda indicatore è: "Negli ultimi tre mesi, sei andato a una riunione che si è rivelata annullata?" Se il dipendente risponde alla domanda in modo affermativo, non significa necessariamente pericolo, ma è indicativo di una carenza in uno dei GFT: la comunicazione. Tuttavia, se si risponde a un numero sufficiente di domande che verificano un determinato GFT in un modo che indica una tendenza indesiderabile, è un segnale per la direzione che non ha un controllo sufficiente su quel GFT.
Per costruire un profilo di sicurezza del sistema (SSP), è necessario rispondere a 20 domande per ciascuno degli 11 GFT. Ad ogni GFT viene assegnato un punteggio che va da 0 (basso livello di controllo) a 100 (alto livello di controllo). Il punteggio è calcolato rispetto alla media del settore in una determinata area geografica. Un esempio di questa procedura di punteggio è presentato nel riquadro.
Gli indicatori sono presi in modo pseudo-casuale da un database con poche centinaia di domande. Due liste di controllo successive non hanno domande in comune e le domande sono disegnate in modo tale da coprire ogni aspetto del GFT. L'hardware difettoso potrebbe, ad esempio, essere il risultato di un'apparecchiatura assente o difettosa. Entrambi gli aspetti dovrebbero essere coperti nella lista di controllo. Le distribuzioni delle risposte di tutte le domande sono note e le liste di controllo sono bilanciate per uguale difficoltà.
È possibile confrontare i punteggi ottenuti con diverse liste di controllo, nonché quelli ottenuti per diverse organizzazioni o dipartimenti o le stesse unità in un periodo di tempo. Sono stati eseguiti test di convalida approfonditi per garantire che tutte le domande nel database siano valide e che siano tutte indicative del GFT da misurare. Punteggi più alti indicano un livello di controllo più elevato, ovvero più domande hanno ricevuto una risposta nel modo "desiderato". Un punteggio di 70 indica che questa organizzazione è classificata tra i migliori 30 (ovvero, 100 meno 70) di organizzazioni comparabili in questo tipo di settore. Sebbene un punteggio di 100 non significhi necessariamente che questa organizzazione abbia il controllo totale su un GFT, significa che per quanto riguarda questo GFT l'organizzazione è la migliore del settore.
Un esempio di SSP è mostrato nella figura 3. Le aree deboli dell'Organizzazione 1, come esemplificato dalle barre nel grafico, sono le procedure, gli obiettivi incompatibili e le condizioni di imposizione degli errori, poiché ottengono un punteggio inferiore alla media del settore, come mostrato dall'oscuro area grigia. I punteggi su pulizia, hardware e difese sono molto buoni nell'Organizzazione 1. In apparenza, questa organizzazione ben attrezzata e ordinata con tutti i dispositivi di sicurezza in atto sembra essere un luogo sicuro in cui lavorare. L'organizzazione 2 ottiene esattamente la media del settore. Non ci sono gravi carenze e, sebbene i punteggi su hardware, pulizia e difese siano inferiori, questa azienda gestisce (in media) la componente dell'errore umano negli incidenti meglio dell'Organizzazione 1. Secondo il modello di causalità dell'incidente, l'Organizzazione 2 è più sicura di Organizzazione 1, anche se questo non risulterebbe necessariamente evidente confrontando le organizzazioni negli audit "tradizionali".
Figura 3. Esempio di un profilo di sicurezza del sistema
Se queste organizzazioni dovessero decidere dove allocare le loro risorse limitate, le quattro aree con GFT inferiori alla media avrebbero la priorità. Tuttavia, non si può concludere che, poiché gli altri punteggi GFT sono così favorevoli, le risorse possono essere tranquillamente ritirate dal loro mantenimento, poiché queste risorse sono ciò che molto probabilmente le ha mantenute a un livello così alto in primo luogo.
Conclusioni
Questo articolo ha toccato il tema dell'errore umano e della prevenzione degli incidenti. La panoramica della letteratura riguardante il controllo della componente dell'errore umano negli incidenti ha prodotto una serie di sei modi con cui si può tentare di influenzare il comportamento. Uno solo, ristrutturare l'ambiente o modificare i comportamenti per ridurre il numero di situazioni in cui le persone possono commettere un errore, ha un effetto ragionevolmente favorevole in un'organizzazione industriale ben sviluppata dove sono già stati fatti molti altri tentativi. Ci vorrà coraggio da parte del management per riconoscere che queste situazioni avverse esistono e per mobilitare le risorse necessarie per effettuare un cambiamento in azienda. Le altre cinque opzioni non rappresentano alternative utili, poiché avranno un effetto scarso o nullo e saranno piuttosto costose.
"Controllare il controllabile" è il principio chiave che sostiene l'approccio presentato in questo articolo. I GFT devono essere scoperti, attaccati ed eliminati. Gli 11 GFT sono meccanismi che hanno dimostrato di far parte del processo di causalità degli incidenti. Dieci di essi sono finalizzati a prevenire i disturbi operativi e uno (difese) è volto a prevenire che il disturbo operativo si trasformi in un incidente. L'eliminazione dell'impatto dei GFT ha un impatto diretto sull'abbattimento delle concause degli incidenti. Le domande nelle checklist sono finalizzate a misurare lo “stato di salute” di un determinato GFT, sia dal punto di vista generale che da quello della sicurezza. La sicurezza è vista come parte integrante delle normali operazioni: fare il lavoro come dovrebbe essere fatto. Questa visione è in accordo con i recenti approcci gestionali “orientati alla qualità”. La disponibilità di politiche, procedure e strumenti di gestione non è la principale preoccupazione della gestione della sicurezza: la questione è piuttosto se questi metodi siano effettivamente utilizzati, compresi e rispettati.
L'approccio descritto in questo articolo si concentra sui fattori sistemici e sul modo in cui le decisioni del management possono essere tradotte in condizioni di non sicurezza sul posto di lavoro, in contrasto con la convinzione convenzionale che l'attenzione dovrebbe essere rivolta ai singoli lavoratori che compiono atti non sicuri, ai loro atteggiamenti, motivazioni e percezioni del rischio.
Un'indicazione del livello di controllo che la tua organizzazione ha sulla "Comunicazione" di GFT
In questa casella viene presentato un elenco di 20 domande. Alle domande di questo elenco hanno risposto i dipendenti di oltre 250 organizzazioni dell'Europa occidentale. Queste organizzazioni operavano in diversi campi, dalle aziende chimiche alle raffinerie e alle imprese di costruzione. Normalmente, queste domande sarebbero fatte su misura per ogni ramo. Questo elenco serve solo da esempio per mostrare come funziona lo strumento per uno dei GFT. Sono state selezionate solo quelle domande che si sono dimostrate così “generali” da essere applicabili in almeno l'80% dei settori.
Nella "vita reale" i dipendenti non solo dovrebbero rispondere alle domande (in modo anonimo), ma dovrebbero anche motivare le loro risposte. Non è sufficiente rispondere “Sì” ad esempio sull'indicatore "Hai dovuto lavorare nelle ultime 4 settimane con una procedura obsoleta?" Il dipendente dovrebbe indicare quale procedura si trattava ea quali condizioni doveva essere applicata. Questa motivazione serve a due obiettivi: aumenta l'affidabilità delle risposte e fornisce al management informazioni su cui agire.
È necessaria cautela anche nell'interpretazione del punteggio percentile: in una misurazione reale, ogni organizzazione verrebbe confrontata con un campione rappresentativo di organizzazioni di settore per ciascuna delle 11 GFT. La distribuzione dei percentili è del maggio 1995 e questa distribuzione cambia leggermente nel tempo.
Come misurare il “livello di controllo”
Rispondi a tutti i 20 indicatori tenendo presente la tua situazione e fai attenzione ai limiti di tempo nelle domande. Alcune delle domande potrebbero non essere applicabili alla tua situazione; rispondi con “na” Potrebbe essere impossibile per te rispondere ad alcune domande; rispondi con un punto interrogativo "?".
Dopo aver risposto a tutte le domande, confronta le tue risposte con le risposte di riferimento. Ottieni un punto per ogni domanda con risposta "corretta".
Somma il numero di punti. Calcola la percentuale di domande con risposta corretta dividendo il numero di punti per il numero di domande a cui hai risposto con "Sì" o "No". Il "na" e "?" le risposte non vengono prese in considerazione. Il risultato è una percentuale compresa tra 0 e 100.
La misurazione può essere resa più affidabile facendo in modo che più persone rispondano alle domande e calcolando la media dei loro punteggi rispetto ai livelli o alle funzioni nell'organizzazione o in reparti comparabili.
Venti domande sulla “Comunicazione” GFT
Possibili risposte alle domande: Y = Sì; N = No; na = non applicabile; ? = non so.
Risposte di riferimento:
1 = N; 2 = N; 3 = N; 4 = Y; 5 = N; 6 = N; 7 = N; 8 = N; 9 = N; 10 = N; 11 = N; 12 = N; 13 = Y; 14 = N; 15 = N; 16 = Y; 17 = N; 18 = N; 19 = Y; 20 = n.
Punteggio GFT "Comunicazione"
Punteggio percentuale = (a/b) x 100
where a = n. di domande con risposta corretta
where b = n. di domande con risposta "S" o "N".
Il vostro punteggio % |
percentile |
% |
Uguale o migliore |
0-10 |
0-1 |
100 |
99 |
11-20 |
2-6 |
98 |
94 |
21-30 |
7-14 |
93 |
86 |
31-40 |
15-22 |
85 |
78 |
41-50 |
23-50 |
79 |
50 |
51-60 |
51-69 |
49 |
31 |
61-70 |
70-85 |
30 |
15 |
71-80 |
86-97 |
14 |
3 |
81-90 |
98-99 |
2 |
1 |
91-100 |
99-100 |
Questo articolo affronta i pericoli "macchina", quelli che sono specifici delle apparecchiature e dell'hardware utilizzati nei processi industriali associati a recipienti a pressione, apparecchiature di processo, macchine potenti e altre operazioni intrinsecamente rischiose. Questo articolo non affronta i rischi per i lavoratori, che implicano le azioni e il comportamento degli individui, come lo scivolamento sulle superfici di lavoro, la caduta dall'alto e i pericoli derivanti dall'uso di strumenti ordinari. Questo articolo si concentra sui rischi della macchina, che sono caratteristici di un ambiente di lavoro industriale. Poiché questi pericoli minacciano chiunque sia presente e possono anche costituire una minaccia per i vicini e l'ambiente esterno, i metodi di analisi ei mezzi di prevenzione e controllo sono simili ai metodi utilizzati per affrontare i rischi per l'ambiente derivanti dalle attività industriali.
Rischi della macchina
L'hardware di buona qualità è molto affidabile e la maggior parte dei guasti è causata da effetti secondari come incendio, corrosione, uso improprio e così via. Tuttavia, l'hardware può essere evidenziato in alcuni incidenti, perché un componente hardware difettoso è spesso l'anello più evidente o visibilmente prominente della catena di eventi. Sebbene il termine hardware è usato in senso lato, esempi illustrativi di guasti hardware e dei loro immediati "dintorni" nella causa degli incidenti sono stati presi dai luoghi di lavoro industriali. I candidati tipici per l'indagine sui pericoli della "macchina" includono, a titolo esemplificativo ma non esaustivo, quanto segue:
Effetti dell'energia
I rischi legati all'hardware possono includere usi errati, errori di costruzione o frequenti sovraccarichi, e di conseguenza la loro analisi e mitigazione o prevenzione può seguire direzioni piuttosto diverse. Tuttavia, le forme di energia fisica e chimica che sfuggono al controllo umano sono spesso al centro dei pericoli dell'hardware. Pertanto, un metodo molto generale per identificare i pericoli dell'hardware è cercare le energie che sono normalmente controllate con l'effettivo pezzo di attrezzatura o macchinario, come un recipiente a pressione contenente ammoniaca o cloro. Altri metodi utilizzano lo scopo o la funzione prevista dell'hardware effettivo come punto di partenza e quindi cercano i probabili effetti di malfunzionamenti e guasti. Ad esempio, un ponte che non assolve alla sua funzione primaria esporrà i soggetti sul ponte al rischio di caduta; altri effetti del crollo di un ponte saranno quelli secondari della caduta di oggetti, siano essi parti strutturali del ponte o oggetti situati sul ponte. Più in basso nella catena delle conseguenze, potrebbero esserci effetti derivati relativi a funzioni in altre parti del sistema che dipendevano dal fatto che il ponte svolgesse correttamente la sua funzione, come l'interruzione del traffico veicolare di risposta alle emergenze a causa di un altro incidente.
Oltre ai concetti di "energia controllata" e "funzione prevista", le sostanze pericolose devono essere affrontate ponendo domande come "Come potrebbe essere rilasciato l'agente X da recipienti, serbatoi o sistemi di tubazioni e come potrebbe essere prodotto l'agente Y?" (uno o entrambi possono essere pericolosi). L'agente X potrebbe essere un gas pressurizzato o un solvente, e l'agente Y potrebbe essere una diossina estremamente tossica la cui formazione è favorita dalle “giuste” temperature in alcuni processi chimici, oppure potrebbe essere prodotta da una rapida ossidazione, come risultato di un incendio . Tuttavia, i possibili pericoli si sommano a molto di più dei semplici rischi delle sostanze pericolose. Potrebbero esistere condizioni o influenze che consentono alla presenza di un particolare componente hardware di portare a conseguenze dannose per l'uomo.
Ambiente di lavoro industriale
I pericoli della macchina implicano anche fattori di carico o stress che possono essere pericolosi a lungo termine, come i seguenti:
Questi pericoli possono essere riconosciuti e le precauzioni prese perché le condizioni pericolose sono già presenti. Non dipendono da qualche cambiamento strutturale nell'hardware per verificarsi e funzionare con un risultato dannoso, o da qualche evento speciale per provocare danni o lesioni. Anche i pericoli a lungo termine hanno origini specifiche nell'ambiente di lavoro, ma devono essere identificati e valutati osservando i lavoratori e le mansioni, invece di limitarsi ad analizzare la struttura e le funzioni dell'hardware.
Rischi hardware o macchina pericolosi di solito sono eccezionali e piuttosto raramente si trovano in un ambiente di lavoro solido, ma non possono essere evitati del tutto. Diversi tipi di energia incontrollata, come i seguenti agenti di rischio, può essere la conseguenza immediata di un malfunzionamento dell'hardware:
Agenti di rischio
Oggetti in movimento. Oggetti che cadono e volano, flussi di liquidi e getti di liquido o vapore, come quelli elencati, sono spesso le prime conseguenze esterne di guasti hardware o apparecchiature e rappresentano un'ampia percentuale di incidenti.
Sostanze chimiche. I rischi chimici contribuiscono anche agli incidenti sul lavoro e incidono sull'ambiente e sul pubblico. Gli incidenti di Seveso e Bhopal hanno comportato rilasci di sostanze chimiche che hanno colpito numerosi membri del pubblico, e molti incendi ed esplosioni industriali rilasciano sostanze chimiche e fumi nell'atmosfera. Gli incidenti stradali che coinvolgono camion per la consegna di benzina o prodotti chimici o altri trasporti di merci pericolose, uniscono due agenti di rischio: oggetti in movimento e sostanze chimiche.
Energia elettromagnetica. Campi elettrici e magnetici, raggi X e raggi gamma sono tutte manifestazioni dell'elettromagnetismo, ma sono spesso trattati separatamente in quanto si incontrano in circostanze piuttosto diverse. Tuttavia, i pericoli dell'elettromagnetismo hanno alcuni tratti generali: i campi e le radiazioni penetrano nei corpi umani invece di entrare in contatto solo con l'area di applicazione e non possono essere rilevati direttamente, sebbene intensità molto elevate causino il riscaldamento delle parti del corpo interessate. I campi magnetici sono creati dal flusso di corrente elettrica e campi magnetici intensi si trovano in prossimità di grandi motori elettrici, attrezzature per la saldatura ad arco elettrico, apparecchi per l'elettrolisi, lavori in metallo e così via. I campi elettrici accompagnano la tensione elettrica, e anche le normali tensioni di rete da 200 a 300 volt provocano l'accumulo di sporcizia per diversi anni, segno visibile dell'esistenza del campo, effetto noto anche in relazione a linee elettriche ad alta tensione, cinescopi televisivi , monitor di computer e così via.
I campi elettromagnetici si trovano per lo più piuttosto vicini alle loro sorgenti, ma elettromagnetici radiazione è un viaggiatore a lunga distanza, come esemplificano i radar e le onde radio. La radiazione elettromagnetica viene diffusa, riflessa e smorzata mentre attraversa lo spazio e incontra oggetti, superfici, sostanze e atmosfere diverse e simili; la sua intensità è quindi ridotta in diversi modi.
Le caratteristiche generali delle fonti di pericolo elettromagnetico (EM) sono:
Radiazione nucleare. I pericoli associati alle radiazioni nucleari sono di particolare interesse per i lavoratori delle centrali nucleari e degli impianti che lavorano con materiali nucleari come la produzione di combustibili e il ritrattamento, il trasporto e lo stoccaggio di materiale radioattivo. Le sorgenti di radiazioni nucleari sono utilizzate anche in medicina e da alcune industrie per la misurazione e il controllo. Un utilizzo più comune è negli allarmi antincendio/rilevatori di fumo, che utilizzano un emettitore di particelle alfa come l'americio per monitorare l'atmosfera.
I rischi nucleari sono principalmente incentrati su cinque fattori:
I pericoli derivano dal radioattivo processi di fissione nucleare e decadimento di materiali radioattivi. Questo tipo di radiazione viene emessa dai processi del reattore, dal combustibile del reattore, dal materiale moderatore del reattore, dai prodotti di fissione gassosi che possono essere sviluppati e da alcuni materiali da costruzione che vengono attivati dall'esposizione alle emissioni radioattive derivanti dal funzionamento del reattore.
Altri agenti di rischio. Altre classi di agenti di rischio che rilasciano o emettono energia includono:
Attivazione dei rischi hardware
Entrambi improvviso ed graduale il passaggio dalla condizione controllata - o "sicura" - a una condizione di maggiore pericolo può avvenire attraverso le seguenti circostanze, che possono essere controllate attraverso mezzi organizzativi appropriati come l'esperienza dell'utente, l'istruzione, le competenze, la sorveglianza e il test delle apparecchiature:
Poiché operazioni corrette non possono compensare in modo affidabile una progettazione e un'installazione improprie, è importante considerare l'intero processo, dalla selezione e progettazione fino all'installazione, all'uso, alla manutenzione e al collaudo, al fine di valutare lo stato e le condizioni effettive dell'articolo hardware.
Caso di pericolo: il serbatoio del gas pressurizzato
Il gas può essere contenuto in contenitori adatti per lo stoccaggio o il trasporto, come le bombole di gas e ossigeno utilizzate dai saldatori. Spesso il gas viene movimentato ad alta pressione, consentendo un notevole aumento della capacità di stoccaggio, ma con un maggior rischio di incidenti. Il fenomeno accidentale chiave nello stoccaggio di gas in pressione è la creazione improvvisa di un foro nel serbatoio, con questi risultati:
Lo sviluppo di un tale incidente dipende da questi fattori:
Il contenuto del serbatoio può essere rilasciato quasi immediatamente o per un periodo di tempo e comportare diversi scenari, dall'esplosione di gas libero da un serbatoio rotto, a rilasci moderati e piuttosto lenti da piccole forature.
Il comportamento di vari gas in caso di perdita
Quando si sviluppano modelli di calcolo del rilascio, è molto importante determinare le seguenti condizioni che influenzano il potenziale comportamento del sistema:
I calcoli esatti relativi a un processo di rilascio in cui il gas liquefatto fuoriesce da un foro sotto forma di getto e poi evapora (o, in alternativa, diventa prima una nebbia di goccioline) sono difficili. Anche la specificazione della successiva dispersione delle nubi risultanti è un problema difficile. Occorre considerare i movimenti e la dispersione dei rilasci di gas, se il gas forma nubi visibili o invisibili e se il gas sale o rimane a livello del suolo.
Mentre l'idrogeno è un gas leggero rispetto a qualsiasi atmosfera, il gas di ammoniaca (NH3, con un peso molecolare di 17.0) salirà in una normale atmosfera di ossigeno-azoto simile all'aria alla stessa temperatura e pressione. Cloro (cl2, con un peso molecolare di 70.9) e butano (C4H10, mol. wt.58) sono esempi di sostanze chimiche le cui fasi gassose sono più dense dell'aria, anche a temperatura ambiente. Acetilene (c2H2, mol. peso. 26.0) ha una densità di circa 0.90g/l, prossima a quella dell'aria (1.0g/l), il che significa che in un ambiente di lavoro il gas di saldatura fuoriuscito non avrà una marcata tendenza a fluttuare verso l'alto o ad affondare verso il basso; quindi può mescolarsi facilmente con l'atmosfera.
Ma l'ammoniaca rilasciata da un recipiente a pressione come liquido inizialmente si raffredderà a causa della sua evaporazione e potrebbe quindi fuoriuscire attraverso diversi passaggi:
Anche una nuvola di gas leggero potrebbe non sollevarsi immediatamente da un rilascio di gas liquido; può prima formare una nebbia - una nuvola di goccioline - e rimanere vicino al suolo. Il movimento della nube di gas e la sua graduale miscelazione/diluizione con l'atmosfera circostante dipende dai parametri meteorologici e dall'ambiente circostante: area chiusa, area aperta, case, traffico, presenza di pubblico, lavoratori e così via.
Guasto del serbatoio
Le conseguenze del guasto del serbatoio possono comportare incendio ed esplosione, asfissia, avvelenamento e soffocamento, come dimostra l'esperienza con i sistemi di produzione e trattamento del gas (propano, metano, azoto, idrogeno, ecc.), con i serbatoi di ammoniaca o cloro e con la saldatura a gas ( utilizzando acetilene e ossigeno). Ciò che effettivamente avvia la formazione di un buco in un serbatoio ha una forte influenza sul "comportamento" del buco - che a sua volta influenza il deflusso del gas - ed è cruciale per l'efficacia degli sforzi di prevenzione. Un recipiente a pressione è progettato e costruito per resistere a determinate condizioni di utilizzo e impatto ambientale e per gestire un determinato gas, o forse una scelta di gas. Le effettive capacità di un serbatoio dipendono dalla sua forma, dai materiali, dalle saldature, dalla protezione, dall'uso e dal clima; pertanto, la valutazione della sua adeguatezza come contenitore per gas pericolosi deve tenere conto delle specifiche del progettista, della storia del serbatoio, delle ispezioni e dei test. Le aree critiche includono i cordoni di saldatura utilizzati sulla maggior parte dei recipienti a pressione; i punti di collegamento alla nave di pertinenze quali prese, prese, sostegni e strumenti; le estremità piatte di serbatoi cilindrici come i serbatoi ferroviari; e altri aspetti di forme geometriche ancora meno ottimali.
I cordoni di saldatura vengono esaminati visivamente, mediante raggi X o mediante test distruttivi di campioni, poiché questi possono rivelare difetti locali, ad esempio sotto forma di resistenza ridotta che potrebbe mettere in pericolo la resistenza complessiva della nave, o addirittura essere un punto di innesco per il serbatoio acuto fallimento.
La robustezza del serbatoio è influenzata dalla storia di utilizzo del serbatoio, in primo luogo dai normali processi di usura e dai graffi e dagli attacchi di corrosione tipici del particolare settore e dell'applicazione. Altri parametri storici di particolare interesse includono:
Il materiale di costruzione - lamiera di acciaio, lamiera di alluminio, calcestruzzo per applicazioni non pressurizzate e così via - può subire deterioramenti a causa di queste influenze in modi che non è sempre possibile controllare senza sovraccaricare o distruggere l'apparecchiatura durante il collaudo.
Caso di incidente: Flixborough
L'esplosione di una grande nube di cicloesano a Flixborough (Regno Unito) nel 1974, che uccise 28 persone e causò ingenti danni alle piante, costituisce un caso molto istruttivo. L'evento scatenante è stata la rottura di una tubazione temporanea che fungeva da sostituto in un'unità reattore. L'incidente è stato "causato" dalla rottura di un pezzo di ferramenta, ma a un'indagine più attenta è emerso che il guasto è stato causato da un sovraccarico e che la costruzione temporanea era in realtà inadeguata per l'uso previsto. Dopo due mesi di servizio, il tubo è stato esposto a forze di flessione dovute a un leggero aumento di pressione dei 10 bar (106 Pa) contenuto di cicloesano a circa 150°C. I due soffietti tra il tubo ei reattori vicini si sono rotti e sono state rilasciate da 30 a 50 tonnellate di cicloesano che sono state presto incendiate, probabilmente da una fornace a una certa distanza dalla perdita. (Vedi figura 1.) Un resoconto molto leggibile del caso si trova in Kletz (1988).
Figura 1. Connessione temporanea tra serbatoi a Flixborough
Hazard Analysis
I metodi che sono stati sviluppati per trovare i rischi che possono essere rilevanti per un'apparecchiatura, per un processo chimico o per una determinata operazione sono indicati come "analisi dei rischi". Questi metodi pongono domande come: "Cosa potrebbe andare storto?" "Potrebbe essere grave?" e "Cosa si può fare al riguardo?" Diversi metodi di conduzione delle analisi sono spesso combinati per ottenere una copertura ragionevole, ma nessuno di questi set può fare di più che guidare o assistere un gruppo di analisti intelligenti nelle loro determinazioni. Le principali difficoltà con l'analisi dei pericoli sono le seguenti:
Per produrre valutazioni del rischio utilizzabili in queste circostanze è importante definire rigorosamente l'ambito e il livello di "ambizione" appropriato all'analisi in questione; ad esempio, è chiaro che non è necessario lo stesso tipo di informazioni per scopi assicurativi come per scopi di progettazione, o per la pianificazione di schemi di protezione e la costruzione di dispositivi di emergenza. In generale, il quadro di rischio deve essere compilato mescolando tecniche empiriche (cioè statistiche) con ragionamento deduttivo e immaginazione creativa.
Diversi strumenti di valutazione del rischio, anche programmi per computer per l'analisi del rischio, possono essere molto utili. Lo studio dei pericoli e dell'operabilità (HAZOP) e l'analisi delle modalità e degli effetti dei guasti (FMEA) sono metodi comunemente usati per indagare sui pericoli, specialmente nell'industria chimica. Il punto di partenza del metodo HAZOP è la tracciatura di possibili scenari di rischio sulla base di un insieme di parole guida; per ogni scenario si devono identificare probabili cause e conseguenze. Nella seconda fase, si cerca di trovare mezzi per ridurre le probabilità o mitigare le conseguenze di quegli scenari giudicati inaccettabili. Una revisione del metodo HAZOP può essere trovata in Charsley (1995). Il metodo FMEA pone una serie di domande "what if" per ogni possibile componente di rischio al fine di determinare accuratamente quali modalità di errore possono esistere e quindi identificare gli effetti che possono avere sulle prestazioni del sistema; tale analisi sarà illustrata nell'esempio dimostrativo (per un sistema a gas) presentato più avanti in questo articolo.
Alberi di guasto e gli alberi degli eventi e le modalità di analisi logica proprie delle strutture di causalità degli incidenti e del ragionamento probabilistico non sono in alcun modo specifici dell'analisi dei pericoli hardware, in quanto sono strumenti generali per la valutazione dei rischi del sistema.
Tracciamento dei rischi hardware in un impianto industriale
Per identificare possibili pericoli, informazioni sulla costruzione e sul funzionamento possono essere ricercate da:
Selezionando e digerendo tali informazioni, gli analisti formano un'immagine dell'oggetto di rischio stesso, delle sue funzioni e del suo effettivo utilizzo. Dove le cose non sono ancora costruite - o non sono disponibili per l'ispezione - non possono essere fatte osservazioni importanti e la valutazione deve basarsi interamente su descrizioni, intenzioni e progetti. Tale valutazione potrebbe sembrare piuttosto scadente, ma in realtà la maggior parte delle valutazioni pratiche del rischio viene effettuata in questo modo, sia per ottenere l'approvazione autorevole per le domande di intraprendere nuove costruzioni, sia per confrontare la relativa sicurezza di soluzioni progettuali alternative. I processi di vita reale saranno consultati per le informazioni non mostrate nei diagrammi formali o descritte verbalmente da interviste e per verificare che le informazioni raccolte da queste fonti siano fattuali e rappresentino condizioni reali. Questi includono quanto segue:
La maggior parte di queste informazioni aggiuntive, in particolare i percorsi nascosti, è rilevabile solo da osservatori creativi e qualificati con una notevole esperienza, e alcune delle informazioni sarebbero quasi impossibili da tracciare con mappe e diagrammi. Percorsi furtivi denotano interazioni non intenzionali e impreviste tra sistemi, in cui il funzionamento di un sistema influenza la condizione o il funzionamento di un altro sistema attraverso modi diversi da quelli funzionali. Ciò accade in genere quando parti funzionalmente diverse sono situate l'una vicino all'altra o (ad esempio) una sostanza che perde gocciola sull'apparecchiatura sottostante e provoca un guasto. Un'altra modalità di azione di un percorso invisibile può comportare l'introduzione di sostanze o parti sbagliate in un sistema per mezzo di strumenti o strumenti durante il funzionamento o la manutenzione: le strutture previste e le loro funzioni previste vengono modificate attraverso i percorsi nascosti. Di guasti di modo comune uno significa che determinate condizioni, come allagamenti, fulmini o interruzioni di corrente, possono disturbare più sistemi contemporaneamente, portando forse a blackout o incidenti inaspettatamente estesi. In generale, si cerca di evitare effetti di percorso nascosto e guasti di modo comune attraverso layout adeguati e introducendo distanza, isolamento e diversità nelle operazioni di lavoro.
Un caso di analisi dei rischi: consegna di gas da una nave a un serbatoio
La figura 2 mostra un sistema per la consegna di gas da una nave da trasporto a un serbatoio di stoccaggio. Una perdita potrebbe apparire ovunque in questo sistema: nave, linea di trasmissione, serbatoio o linea di uscita; dati i due invasi del serbatoio, una perdita da qualche parte sulla linea potrebbe rimanere attiva per ore.
Figura 2. Linea di trasmissione per la consegna di gas liquido dalla nave al serbatoio di stoccaggio
I componenti più critici del sistema sono i seguenti:
Un serbatoio di stoccaggio con un grande inventario di gas liquido è posto in cima a questo elenco, perché è difficile fermare una perdita da un serbatoio con breve preavviso. Il secondo elemento dell'elenco - il collegamento alla nave - è fondamentale perché le perdite nel tubo o nel tubo flessibile e le connessioni allentate o gli accoppiamenti con guarnizioni usurate e le variazioni tra le diverse navi potrebbero rilasciare il prodotto. Le parti flessibili come tubi flessibili e soffietti sono più critiche delle parti rigide e richiedono manutenzione e ispezione regolari. I dispositivi di sicurezza come la valvola di rilascio della pressione sulla parte superiore del serbatoio e le due valvole di arresto di emergenza sono fondamentali, poiché devono essere utilizzati per rivelare guasti latenti o in via di sviluppo.
Fino a questo punto, la classifica dei componenti del sistema per quanto riguarda la loro importanza rispetto all'affidabilità è stata solo di carattere generale. Ora, per scopi analitici, si attirerà l'attenzione sulle funzioni particolari del sistema, la principale essendo ovviamente il movimento del gas liquefatto dalla nave al serbatoio di stoccaggio fino a quando il serbatoio della nave collegato è vuoto. Il pericolo prevalente è una fuga di gas, i possibili meccanismi contributivi sono uno o più dei seguenti:
Applicazione del metodo FMEA
L'idea centrale dell'approccio FMEA, o analisi "what if", è registrare esplicitamente, per ogni componente del sistema, le sue modalità di guasto, e per ogni guasto trovare le possibili conseguenze per il sistema e per l'ambiente. Per i componenti standard come un serbatoio, un tubo, una valvola, una pompa, un flussometro e così via, le modalità di guasto seguono schemi generali. Nel caso di una valvola, ad esempio, le modalità di guasto potrebbero includere le seguenti condizioni:
Per una pipeline, le modalità di errore considererebbero elementi come:
Gli effetti delle perdite sembrano evidenti, ma a volte gli effetti più importanti potrebbero non essere i primi effetti: cosa succede, ad esempio, se una valvola è bloccata in una posizione semiaperta? Una valvola di intercettazione sulla linea di mandata che non si apre completamente su richiesta ritarderà il processo di riempimento del serbatoio, una conseguenza non pericolosa. Tuttavia, se la condizione di "blocco semiaperto" si verifica contemporaneamente a una richiesta di chiusura, in un momento in cui il serbatoio è quasi pieno, potrebbe verificarsi un riempimento eccessivo (a meno che la valvola di arresto di emergenza non venga attivata con successo). In un sistema progettato e gestito correttamente, la probabilità che entrambe queste valvole siano bloccate contemporaneamente sarà mantenuto piuttosto basso.
Chiaramente una valvola di sicurezza che non funziona su richiesta potrebbe significare un disastro; infatti, si potrebbe legittimamente affermare che i guasti latenti minacciano costantemente tutti i dispositivi di sicurezza. Le valvole limitatrici di pressione, ad esempio, possono essere difettose a causa di corrosione, sporco o vernice (tipicamente a causa di una cattiva manutenzione) e, nel caso di gas liquido, tali difetti in combinazione con la diminuzione della temperatura in caso di fuga di gas potrebbero produrre ghiaccio e quindi ridurre o forse arrestare il flusso di materiale attraverso una valvola di sicurezza. Se una valvola limitatrice di pressione non funziona su richiesta, la pressione può accumularsi in un serbatoio o nei sistemi di serbatoi collegati, provocando infine altre perdite o la rottura del serbatoio.
Per semplicità, gli strumenti non sono mostrati in figura 2; non mancheranno ovviamente gli strumenti relativi a pressione, flusso e temperatura, che sono parametri essenziali per il monitoraggio dello stato del sistema, i relativi segnali vengono trasmessi alle console operatore o ad una sala di controllo per scopi di controllo e monitoraggio. Inoltre, saranno previste linee di alimentazione diverse da quelle destinate al trasporto dei materiali - per l'energia elettrica, idraulica e così via - e ulteriori dispositivi di sicurezza. Un'analisi completa deve passare anche attraverso questi sistemi e cercare le modalità di guasto e anche gli effetti di questi componenti. In particolare, il lavoro di investigazione sugli effetti di modo comune e sui percorsi furtivi richiede di costruire il quadro integrale dei principali componenti del sistema, controlli, strumenti, forniture, operatori, orari di lavoro, manutenzione e così via.
Esempi di effetti di modo comune da considerare in relazione ai sistemi a gas sono affrontati da domande come queste:
Anche un impianto ottimamente progettato con ridondanza e linee di alimentazione indipendenti può soffrire di una manutenzione inferiore, dove, ad esempio, una valvola e la sua valvola di riserva (nel nostro caso la valvola di arresto di emergenza) sono state lasciate in uno stato errato dopo un test. Un importante effetto di modo comune con un sistema di gestione dell'ammoniaca è la situazione di perdita stessa: una perdita moderata può rendere tutte le operazioni manuali sui componenti dell'impianto piuttosto scomode - e ritardate - a causa dell'implementazione della necessaria protezione di emergenza.
In breve
I componenti hardware sono molto raramente le parti colpevoli nello sviluppo di incidenti; anzi, ci sono cause profonde da ricercare in altri anelli della catena: concetti sbagliati, cattiva progettazione, errori di manutenzione, errori di operatore, errori di gestione e così via. Sono già stati forniti diversi esempi delle condizioni e degli atti specifici che possono portare al fallimento dello sviluppo; un'ampia raccolta di tali agenti terrebbe conto di quanto segue:
Il controllo dei rischi hardware in un ambiente di lavoro richiede la revisione di tutte le possibili cause e il rispetto delle condizioni che risultano essere critiche con i sistemi reali. Le implicazioni di ciò per l'organizzazione dei programmi di gestione del rischio sono trattate in altri articoli, ma, come indica chiaramente l'elenco precedente, il monitoraggio e il controllo delle condizioni dell'hardware possono essere necessari fino alla scelta dei concetti e dei progetti per il sistemi e processi selezionati.
Attraverso l'industrializzazione, i lavoratori si sono organizzati nelle fabbriche quando è diventato possibile l'utilizzo di fonti energetiche come il motore a vapore. Rispetto all'artigianato tradizionale, la produzione meccanizzata, con maggiori fonti di energia a disposizione, presentava nuovi rischi di incidenti. Con l'aumentare della quantità di energia, i lavoratori sono stati rimossi dal controllo diretto di queste energie. Le decisioni che influivano sulla sicurezza venivano spesso prese a livello dirigenziale piuttosto che da coloro che erano direttamente esposti a questi rischi. In questa fase dell'industrializzazione, è diventata evidente la necessità di una gestione della sicurezza.
Alla fine degli anni '1920, Heinrich formulò il primo quadro teorico completo per la gestione della sicurezza, secondo il quale la sicurezza doveva essere ricercata attraverso decisioni di gestione basate sull'identificazione e l'analisi delle cause degli incidenti. A questo punto dello sviluppo della gestione della sicurezza, gli incidenti sono stati attribuiti a guasti a livello di sistema lavoratore-macchina, ovvero ad azioni e condizioni non sicure.
Successivamente sono state sviluppate diverse metodologie per l'identificazione e la valutazione dei rischi infortunistici. Con MORT (Management Oversight and Risk Tree), l'attenzione si è spostata sugli ordini superiori di controllo dei rischi infortunistici, ovvero sul controllo delle condizioni a livello gestionale. L'iniziativa di sviluppare il MORT è stata presa alla fine degli anni '1960 dall'Amministrazione statunitense per la ricerca e lo sviluppo dell'energia, che desiderava migliorare i propri programmi di sicurezza per ridurre le perdite dovute agli incidenti.
Il diagramma MORT ei principi sottostanti
L'intento di MORT era quello di formulare un sistema di gestione della sicurezza ideale basato su una sintesi dei migliori elementi del programma di sicurezza e tecniche di gestione della sicurezza allora disponibili. Poiché i principi alla base dell'iniziativa MORT sono stati applicati allo stato dell'arte contemporaneo nella gestione della sicurezza, la letteratura e le competenze sulla sicurezza in gran parte non strutturate hanno assunto la forma di un albero analitico. La prima versione dell'albero è stata pubblicata nel 1971. La figura 1 mostra gli elementi di base della versione dell'albero che è stata pubblicata da Johnson nel 1980. L'albero appare anche in forma modificata in successive pubblicazioni sul tema del concetto MORT ( si veda, ad esempio, Knox e Eicher 1992).
Figura 1. Una versione dell'albero analitico MORT
Il diagramma MORT
MORT è utilizzato come strumento pratico nelle indagini sugli incidenti e nelle valutazioni dei programmi di sicurezza esistenti. L'evento superiore dell'albero nella figura 1 (Johnson 1980) rappresenta le perdite (subite o potenziali) dovute a un incidente. Al di sotto di questo evento principale ci sono tre rami principali: sviste e omissioni specifiche (S), sviste e omissioni da parte della direzione (M) e rischi assunti (R). Il R-ramo consiste in rischi assunti, che sono eventi e condizioni noti alla direzione e che sono stati valutati e accettati al livello di direzione appropriato. Altri eventi e condizioni che vengono rivelati attraverso le valutazioni successive ai rami S e M sono indicati come "meno che adeguati" (LTA).
I Ramo a S si concentra sugli eventi e le condizioni dell'evento reale o potenziale. (In generale, il tempo è mostrato leggendo da sinistra a destra, e la sequenza delle cause è mostrata leggendo dal basso verso l'alto.) Le strategie di Haddon (1980) per la prevenzione degli incidenti sono elementi chiave in questo ramo. Un evento è definito incidente quando un bersaglio (una persona o un oggetto) è esposto a un trasferimento incontrollato di energia e subisce danni. Nel ramo S del MORT, gli incidenti vengono prevenuti attraverso barriere. Esistono tre tipi fondamentali di barriere: (1) barriere che circondano e confinano la fonte di energia (il pericolo), (2) barriere che proteggono il bersaglio e (3) barriere che separano il pericolo e il bersaglio fisicamente o nel tempo o nello spazio . Queste diverse tipologie di barriere si riscontrano nello sviluppo delle diramazioni al di sotto dell'evento accidentale. Il miglioramento si riferisce alle azioni intraprese dopo l'incidente per limitare le perdite.
Al livello successivo del ramo S, vengono riconosciuti i fattori che si riferiscono alle diverse fasi del ciclo di vita di un sistema industriale. Queste sono la fase del progetto (progettazione e pianificazione), l'avvio (prontezza operativa) e il funzionamento (supervisione e manutenzione).
I Ramo M supporta un processo in cui i risultati specifici di un'indagine sugli incidenti o di una valutazione del programma di sicurezza vengono resi più generali. Gli eventi e le condizioni del ramo S hanno quindi spesso le loro controparti nel ramo M. Quando è impegnato con il sistema nel ramo M, il pensiero dell'analista si espande al sistema di gestione totale. Pertanto, qualsiasi raccomandazione influirà anche su molti altri possibili scenari di incidente. Le più importanti funzioni di gestione della sicurezza si trovano nel ramo M: impostazione della politica, attuazione e follow-up. Sono gli stessi elementi di base che ritroviamo nei principi di garanzia della qualità della serie ISO 9000 pubblicati dall'Organizzazione Internazionale per la Standardizzazione (ISO).
Quando i rami del diagramma MORT vengono elaborati in dettaglio, ci sono elementi provenienti da campi così diversi come l'analisi del rischio, l'analisi dei fattori umani, i sistemi informativi di sicurezza e l'analisi organizzativa. In totale, il diagramma MORT copre circa 1,500 eventi di base.
Applicazione del Diagramma MORT
Come indicato, il diagramma MORT ha due utilizzi immediati (Knox e Eicher 1992): (1) per analizzare i fattori gestionali e organizzativi relativi ad un incidente avvenuto e (2) per valutare o verificare un programma di sicurezza in relazione ad un incidente rilevante che ha il potenziale per verificarsi. Il diagramma MORT funge da strumento di screening nella pianificazione delle analisi e delle valutazioni. Viene anche utilizzato come lista di controllo per il confronto delle condizioni reali con il sistema idealizzato. In questa applicazione, MORT facilita il controllo della completezza dell'analisi ed evita pregiudizi personali.
In fondo, MORT è costituito da una raccolta di domande. Da queste domande derivano i criteri che guidano i giudizi sul fatto che specifici eventi e condizioni siano soddisfacenti o meno che adeguati. Nonostante il disegno direttivo delle domande, i giudizi espressi dall'analista sono in parte soggettivi. Diventa quindi importante garantire un'adeguata qualità e grado di intersoggettività tra le analisi MORT effettuate da diversi analisti. Ad esempio, negli Stati Uniti è disponibile un programma di formazione per la certificazione degli analisti MORT.
Esperienze con MORT
La letteratura sulle valutazioni del MORT è scarsa. Johnson riporta miglioramenti significativi nella completezza delle indagini sugli incidenti dopo l'introduzione del MORT (Johnson 1980). Le carenze a livello di supervisione e gestione sono state rilevate in modo più sistematico. L'esperienza è stata acquisita anche dalle valutazioni delle applicazioni MORT all'interno dell'industria finlandese (Ruuhilehto 1993). Alcune limitazioni sono state identificate negli studi finlandesi. MORT non supporta l'identificazione di rischi immediati dovuti a guasti e disturbi. Inoltre, nel concetto MORT non è integrata alcuna capacità di stabilire priorità. Di conseguenza, i risultati delle analisi MORT necessitano di un'ulteriore valutazione per tradurli in azioni correttive. Infine, l'esperienza dimostra che il MORT richiede tempo e la partecipazione di esperti.
Oltre alla capacità di concentrarsi sui fattori organizzativi e gestionali, MORT ha l'ulteriore vantaggio di collegare la sicurezza con le normali attività produttive e la gestione generale. L'applicazione del MORT supporterà quindi la pianificazione e il controllo generale e contribuirà anche a ridurre la frequenza dei disturbi della produzione.
Metodi e tecniche di gestione della sicurezza associati
Con l'introduzione del concetto MORT nei primi anni '1970, negli Stati Uniti è iniziato un programma di sviluppo. Il punto focale di questo programma è stato il System Safety Development Center di Idaho Falls. Da questo programma sono scaturiti diversi metodi e tecniche associati al MORT in settori quali l'analisi dei fattori umani, i sistemi informativi sulla sicurezza e l'analisi della sicurezza. Un primo esempio di un metodo derivante dal programma di sviluppo del MORT è l'Operational Readiness Program (Nertney 1975). Questo programma viene introdotto durante lo sviluppo di nuovi sistemi industriali e modifiche di quelli esistenti. L'obiettivo è garantire che, dal punto di vista della gestione della sicurezza, il sistema nuovo o modificato sia pronto al momento dell'avvio. Una condizione di prontezza operativa presuppone che le necessarie barriere e controlli siano stati installati nell'hardware, nel personale e nelle procedure del nuovo sistema. Un altro esempio di un elemento del programma MORT è l'analisi della causa principale basata su MORT (Cornelison 1989). Viene utilizzato per identificare i problemi di gestione della sicurezza di base di un'organizzazione. Questo viene fatto mettendo in relazione i risultati specifici delle analisi MORT a 27 diversi problemi generici di gestione della sicurezza.
Sebbene il MORT non sia destinato all'uso diretto nella raccolta di informazioni durante le indagini sugli incidenti e gli audit di sicurezza, in Scandinavia le domande MORT sono servite come base per lo sviluppo di uno strumento diagnostico utilizzato a tale scopo. Si chiama Safety Management and Organization Review Technique, o SMORT (Kjellén e Tinmannsvik 1989). Un'analisi SMORT procede all'indietro per gradi, partendo dalla situazione specifica e terminando a livello di gestione generale. Il punto di partenza (livello 1) è una sequenza di incidente o una situazione di rischio. Al livello 2, vengono esaminati l'organizzazione, la pianificazione del sistema e i fattori tecnici relativi al funzionamento quotidiano. I livelli successivi comprendono la progettazione di nuovi sistemi (livello 3) e le funzioni gestionali superiori (livello 4). I risultati su un livello sono estesi ai livelli superiori. Ad esempio, i risultati relativi alla sequenza dell'incidente e alle operazioni quotidiane sono utilizzati nell'analisi dell'organizzazione e delle routine dell'azienda per il lavoro a progetto (livello 3). I risultati al livello 3 non influenzeranno la sicurezza nelle operazioni esistenti ma possono essere applicati alla pianificazione di nuovi sistemi e modifiche. SMORT differisce da MORT anche nel modo in cui vengono identificati i reperti. Al livello 1, si tratta di eventi e condizioni osservabili che si discostano dalle norme generalmente accettate. Quando i fattori organizzativi e gestionali vengono inseriti nell'analisi ai livelli da 2 a 4, i risultati vengono identificati attraverso giudizi di valore formulati da un gruppo di analisi e verificati attraverso una procedura di controllo della qualità. L'obiettivo è quello di garantire una comprensione reciprocamente condivisa dei problemi organizzativi.
In breve
Il MORT è stato determinante negli sviluppi nella gestione della sicurezza sin dagli anni '1970. È possibile tracciare l'influenza del MORT in aree come la letteratura sulla ricerca sulla sicurezza, la letteratura sulla gestione della sicurezza e gli strumenti di audit e la legislazione sull'autoregolamentazione e il controllo interno. Nonostante questo impatto, i suoi limiti devono essere attentamente considerati. Il MORT ei metodi associati sono normativi nel senso che prescrivono come devono essere organizzati ed eseguiti i programmi di gestione della sicurezza. L'ideale è un'organizzazione ben strutturata con obiettivi chiari e realistici e linee di responsabilità e autorità ben definite. MORT è quindi più adatto per organizzazioni grandi e burocratiche.
Sistemi di Ispezione
L'auditing è stato definito come “il processo strutturato di raccolta di informazioni indipendenti sull'efficienza, l'efficacia e l'affidabilità del sistema di gestione totale della sicurezza e di elaborazione di piani per azioni correttive” (Successful Health & Safety Management 1991).
L'ispezione sul posto di lavoro quindi non è solo la fase finale nella creazione di un programma di gestione della sicurezza, ma è anche un processo continuo nel suo mantenimento. Può essere condotto solo dove è stato istituito un sistema di gestione della sicurezza adeguatamente concepito. Tale sistema prevede innanzitutto una dichiarazione politica formale da parte della direzione che definisca i suoi principi per la creazione di un ambiente di lavoro sano e sicuro e quindi stabilisca i meccanismi e le strutture all'interno dell'organizzazione per mezzo dei quali questi principi saranno effettivamente implementati. Il management deve inoltre impegnarsi a fornire risorse adeguate, sia umane che finanziarie, a supporto dei meccanismi e delle strutture del sistema. Successivamente, ci deve essere una pianificazione dettagliata per la sicurezza e la salute e la definizione di obiettivi misurabili. Devono essere ideati sistemi per garantire che le prestazioni di sicurezza e salute nella pratica possano essere misurate rispetto a norme stabilite e rispetto a risultati precedenti. Solo quando questa struttura è in atto ed è operativa può essere applicato un efficace sistema di controllo di gestione.
Sistemi completi di gestione della sicurezza e della salute possono essere concepiti, prodotti e implementati dalle risorse delle imprese più grandi. Inoltre, esistono numerosi sistemi di controllo della gestione della sicurezza che sono disponibili presso consulenti, compagnie assicurative, agenzie governative, associazioni e società specializzate. Spetta all'impresa decidere se produrre il proprio sistema o avvalersi di servizi esterni. Entrambe le alternative sono in grado di produrre ottimi risultati se c'è un genuino impegno da parte del management ad applicarle diligentemente ea farle funzionare. Ma per il loro successo, dipendono fortemente dalla qualità del sistema di audit.
Ispezioni di gestione
La procedura di ispezione deve essere scrupolosa e obiettiva come l'ispezione finanziaria della società. L'ispezione deve innanzitutto verificare se la dichiarazione di politica aziendale in materia di sicurezza e salute trova adeguato riscontro nelle strutture e nei meccanismi creati per attuarla; in caso contrario, l'ispezione può raccomandare che la politica fondamentale venga rivalutata o suggerire aggiustamenti o modifiche alle strutture e ai meccanismi esistenti. Un processo simile deve essere applicato alla pianificazione della sicurezza e della salute, alla validità delle norme di definizione degli obiettivi e alla misurazione delle prestazioni. I risultati di qualsiasi ispezione devono essere presi in considerazione dall'alta direzione dell'impresa e qualsiasi correzione deve essere approvata e attuata attraverso tale autorità.
In pratica è indesiderabile, e spesso poco pratico, intraprendere un'ispezione completa di tutte le caratteristiche di un sistema e della loro applicazione in ogni reparto dell'azienda in una sola volta. Più di solito, la procedura di ispezione si concentra su una caratteristica del sistema di gestione della sicurezza totale in tutto l'impianto o, in alternativa, sull'applicazione di tutte le caratteristiche in un reparto o anche sottoreparto. Ma l'obiettivo è quello di coprire tutte le funzionalità in tutti i reparti per un periodo concordato al fine di convalidare i risultati.
In tal senso, l'ispezione della direzione dovrebbe essere considerata come un processo continuo di vigilanza. La necessità di obiettività è chiaramente di notevole importanza. Se le ispezioni vengono condotte internamente, deve esistere una procedura di ispezione standardizzata; le ispezioni dovrebbero essere effettuate da personale adeguatamente formato a tal fine; e quelli selezionati come ispettori non devono valutare i dipartimenti in cui lavorano normalmente, né devono valutare qualsiasi altro lavoro in cui hanno un coinvolgimento personale. Quando si fa affidamento sui consulenti, questo problema è ridotto al minimo.
Molte grandi aziende hanno adottato questo tipo di sistema, ideato internamente o ottenuto come schema proprietario. Quando i sistemi sono stati attentamente seguiti dalla dichiarazione politica all'ispezione, al feedback e alle azioni correttive, dovrebbero derivarne una sostanziale riduzione dei tassi di incidenti, che è la principale giustificazione della procedura, e un aumento della redditività, che è un gradito risultato secondario.
Ispezioni da parte degli ispettorati
Il quadro giuridico concepito per offrire protezione ai lavoratori deve essere adeguatamente amministrato ed efficacemente applicato se si vuole raggiungere lo scopo della normativa regolamentare. La maggior parte dei paesi ha quindi adottato il modello generale di un servizio di ispezione che ha il compito di garantire l'applicazione della legislazione in materia di sicurezza e salute. Molti paesi vedono le questioni relative alla sicurezza e alla salute come parte di un pacchetto completo sui rapporti di lavoro che copre le relazioni industriali, gli accordi salariali e di ferie e le prestazioni sociali. In questo modello, le ispezioni di sicurezza e salute sono un elemento delle funzioni dell'ispettore del lavoro. Esiste anche un diverso modello in cui l'ispettorato statale si occupa esclusivamente della legislazione in materia di sicurezza e salute, per cui le ispezioni sui luoghi di lavoro si concentrano esclusivamente su questo aspetto. Ulteriori variazioni sono evidenti nella divisione delle funzioni ispettive tra un ispettorato nazionale o un ispettorato regionale/provinciale, o addirittura, come in Italia e nel Regno Unito, ad esempio, come combinazione operativa di entrambi gli ispettorati nazionali e regionali. Ma qualunque sia il modello adottato, la funzione essenziale dell'ispettorato è quella di accertare il rispetto della normativa mediante un programma di ispezioni programmate e indagini sul luogo di lavoro.
Non può esistere un sistema di controllo efficace se coloro che intraprendono questo lavoro non sono dotati di poteri adeguati per svolgerlo. C'è molto terreno comune tra gli ispettorati per quanto riguarda i poteri loro conferiti dai rispettivi legislatori. Ci deve essere sempre il diritto di accesso ai locali, che è chiaramente fondamentale per l'ispezione. Successivamente vi è il diritto legale di esaminare documenti, registri e rapporti pertinenti, di intervistare membri della forza lavoro individualmente o collettivamente, di avere accesso illimitato ai rappresentanti sindacali sul posto di lavoro, di prelevare campioni di sostanze o materiali in uso sul posto di lavoro , scattare fotografie e, se del caso, raccogliere dichiarazioni scritte dalle persone che lavorano nei locali.
Sono spesso previsti poteri aggiuntivi per consentire agli ispettori di rettificare condizioni che potrebbero costituire una fonte immediata di pericolo o di malattia per la forza lavoro. Ancora una volta c'è un'ampia varietà di pratiche. Laddove gli standard sono così scadenti che esiste un rischio imminente di pericolo per la forza lavoro, allora un ispettore può essere autorizzato a notificare un atto legale sul posto che vieta l'uso del macchinario o dell'impianto, o interrompe il processo fino a quando il rischio non è stato effettivamente risolto controllato. Per un ordine di rischio inferiore, gli ispettori possono emettere un avviso legale che richiede formalmente che siano prese misure entro un dato tempo per migliorare gli standard. Si tratta di modi efficaci per migliorare rapidamente le condizioni di lavoro e sono spesso una forma di esecuzione preferibile ai procedimenti giudiziari formali, che possono essere macchinosi e lenti nell'ottenere rimedi.
I procedimenti legali occupano un posto importante nella gerarchia dell'esecuzione. Si sostiene che, poiché i procedimenti giudiziari sono semplicemente punitivi e non comportano necessariamente un cambiamento degli atteggiamenti nei confronti della sicurezza e della salute sul lavoro, dovrebbero quindi essere invocati solo come ultima risorsa quando tutti gli altri tentativi di ottenere miglioramenti sono falliti. Ma questo punto di vista deve essere contrapposto al fatto che dove i requisiti legali sono stati ignorati o ignorati e dove la sicurezza e la salute delle persone sono state significativamente messe a rischio, allora la legge deve essere applicata ei tribunali devono decidere la questione. C'è l'ulteriore argomento che le imprese che non rispettano la legislazione sulla sicurezza e la salute possono in tal modo godere di un vantaggio economico rispetto ai loro concorrenti, che forniscono risorse adeguate per adempiere ai loro obblighi legali. Il perseguimento di coloro che ostinatamente non rispettano i propri doveri è quindi un deterrente per i senza scrupoli e un incoraggiamento per coloro che cercano di osservare la legge.
Ogni servizio di ispezione deve determinare il giusto equilibrio tra fornire consulenza e far rispettare la legge nel corso del lavoro di ispezione. Una particolare difficoltà emerge in relazione all'ispezione delle piccole imprese. Le economie locali, e in effetti le economie nazionali, sono spesso sostenute da stabilimenti industriali che impiegano ciascuno meno di 20 persone; nel caso dell'agricoltura, il dato di occupazione per unità è molto inferiore. La funzione dell'ispettorato in questi casi è quella di utilizzare l'ispezione sul posto di lavoro per fornire informazioni e consulenza non solo sui requisiti legali, ma anche sugli standard pratici e sui modi efficaci per soddisfare tali standard. La tecnica deve essere quella di incoraggiare e stimolare, piuttosto che applicare immediatamente la legge con un'azione punitiva. Ma anche qui l'equilibrio è difficile. I lavoratori hanno diritto a standard di sicurezza e salute indipendentemente dalle dimensioni dell'impresa, e sarebbe quindi del tutto fuorviante per un servizio di ispezione ignorare o minimizzare i rischi e limitare o addirittura rinunciare all'applicazione semplicemente per alimentare l'esistenza di persone economicamente fragili piccola impresa.
Coerenza delle ispezioni
In considerazione della natura complessa del loro lavoro - con le sue esigenze combinate di competenze legali, prudenziali, tecniche e scientifiche, gli ispettori non adottano - anzi non dovrebbero - adottare un approccio meccanicistico all'ispezione. Questo vincolo, combinato con un difficile equilibrio tra le funzioni consultive ed esecutive, crea ancora un'altra preoccupazione, quella della coerenza dei servizi ispettivi. Gli industriali ei sindacati hanno il diritto di aspettarsi un'applicazione coerente degli standard, sia tecnici che legali, da parte degli ispettori in tutto il paese. In pratica questo non è sempre facile da raggiungere, ma è qualcosa per cui le autorità esecutive devono sempre adoperarsi.
Ci sono modi per raggiungere una coerenza accettabile. In primo luogo, l'ispettorato dovrebbe essere il più aperto possibile nel pubblicare i suoi standard tecnici e nel definire pubblicamente le sue politiche di applicazione. In secondo luogo, attraverso la formazione, l'applicazione di esercizi di revisione tra pari e istruzioni interne, dovrebbe essere in grado sia di riconoscere un problema sia di fornire sistemi per affrontarlo. Infine, dovrebbe garantire l'esistenza di procedure che consentano all'industria, alla forza lavoro, al pubblico e alle parti sociali di ottenere un risarcimento in caso di legittimo reclamo per incoerenza o altre forme di cattiva amministrazione associate all'ispezione.
Frequenza delle ispezioni
Con quale frequenza gli ispettorati devono effettuare ispezioni sul posto di lavoro? Anche in questo caso vi è una notevole variazione nel modo in cui si può rispondere a questa domanda. L'Organizzazione internazionale del lavoro (ILO) ritiene che il requisito minimo dovrebbe essere che ogni posto di lavoro debba essere ispezionato dalle autorità preposte almeno una volta all'anno. In pratica, pochi paesi riescono a produrre un programma di ispezione del lavoro che soddisfi questo obiettivo. In effetti, dopo la grave depressione economica alla fine degli anni '1980, alcuni governi hanno ridotto i servizi di ispezione con limitazioni di bilancio che si traducono in tagli al numero di ispettori o con restrizioni sull'assunzione di nuovo personale per sostituire quelli che vanno in pensione.
Esistono diversi approcci per determinare la frequenza con cui devono essere effettuate le ispezioni. Un approccio è stato puramente ciclico. Le risorse vengono impiegate per fornire l'ispezione di tutti i locali su base biennale o, più probabilmente, quadriennale. Ma questo approccio, pur avendo forse l'apparenza di equità, tratta tutte le premesse come uguali indipendentemente dalle dimensioni o dal rischio. Eppure le imprese sono manifestamente diverse per quanto riguarda le condizioni di sicurezza e salute, e nella misura in cui differiscono, questo sistema può essere considerato meccanicistico e viziato.
Un approccio diverso, adottato da alcuni ispettorati, è stato quello di tentare di elaborare un programma di lavoro basato sulla pericolosità; quanto maggiore è il pericolo per la sicurezza o per la salute, tanto più frequente è l'ispezione. Quindi le risorse vengono applicate dall'ispettorato a quei luoghi in cui il potenziale di danno per la forza lavoro è maggiore. Sebbene questo approccio abbia dei meriti, ci sono ancora notevoli problemi ad esso associati. In primo luogo, ci sono difficoltà nel valutare accuratamente e obiettivamente il pericolo e il rischio. In secondo luogo, estende notevolmente gli intervalli tra le ispezioni di quei locali in cui i pericoli ei rischi sono considerati bassi. Pertanto, possono trascorrere periodi prolungati durante i quali molti membri della forza lavoro potrebbero dover rinunciare a quel senso di sicurezza e garanzia che l'ispezione può fornire. Inoltre, il sistema tende a presumere che pericoli e rischi, una volta valutati, non cambino radicalmente. Questo è tutt'altro che vero, e c'è il pericolo che un'impresa di basso livello possa modificare o sviluppare la sua produzione in modo tale da aumentare i pericoli e il rischio senza che l'ispettorato sia a conoscenza dello sviluppo.
Altri approcci includono ispezioni basate su tassi di infortuni all'impianto che sono superiori alle medie nazionali per il settore specifico o immediatamente dopo un infortunio mortale o una catastrofe grave. Non ci sono risposte brevi e facili al problema di determinare la frequenza delle ispezioni, ma ciò che sembra stia accadendo è che i servizi di ispezione in molti paesi sono troppo spesso significativamente a corto di risorse, con il risultato che la reale protezione della forza lavoro offerta da il servizio viene progressivamente eroso.
Obiettivi dell'ispezione
Le tecniche di ispezione sul posto di lavoro variano a seconda delle dimensioni e della complessità dell'impresa. Nelle aziende più piccole, l'ispezione sarà completa e valuterà tutti i pericoli e la misura in cui i rischi derivanti dai pericoli sono stati ridotti al minimo. L'ispezione garantirà quindi che il datore di lavoro sia pienamente consapevole dei problemi di sicurezza e salute e riceva indicazioni pratiche su come affrontarli. Ma anche nella più piccola impresa l'ispettorato non deve dare l'impressione che l'accertamento delle colpe e l'applicazione di opportuni rimedi siano di competenza dell'ispettorato e non del datore di lavoro. I datori di lavoro devono essere incoraggiati dall'ispezione a controllare e gestire efficacemente i problemi di sicurezza e salute, e non devono abdicare alle proprie responsabilità attendendo un'ispezione da parte delle autorità di contrasto prima di intraprendere le azioni necessarie.
Nelle aziende più grandi, l'importanza dell'ispezione è piuttosto diversa. Queste aziende hanno le risorse tecniche e finanziarie per affrontare i problemi di sicurezza e salute. Dovrebbero ideare sia sistemi di gestione efficaci per risolvere i problemi, sia procedure di gestione per verificare che i sistemi funzionino. In tali circostanze, l'enfasi ispettiva dovrebbe pertanto essere posta sulla verifica e sulla convalida dei sistemi di controllo di gestione presenti sul posto di lavoro. L'ispezione non dovrebbe quindi essere un esame esaustivo di tutti gli elementi di impianti e attrezzature per determinarne la sicurezza, ma piuttosto utilizzare esempi selezionati per testare l'efficacia o meno dei sistemi di gestione per garantire la sicurezza e la salute sul lavoro.
Coinvolgimento dei lavoratori nelle ispezioni
Qualunque sia la sede, un elemento critico in qualsiasi tipo di ispezione è il contatto con la forza lavoro. In molti locali più piccoli, potrebbe non esserci alcuna struttura sindacale formale o addirittura alcuna organizzazione della forza lavoro. Tuttavia, per garantire l'obiettività e l'accettazione del servizio di ispezione, il contatto con i singoli lavoratori dovrebbe essere parte integrante dell'ispezione. Nelle imprese più grandi, i contatti dovrebbero essere sempre presi con i sindacati o altri rappresentanti dei lavoratori riconosciuti. La legislazione di alcuni paesi (Svezia e Regno Unito, ad esempio) conferisce riconoscimento ufficiale e poteri ai rappresentanti sindacali per la sicurezza, compreso il diritto di effettuare ispezioni sul posto di lavoro, di indagare su incidenti ed eventi pericolosi e in alcuni paesi (sebbene ciò sia eccezionale) di arrestare i macchinari dell'impianto o il processo di produzione se è imminentemente pericoloso. Molte informazioni utili possono essere ricavate da questi contatti con i lavoratori, che dovrebbero essere presenti in ogni ispezione, e certamente ogni volta che l'ispettorato sta conducendo un'ispezione a seguito di un infortunio o di una denuncia.
Risultati dell'ispezione
L'elemento finale in un'ispezione è rivedere i risultati dell'ispezione con il membro più anziano della direzione sul sito. La direzione ha la responsabilità primaria di rispettare i requisiti legali in materia di sicurezza e salute, e pertanto nessuna ispezione dovrebbe essere completa senza che la direzione sia pienamente consapevole della misura in cui ha adempiuto a tali obblighi e di ciò che deve essere fatto per garantire e mantenere standard adeguati . Certamente se vengono emessi avvisi legali a seguito di un'ispezione o se è probabile un procedimento legale, l'alta dirigenza deve essere a conoscenza di questo stato di cose il prima possibile.
Ispezioni aziendali
Le ispezioni aziendali sono un ingrediente importante per il mantenimento di solidi standard di sicurezza e salute sul lavoro. Sono adatti a tutte le imprese e, nelle aziende più grandi, possono essere un elemento della procedura di controllo della direzione. Per le aziende più piccole, è essenziale adottare una qualche forma di regolare ispezione aziendale. Non si dovrebbe fare affidamento sui servizi ispettivi forniti dagli ispettorati delle autorità esecutive. Questi sono di solito troppo rari e dovrebbero servire in gran parte come stimolo per migliorare o mantenere gli standard, piuttosto che essere la fonte primaria per la valutazione degli standard. Le ispezioni aziendali possono essere effettuate da consulenti o da società specializzate in questo lavoro, ma l'attuale discussione si concentrerà sull'ispezione da parte del personale dell'impresa.
Con quale frequenza devono essere effettuate le ispezioni aziendali? In una certa misura la risposta dipende dai rischi associati al lavoro e dalla complessità dell'impianto. Ma anche nei locali a basso rischio dovrebbe esserci qualche forma di ispezione su base regolare (mensile, trimestrale, ecc.). Se l'azienda impiega un professionista della sicurezza, allora chiaramente l'organizzazione e lo svolgimento dell'ispezione devono essere una parte importante di questa funzione. L'ispezione dovrebbe solitamente essere un lavoro di squadra che coinvolge il professionista della sicurezza, il direttore di reparto o il caposquadra e un rappresentante sindacale o un lavoratore qualificato, come un membro del comitato per la sicurezza. L'ispezione dovrebbe essere completa; vale a dire, va fatto un attento esame sia del software di sicurezza (ad esempio, sistemi, procedure e permessi di lavoro) sia dell'hardware (ad esempio, protezione dei macchinari, dispositivi antincendio, ventilazione di scarico e dispositivi di protezione individuale). Particolare attenzione dovrebbe essere prestata ai "near miss" - quegli incidenti che non provocano danni o lesioni personali ma che hanno il potenziale imminente di gravi lesioni accidentali. C'è l'aspettativa che, dopo un incidente con conseguente assenza dal lavoro, il gruppo di ispezione si riunisca immediatamente per indagare sulle circostanze, come una questione al di fuori del normale ciclo di ispezione. Ma anche durante l'ispezione di routine in officina, il team dovrebbe anche considerare l'entità delle lesioni accidentali minori che si sono verificate nel reparto dall'ispezione precedente.
È importante che le ispezioni aziendali non sembrino essere costantemente negative. Laddove esistano difetti è importante che vengano individuati e corretti, ma è altrettanto importante elogiare il mantenimento di buoni standard, commentare positivamente l'ordine e la buona pulizia e incoraggiare coloro che utilizzano i dispositivi di protezione individuale previsti per la loro sicurezza . Per completare l'ispezione dovrebbe essere redatto un rapporto scritto formale delle carenze significative riscontrate. Occorre prestare particolare attenzione a eventuali carenze individuate in precedenti ispezioni ma non ancora corrette. Laddove esista un consiglio per la sicurezza del lavoro, o un comitato per la sicurezza congiunto dirigenza-lavoratori, il rapporto di ispezione dovrebbe figurare come punto permanente nell'ordine del giorno del consiglio. Il rapporto sull'ispezione deve essere inviato e discusso con l'alta direzione dell'impresa, che dovrebbe quindi determinare se è necessaria un'azione e, in tal caso, autorizzare e sostenere tale azione.
Anche le aziende più piccole, dove non esiste un professionista della sicurezza e dove i sindacati potrebbero non esistere, dovrebbero prendere in considerazione le ispezioni aziendali. Molti ispettorati hanno prodotto linee guida molto semplici che illustrano i concetti di base di sicurezza e salute, la loro applicazione a una vasta gamma di industrie e modi pratici in cui possono essere applicati anche nelle imprese più piccole. Molte associazioni di sicurezza si rivolgono specificamente alle piccole imprese con pubblicazioni (spesso gratuite) che forniscono le informazioni di base per stabilire condizioni di lavoro sicure e salutari. Armato di questo tipo di informazioni e con il dispendio di pochissimo tempo, il titolare di una piccola impresa può stabilire standard ragionevoli e può quindi forse evitare il tipo di incidenti che possono accadere alla forza lavoro anche nella più piccola impresa.
È un paradosso che la prevenzione degli infortuni sul lavoro non sia emersa molto presto come una necessità assoluta, dal momento che la salute e la sicurezza sono fondamentali per il lavoro stesso. Solo all'inizio del Novecento, infatti, gli infortuni sul lavoro cessarono di essere considerati inevitabili e la loro causa divenne oggetto di indagine e di prevenzione. Tuttavia, le indagini sugli incidenti sono rimaste a lungo superficiali ed empiriche. Storicamente, gli incidenti sono stati inizialmente concepiti come fenomeni semplici, cioè come risultanti da un'unica causa (o principale) e da un piccolo numero di cause sussidiarie. È ormai riconosciuto che l'indagine sugli infortuni, finalizzata all'individuazione delle cause del fenomeno in modo da scongiurarne il ripetersi, dipende sia dal concetto sotteso al processo di indagine sia dalla complessità della situazione a cui si applica.
Cause di incidenti
È vero infatti che nelle situazioni più precarie gli infortuni sono spesso il risultato di una sequenza abbastanza semplice di poche cause rapidamente riconducibili a problemi tecnici di base che anche un'analisi sommaria può rivelare (attrezzature mal progettate, modalità di lavoro non definite, eccetera.). D'altra parte, quanto più gli elementi materiali del lavoro (macchine, impianti, disposizione del posto di lavoro, ecc.) sono conformi ai requisiti delle procedure, degli standard e dei regolamenti sul lavoro sicuro, tanto più sicura diventa la situazione di lavoro. Il risultato è che un incidente può poi verificarsi solo quando sono presenti contemporaneamente un insieme di condizioni eccezionali, condizioni che diventano sempre più numerose. In tali casi, la lesione o il danno appare come il risultato finale di una rete di cause spesso complessa. Questa complessità è in realtà la prova dei progressi nella prevenzione e richiede metodi di indagine appropriati. La tabella 1 elenca i concetti principali del fenomeno infortunistico, le loro caratteristiche e le implicazioni per la prevenzione.
Tabella 1. Principali concetti del fenomeno infortunistico, loro caratteristiche e implicazioni per la prevenzione
Concetto o “fenomeno incidentale” |
Elementi significativi (obiettivi, procedure, limiti, ecc.) |
Principali conseguenze per la prevenzione |
Concetto di base (incidente come |
L'obiettivo è identificare “la” causa singola o principale |
Semplici misure di prevenzione relative all'immediato antecedente dell'infortunio (protezione individuale, istruzioni per la cura, protezione delle macchine pericolose) |
Concetto incentrato su misure normative |
Concentrati sulla ricerca di chi è responsabile; l'“istruttoria” individua essenzialmente infrazioni e colpe Raramente preoccupato delle condizioni che generano le situazioni esaminate |
Prevenzione solitamente limitata a promemoria sui requisiti normativi esistenti o istruzioni formali |
Concetto lineare (o quasi lineare) (modello “domino”) |
Individuazione di una successione cronologica di “condizioni di pericolo” e “atti pericolosi” |
Conclusioni generalmente relative agli atti pericolosi |
Concetto multifattoriale |
Ricerche approfondite per raccogliere i fatti (circostanze, cause, fattori, ecc.) |
Concetto poco favorevole alla ricerca di soluzioni caso per caso (analisi clinica) e più adatto all'individuazione di aspetti statistici (trend, tabelle, grafici, ecc.) |
Concetto sistematico |
Individuazione della rete dei fattori di ciascun sinistro |
Metodi incentrati sull'analisi clinica |
Al giorno d'oggi, l'infortunio sul lavoro è generalmente visto come un indice (o sintomo) di disfunzione in un sistema costituito da un'unica unità produttiva, come una fabbrica, un'officina, un team o una postazione di lavoro. È la natura di un sistema che la sua analisi richieda all'investigatore di esaminare non solo gli elementi che compongono il sistema, ma anche le loro relazioni tra loro e con l'ambiente di lavoro. Nell'ambito di un sistema, l'indagine infortunistica cerca di risalire alle sue origini la sequenza delle disfunzioni di base che hanno determinato l'infortunio e, più in generale, la rete degli antecedenti dell'evento indesiderato (incidente, mancato incidente o incidente).
L'applicazione di metodi di questo tipo, come il metodo STEP (procedure di tracciamento sequenziale degli eventi temporizzati) e il metodo dell'“albero delle cause” (simile all'analisi degli alberi degli eventi o dei guasti), consente di visualizzare il processo dell'incidente sotto forma di un grafico aggiustato che illustra la multicausalità del fenomeno. Poiché questi due metodi sono così simili, descrivere entrambi rappresenterebbe una duplicazione dello sforzo; di conseguenza, questo articolo si concentra sul metodo dell'albero delle cause e, ove applicabile, rileva le sue principali differenze rispetto al metodo STEP.
Informazioni utili per l'indagine
La fase iniziale delle indagini, la raccolta delle informazioni, deve consentire di descrivere in termini concreti, precisi e oggettivi il decorso dell'incidente. L'indagine si propone quindi di accertare i fatti tangibili, avendo cura di non interpretarli o di esprimere un giudizio su di essi. Questi sono gli antecedenti dell'infortunio, di cui esistono due tipi:
Ad esempio, una protezione insufficiente di una macchina (un antecedente permanente) può rivelarsi un fattore di incidente se consente all'operatore di prendere posizione in un'area pericolosa per far fronte a un particolare incidente (antecedente insolito).
La raccolta delle informazioni viene effettuata sul luogo dell'incidente stesso il prima possibile dopo il suo verificarsi. È preferibilmente eseguito da persone che conoscono l'operazione o il processo e che cercano di ottenere una descrizione precisa del lavoro senza limitarsi alle circostanze immediate del danno o della lesione. L'indagine viene inizialmente effettuata principalmente attraverso interviste, se possibile, al lavoratore o all'operatore, alle vittime e ai testimoni oculari, agli altri membri del gruppo di lavoro e ai superiori gerarchici. Se del caso, viene completata mediante un'indagine tecnica e l'utilizzo di esperti esterni.
L'indagine cerca di identificare, in ordine di priorità, gli antecedenti insoliti e di determinare le loro connessioni logiche. Nello stesso tempo si cerca di rivelare gli antecedenti permanenti che hanno permesso il verificarsi dell'incidente. In questo modo l'indagine è in grado di risalire a uno stadio più remoto rispetto agli immediati antecedenti dell'incidente. Questi antecedenti più remoti possono riguardare gli individui, i loro compiti, le attrezzature che utilizzano, l'ambiente in cui operano e la cultura della sicurezza. Procedendo nel modo appena descritto, è generalmente possibile stilare un lungo elenco di antecedenti, ma di solito sarà difficile utilizzare immediatamente i dati. L'interpretazione dei dati è resa possibile grazie ad una rappresentazione grafica di tutti gli antecedenti coinvolti nella genesi dell'incidente, ovvero un albero delle cause.
Costruire un albero delle cause
L'albero delle cause presenta tutti gli antecedenti raccolti che hanno dato luogo all'incidente, nonché i nessi logici e cronologici che li legano; è una rappresentazione della rete di antecedenti che hanno causato direttamente o indirettamente il danno. L'albero delle cause è costruito partendo dal punto finale dell'evento - cioè la lesione o il danno - e procedendo a ritroso verso la causa ponendo sistematicamente le seguenti domande per ogni antecedente raccolto:
Questo insieme di domande può rivelare tre tipi di connessione logica, riassunti nella figura 1, tra gli antecedenti.
Figura 1. Collegamenti logici utilizzati nel metodo "albero delle cause".
La coerenza logica dell'albero viene verificata ponendo le seguenti domande per ogni antecedente:
Inoltre, la stessa costruzione dell'albero delle cause induce gli inquirenti a proseguire la raccolta delle informazioni, e quindi l'indagine, ben prima che si verificasse l'incidente. Una volta completato, l'albero rappresenta la rete degli antecedenti che hanno dato origine alla lesione: sono infatti i fattori incidentali. A titolo di esempio, l'incidente riassunto di seguito ha prodotto l'albero delle cause mostrato in figura 2.
Figura 2. Albero delle cause di incidente subito da un apprendista meccanico durante il rimontaggio di un motore su un'auto
Rapporto di riepilogo dell'incidente: Un apprendista meccanico, appena assunto, ha dovuto lavorare da solo in caso di emergenza. Un'imbracatura usurata veniva utilizzata per sospendere un motore che doveva essere rimontato, e durante questa operazione l'imbracatura si ruppe e il motore cadde ferendo il braccio del meccanico.
Analisi con il metodo STEP
Secondo il metodo STEP (figura 3), ogni evento è rappresentato graficamente in modo da mostrare l'ordine cronologico della sua comparsa, mantenendo una riga per “agente” interessato (un agente è la persona o la cosa che determina il corso degli eventi che costituiscono processo infortunistico). Ogni evento è descritto con precisione indicandone l'inizio, la durata, il luogo di inizio e di fine e così via. Quando ci sono più ipotesi plausibili, l'investigatore può mostrarle nella rete degli eventi usando la relazione logica “o”.
Figura 3. Esempio di rappresentazione possibile con il metodo STEP
Analisi con il metodo dell'albero delle cause
L'utilizzo dell'albero delle cause ai fini dell'analisi degli infortuni ha due obiettivi:
Data la struttura logica dell'albero, l'assenza di un unico antecedente avrebbe impedito il verificarsi dell'incidente. Una misura di prevenzione oculata sarebbe quindi sufficiente, in linea di principio, a soddisfare il primo obiettivo impedendo il ripetersi dello stesso infortunio. Il secondo obiettivo richiederebbe l'eliminazione di tutti i fattori scoperti, ma in pratica gli antecedenti non sono tutti di pari importanza ai fini della prevenzione. È quindi necessario stilare un elenco di precedenti che richiedano un'azione preventiva ragionevole e realistica. Se questo elenco è lungo, bisogna fare una scelta. Questa scelta ha più possibilità di essere opportuna se viene effettuata nell'ambito di un dibattito tra le parti coinvolte nell'incidente. Inoltre, il dibattito guadagnerà in chiarezza nella misura in cui sarà possibile valutare l'efficacia in termini di costi di ciascuna misura proposta.
Efficacia delle misure preventive
L'efficacia di una misura preventiva può essere giudicata con l'ausilio dei seguenti criteri:
La stabilità della misura. Gli effetti di una misura preventiva non devono scomparire nel tempo: informare gli operatori (in particolare ricordando loro le istruzioni) non è una misura molto stabile perché i suoi effetti sono spesso transitori. Lo stesso vale peraltro per alcuni dispositivi di protezione quando sono facilmente rimovibili.
La possibilità di integrare la sicurezza. Quando una misura di sicurezza si aggiunge, cioè quando non contribuisce direttamente alla produzione, si dice che la sicurezza non è integrata. Qualora ciò avvenga, si osserva che la misura tende a scomparire. In generale va evitata qualsiasi misura preventiva che comporti un costo aggiuntivo per l'operatore, sia esso un costo fisiologico (aumento del carico fisico o nervoso), un costo psicologico, un costo finanziario (nel caso di salario o rendimento) o addirittura una semplice perdita di tempo.
Il non spostamento del rischio. Alcune misure preventive possono avere effetti indiretti dannosi per la sicurezza. Occorre quindi sempre prevedere le possibili ripercussioni di una misura preventiva sul sistema (lavoro, squadra o officina) in cui è inserita.
La possibilità di applicazione generale (la nozione di potenziale fattore di incidente). Questo criterio riflette la preoccupazione che la stessa azione preventiva possa essere applicata ad altri posti di lavoro rispetto a quello interessato dall'incidente in esame. Quando possibile, si dovrebbe fare uno sforzo per andare oltre il caso particolare che ha dato origine all'indagine, sforzo che richiede spesso una riformulazione dei problemi scoperti. Le informazioni ricavate da un infortunio possono quindi portare ad azioni preventive relative a fattori sconosciuti ma presenti in altre situazioni lavorative dove non hanno ancora dato luogo a infortuni. Per questo vengono chiamati “fattori incidentali potenziali”. Questa nozione apre la strada alla diagnosi precoce dei rischi, menzionata in seguito.
L'effetto sulle “cause” alla radice. In linea generale, la prevenzione dei fattori infortunistici in prossimità del punto di lesione elimina alcuni effetti delle situazioni pericolose, mentre la prevenzione agendo ben a monte dell'infortunio tende ad eliminare le situazioni di pericolo stesse. Un'indagine approfondita sugli incidenti è giustificata nella misura in cui l'azione preventiva riguarda anche i fattori a monte.
Il tempo impiegato per l'applicazione. La necessità di agire il più rapidamente possibile dopo il verificarsi di un incidente per evitarne il ripetersi si traduce spesso nell'applicazione di una semplice misura preventiva (un'istruzione, per esempio), ma ciò non elimina la necessità di altre più durature e un'azione più efficace. Ogni incidente deve quindi dar luogo a una serie di proposte la cui attuazione è oggetto di follow-up.
I criteri di cui sopra hanno lo scopo di dare una migliore valutazione della qualità dell'azione preventiva proposta dopo ogni indagine sull'incidente. Tuttavia, la scelta finale non viene effettuata solo su questa base, poiché devono essere prese in considerazione anche altre considerazioni, come quelle economiche, culturali o sociali. Infine, le misure decise devono ovviamente rispettare la normativa vigente.
Fattori di incidente
Gli insegnamenti tratti dall'analisi di ogni incidente meritano di essere registrati sistematicamente in modo da facilitare il passaggio dalla conoscenza all'azione. Così la figura 4 consiste di tre colonne. Nella colonna di sinistra sono indicati i fattori incidentali che richiedono misure preventive. La possibile azione preventiva è descritta nella colonna centrale per ogni fattore deciso. Dopo la discussione di cui sopra, l'azione selezionata viene registrata in questa parte del documento.
Figura 4. Insegnamenti tratti dagli incidenti e utilizzo di questi insegnamenti
Nella colonna di destra sono rappresentati i fattori incidentali potenziali suggeriti dai fattori elencati nella colonna di sinistra: si ritiene che ogni fattore incidentale scoperto sia spesso solo un caso particolare di un fattore più generale noto come fattore incidentale potenziale. Il passaggio dal caso particolare al caso più generale avviene spesso in modo spontaneo. Tuttavia, ogni volta che un fattore accidentale si esprime in modo tale che non è possibile incontrarlo altrove che nella situazione in cui si è manifestato, occorre considerare una formulazione più generale. Nel fare ciò, è necessario evitare due trappole opposte in modo da utilizzare efficacemente la nozione di potenziale fattore di incidente nella rilevazione precoce dei rischi che si presentano successivamente. Una formulazione troppo circoscritta non consente l'individuazione sistematica dei fattori, mentre una formulazione troppo ampia rende impraticabile la nozione e non riveste alcun interesse pratico. L'individuazione di potenziali fattori incidentali presuppone quindi che siano ben formulati. Questa rilevazione può poi essere effettuata in due modi, peraltro complementari:
Utilità, efficacia e limiti delle indagini sugli incidenti
Utilità. Rispetto alle indagini non sistematiche, i metodi di indagine sugli incidenti basati su un concetto sistematico presentano numerosi vantaggi, tra cui:
Efficacia. Per essere efficace, l'indagine sugli incidenti richiede che siano soddisfatte contemporaneamente quattro condizioni:
Limitazioni. Anche se svolta molto bene, l'inchiesta sugli incidenti soffre di una doppia limitazione:
La necessità di segnalare e compilare i dati sugli incidenti
Lo scopo principale della raccolta e dell'analisi dei dati sugli infortuni sul lavoro è fornire conoscenze da utilizzare nella prevenzione di infortuni sul lavoro, decessi e altre forme di danno come esposizioni tossiche con effetti a lungo termine. Questi dati sono utili anche per valutare le necessità di risarcire le vittime per lesioni subite in precedenza. Ulteriori scopi più specifici per la compilazione delle statistiche sugli incidenti includono quanto segue:
Spesso si desidera una panoramica del numero di incidenti che si verificano su base annua. A tale scopo viene spesso utilizzata una frequenza, rapportando il numero di infortuni ad una misura relativa al gruppo di rischio ed espressa, ad esempio, in termini di infortuni per 100,000 lavoratori o per 100,000 ore lavorate. Tali conteggi annuali hanno lo scopo di rivelare le variazioni di un tasso di infortuni da un anno all'altro. Tuttavia, mentre possono indicare i tipi di incidenti che richiedono l'azione preventiva più urgente, da soli non forniscono indicazioni sulla forma che questa azione dovrebbe assumere.
La necessità di informazioni sugli incidenti riguarda i seguenti tre livelli di funzione che ne fanno uso:
Il ruolo dell'organizzazione nella compilazione delle informazioni sugli incidenti
In molti paesi è un obbligo legale che le imprese conservino statistiche sugli infortuni sul lavoro che provocano lesioni, morte o esposizione tossica a un lavoratore. Lo scopo di questo è solitamente quello di richiamare l'attenzione sui rischi che hanno effettivamente portato a questo tipo di incidenti, con attività di sicurezza incentrate principalmente sul particolare incidente e sullo studio dell'evento stesso. Tuttavia, è più comune che le informazioni sugli incidenti vengano raccolte e registrate sistematicamente, una funzione che normalmente viene svolta a un livello superiore.
Poiché le circostanze effettive della maggior parte degli incidenti sono speciali, raramente si verificano incidenti del tutto identici e la prevenzione basata sull'analisi del singolo incidente tende molto facilmente a diventare una questione altamente specifica. Attraverso la compilazione sistematica delle informazioni sugli infortuni è possibile ottenere una visione più ampia di quelle aree in cui si riscontrano rischi specifici e scoprire i fattori meno evidenti che determinano la causa dell'incidente. Processi di lavoro specifici, team di lavoro specifici o il lavoro con macchinari specifici possono dar luogo a incidenti altamente circostanziali. Tuttavia, uno studio approfondito dei tipi di infortuni associati a una determinata classe di lavoro uniforme può rivelare fattori quali processi di lavoro inopportuni, uso scorretto dei materiali, condizioni di lavoro difficili o mancanza di un'adeguata istruzione del lavoratore. L'analisi di numerosi incidenti ricorrenti evidenzierà i fattori fondamentali da affrontare quando si intraprende un'azione preventiva.
Segnalazione di informazioni sugli incidenti alle autorità preposte alla sicurezza
La legislazione che richiede la denuncia degli infortuni sul lavoro varia notevolmente da paese a paese, con differenze principalmente relative alle classi di datori di lavoro e altri a cui si applicano le leggi. I paesi che pongono un'enfasi significativa sulla sicurezza sul posto di lavoro di solito impongono che i dati sugli incidenti siano segnalati all'autorità responsabile della supervisione del rispetto della legislazione sulla sicurezza. (In alcuni casi, la legislazione richiede la denuncia degli infortuni sul lavoro che comportano un'assenza dal lavoro, la durata di tale assenza varia da 1 a 3 giorni oltre al giorno dell'infortunio.) Comune alla maggior parte della legislazione è il fatto che la denuncia è collegata con una sorta di sanzione o risarcimento per le conseguenze degli incidenti.
Al fine di fornire una solida base per la prevenzione degli infortuni sul lavoro, è necessario garantire informazioni sugli infortuni relative a tutti i settori ea tutti i tipi di attività. Dovrebbe essere fornita una base di confronto a livello nazionale per consentire di dare priorità all'azione di prevenzione e affinché la conoscenza dei rischi associati alle mansioni trasversali ai diversi settori possa essere messa a frutto nel lavoro di prevenzione. Si raccomanda pertanto che l'obbligo di compilare informazioni sugli infortuni sul lavoro a livello nazionale si applichi a tutti gli infortuni sul lavoro di una determinata gravità, indipendentemente dal fatto che riguardino dipendenti di imprese o lavoratori autonomi, persone che lavorano con lavoro temporaneo o lavoratori dipendenti regolari, o lavoratori del settore pubblico o privato.
Mentre i datori di lavoro, in generale, hanno il dovere di denunciare gli infortuni, è un dovere svolto con diversi gradi di entusiasmo. Il grado di rispetto dell'obbligo di denuncia degli infortuni dipende dagli incentivi che spingono il datore di lavoro a farlo. Alcuni paesi hanno una regola, ad esempio, secondo la quale i datori di lavoro saranno risarciti per la retribuzione per ore lavorative perse della vittima di un incidente, un accordo che dà loro una buona ragione per denunciare gli infortuni sul lavoro. Altri paesi penalizzano i datori di lavoro che si trovano a non denunciare gli infortuni. Laddove non esistono incentivi di questo tipo, non sempre viene rispettato l'obbligo meramente legale che grava sul datore di lavoro. Si raccomanda inoltre che le informazioni sugli infortuni sul lavoro destinate alle applicazioni preventive siano fornite all'autorità preposta alle attività di prevenzione e mantenute separate dall'autorità di indennizzo.
Quali informazioni devono essere compilate?
Esistono tre classi fondamentali di informazioni ottenibili mediante la registrazione degli infortuni:
È necessario compilare un certo complemento di dati di base per documentare correttamente quando e dove si verifica un incidente e analizzare come si verifica. A livello aziendale, i dati raccolti sono più dettagliati rispetto a quelli raccolti a livello nazionale, ma i report generati a livello locale conterranno elementi di informazione preziosi a tutti i livelli. La tabella 1 illustra particolari tipi di informazioni che potrebbero essere registrate per descrivere un singolo incidente. Di seguito vengono meglio descritte le voci particolarmente rilevanti per l'attività di elaborazione delle statistiche relative all'infortunio.
Tabella 1. Variabili informative che caratterizzano un incidente
Azioni |
articoli |
Passo 1 |
|
Attività della vittima: ad esempio, utilizzare una macchina, eseguire la manutenzione, guidare, camminare, ecc. |
Componente relativo all'attività della vittima: ad es. pressa elettrica, attrezzo, veicolo, pavimento, ecc. |
Passo 2 |
|
Azione deviante: es. esplosione, cedimento strutturale, inciampo, perdita di controllo, ecc. |
Componente correlato all'azione deviante: ad es. recipiente a pressione, muro, cavo, veicolo, macchina, utensile, ecc. |
Passo 3 |
|
Azione che porta a lesioni: ad esempio, colpito da, schiacciato, intrappolato, in contatto con, morso da, ecc. |
Agente di lesione: ad esempio, mattone, terra, macchina, ecc. |
Numero di identificazione dell'incidente. A tutti gli infortuni sul lavoro deve essere assegnato un numero identificativo univoco. È particolarmente vantaggioso utilizzare un identificatore numerico ai fini dell'archiviazione informatica e della successiva elaborazione.
Numero di identificazione personale e data. La registrazione della vittima è una parte essenziale dell'identificazione dell'incidente. Il numero può essere il compleanno del lavoratore, il numero di lavoro, il numero di previdenza sociale o qualche altro identificatore univoco. La registrazione sia del numero di identificazione personale che della data del sinistro evita la duplicazione della registrazione dello stesso evento infortunistico e consente inoltre di verificare l'avvenuta denuncia del sinistro. Il legame tra le informazioni contenute nella denuncia di sinistro con il numero di identificazione personale può essere protetto a fini di sicurezza.
Nazionalità. La nazionalità della vittima può essere un elemento di informazione particolarmente importante nei paesi con una forza lavoro straniera significativamente ampia. È possibile selezionare un numero di codice a due cifre tra quelli elencati nello standard DS/ISO 3166.
Occupazione. Un numero di registrazione dell'occupazione può essere scelto dall'elenco di codici di occupazione internazionale a quattro cifre fornito dalla International Standard Classification of Occupations (ISCO).
Enterprise. Il nome, l'indirizzo e il numero di identificazione dell'impresa sono utilizzati nella registrazione degli infortuni a livello nazionale (sebbene il nome e l'indirizzo non possano essere utilizzati per la registrazione informatica). Il settore produttivo dell'impresa sarà solitamente registrato presso la sua compagnia assicurativa contro gli infortuni sul lavoro o registrato in relazione alla registrazione della sua forza lavoro. Un identificatore di settore numerico può essere assegnato secondo il sistema di classificazione internazionale NACE a cinque cifre.
Il processo di lavoro. Una componente fondamentale delle informazioni relative agli infortuni sul lavoro è una descrizione del processo lavorativo svolto al momento in cui si è verificato l'infortunio. L'identificazione del processo di lavoro è un prerequisito per una prevenzione mirata in modo accurato. Va notato che il processo lavorativo è l'effettiva funzione lavorativa che la vittima stava svolgendo al momento dell'incidente e potrebbe non essere necessariamente identico al processo lavorativo che ha causato la lesione, la morte o l'esposizione.
L'evento incidente. Un evento di incidente normalmente comprende una catena di eventi. C'è spesso una tendenza da parte degli investigatori a concentrarsi sulla parte del ciclo di eventi in cui si è effettivamente verificata la lesione. Dal punto di vista della prevenzione, invece, è altrettanto importante una descrizione di quella parte del ciclo dell'evento in cui qualcosa è andato storto, e di ciò che la vittima stava facendo quando l'evento si è verificato.
Le conseguenze dell'incidente. Dopo aver specificato la parte del corpo lesa e descritto il tipo di lesione (questo viene fatto in parte codificando da una lista di controllo e in parte dalla descrizione nel ciclo degli eventi), vengono registrate le informazioni che descrivono la gravità della lesione, se ha provocato assenza dal lavoro (e per quanto tempo), o se è stata fatale o ha comportato invalidità. Informazioni dettagliate in termini di assenza dal lavoro di lunga durata, ricovero o invalidità sono normalmente disponibili presso le casse di compensazione e il sistema di previdenza sociale.
Ai fini della rilevazione, l'esame degli eventi infortunistici si articola quindi nelle seguenti tre componenti informative:
I seguenti esempi illustrano l'applicazione di queste categorie di analisi:
Segnalazione di informazioni sugli incidenti
Le informazioni da ottenere per ogni incidente possono essere registrate in un modulo di rapporto simile a quello mostrato in figura 1.
Figura 1. Modulo di report di esempio
Le informazioni dal modulo di rapporto possono essere registrate su un computer utilizzando chiavi di classificazione. (Laddove si possono raccomandare sistemi di classificazione internazionale, questi sono menzionati nella descrizione delle singole variabili informative, data sopra.) Le classificazioni per le altre variabili utilizzate per registrare gli infortuni sul lavoro sono state sviluppate dal Servizio danese per l'ambiente di lavoro e i principi da utilizzare nell'istituire un sistema di registrazione armonizzato fanno parte di una proposta elaborata dall'Unione europea.
L'uso delle statistiche sugli incidenti
Le statistiche sugli incidenti costituiscono uno strumento prezioso in un'ampia gamma di contesti: mappatura, monitoraggio e allerta, definizione delle priorità delle aree di prevenzione, misure di prevenzione specifiche, reperimento e ricerca di informazioni. Un'area può sovrapporsi a un'altra, ma i principi di applicazione variano.
Mappatura
Mappatura dei dati sugli infortuni sul lavoro comporta l'estrazione di informazioni di tipo predeterminato da un accumulo di dati registrati e l'analisi delle interrelazioni tra di essi. I seguenti esempi illustreranno l'utilità delle applicazioni di mappatura.
Monitoraggio e allerta
Controllo è un processo di sorveglianza in corso accompagnato da identificazione dei warning dei rischi maggiori, e in particolare delle variazioni di tali rischi. I cambiamenti osservati nelle segnalazioni di incidenti in entrata possono essere indicativi di cambiamenti nel modello di segnalazione o, più seriamente, possono riflettere effettivi cambiamenti nei fattori di rischio. Si può dire che esistano rischi maggiori dove c'è un'alta frequenza di lesioni, dove si verificano molte lesioni gravi e dove c'è un grande gruppo di esposizione umana.
Definizione delle priorità
Definizione delle priorità è la selezione delle aree di rischio o dei problemi dell'ambiente di lavoro più importanti per un'azione preventiva. Attraverso i risultati delle indagini di mappatura e delle attività di monitoraggio e allerta, può essere costruito un registro degli infortuni sul lavoro che può contribuire a questa definizione delle priorità, i cui elementi possono includere quanto segue:
I dati tratti da un registro degli infortuni sul lavoro possono essere utilizzati per stabilire le priorità a più livelli, forse a livello nazionale generale oa livello aziendale più specifico. Qualunque sia il livello, le analisi e le valutazioni possono essere fatte sulla base degli stessi principi.
Frodi
Le analisi e la documentazione utilizzate a scopo preventivo sono in genere molto specifiche e concentrate in aree limitate, ma trattate in modo approfondito. Un esempio di tale analisi è la campagna contro gli incidenti mortali condotta dall'Ispettorato nazionale del lavoro danese. Indagini preliminari di mappatura hanno individuato i mestieri e le funzioni lavorative in cui si sono verificati infortuni mortali. I trattori agricoli sono stati selezionati come area focale per l'analisi. Lo scopo dell'analisi era quindi determinare cosa rendesse i trattori così pericolosi. Sono state indagate domande su chi li ha guidati, dove sono stati operati, quando si sono verificati gli incidenti e, in particolare, quali tipi di situazioni ed eventi hanno portato agli incidenti. L'analisi ha prodotto una descrizione di sette situazioni tipiche che più frequentemente hanno portato a incidenti. Sulla base di questa analisi è stato formulato un programma preventivo.
Il numero di infortuni sul lavoro in una singola impresa è spesso troppo piccolo per fornire statistiche utilizzabili per l'analisi preventiva. Un'analisi del modello degli incidenti può essere utilizzata per prevenire il ripetersi di lesioni specifiche, ma difficilmente può avere successo nel prevenire il verificarsi di incidenti che in un modo o nell'altro differiscono da casi precedenti. A meno che il focus dell'indagine non sia un'impresa abbastanza grande, tali analisi sono quindi meglio eseguite su un gruppo di imprese di natura molto simile o su un gruppo di processi produttivi dello stesso tipo. Ad esempio, un'analisi dell'industria del legname mostra che gli incidenti che si verificano con le macchine da taglio riguardano principalmente lesioni alle dita. Gli incidenti di trasporto consistono prevalentemente in lesioni ai piedi e alle gambe, mentre i danni cerebrali e l'eczema sono i pericoli più comuni nel settore del trattamento delle superfici. Un'analisi più dettagliata dei processi di lavoro rilevanti all'interno del settore può rivelare quali situazioni tipicamente causano incidenti. Sulla base di queste informazioni, gli esperti del settore in questione possono quindi individuare quando è probabile che si verifichino tali situazioni e le possibilità di prevenzione.
Recupero e ricerca di informazioni
Uno degli usi più comuni di tali sistemi informativi come i sistemi di archiviazione e biblioteca è il recupero di informazioni di natura specifica e ben definita ai fini della ricerca sulla sicurezza. Ad esempio, in uno studio finalizzato alla formulazione di norme in materia di lavori sui tetti, è stato sollevato il dubbio se a tali lavori fosse associato un rischio particolare. La convinzione prevalente era che le persone si ferissero molto raramente cadendo dai tetti durante il lavoro. Tuttavia, in questo caso, è stato utilizzato un registro degli infortuni sul lavoro per recuperare tutte le denunce in cui le persone avevano subito lesioni per caduta dai tetti, ed è stato infatti rilevato un numero considerevole di casi, a conferma dell'importanza di continuare a formulare norme in materia.
A sistema può essere definito come un insieme di componenti interdipendenti combinati in modo tale da svolgere una data funzione in determinate condizioni. Una macchina è un esempio tangibile e particolarmente chiaro di un sistema in questo senso, ma ci sono altri sistemi, che coinvolgono uomini e donne in una squadra o in un'officina o fabbrica, che sono molto più complessi e non così facili da definire. Sicurezza suggerisce l'assenza di pericolo o rischio di incidente o danno. Per evitare ambiguità, il concetto generale di an occorrenza indesiderata sarà impiegato. La sicurezza assoluta, nel senso dell'impossibilità che si verifichi un incidente più o meno sfortunato, non è raggiungibile; realisticamente si deve mirare a una probabilità molto bassa, piuttosto che nulla, di eventi indesiderati.
Un dato sistema può essere considerato sicuro o non sicuro solo rispetto alle prestazioni che ci si aspetta effettivamente da esso. Con questo in mente, il livello di sicurezza di un sistema può essere definito come segue: “Per ogni dato insieme di eventi indesiderati, il livello di sicurezza (o non sicurezza) di un sistema è determinato dalla probabilità che questi eventi si verifichino in un dato periodo di tempo". Esempi di eventi indesiderati che sarebbero di interesse nella presente connessione includono: decessi multipli, morte di una o più persone, lesioni gravi, lesioni lievi, danni all'ambiente, effetti dannosi su esseri viventi, distruzione di piante o edifici e gravi o limitati danni materiali o alle apparecchiature.
Finalità dell'Analisi del Sistema di Sicurezza
L'obiettivo di un'analisi di sicurezza del sistema è quello di accertare i fattori che incidono sulla probabilità degli eventi indesiderati, studiare il modo in cui questi eventi si verificano e, in ultima analisi, sviluppare misure preventive per ridurne la probabilità.
La fase analitica del problema può essere suddivisa in due aspetti principali:
Una volta studiate le varie disfunzioni e le loro conseguenze, gli analisti della sicurezza del sistema possono rivolgere la loro attenzione alle misure preventive. La ricerca in questo settore si baserà direttamente sui risultati precedenti. Questa indagine sui mezzi preventivi segue i due aspetti principali dell'analisi della sicurezza del sistema.
Metodi di analisi
L'analisi della sicurezza del sistema può essere condotta prima o dopo l'evento (a priori oa posteriori); in entrambi i casi, il metodo utilizzato può essere diretto o inverso. Un'analisi a priori ha luogo prima dell'occorrenza indesiderata. L'analista prende un certo numero di tali occorrenze e si propone di scoprire le varie fasi che possono condurvi. Al contrario, un'analisi a posteriori viene effettuata dopo che si è verificato l'evento indesiderato. Il suo scopo è quello di fornire orientamenti per il futuro e, in particolare, di trarre eventuali conclusioni che possano essere utili per eventuali successive analisi a priori.
Sebbene possa sembrare che un'analisi a priori sia molto più preziosa di un'analisi a posteriori, poiché precede l'incidente, le due sono in realtà complementari. Il metodo utilizzato dipende dalla complessità del sistema coinvolto e da ciò che è già noto sull'argomento. Nel caso di sistemi tangibili come macchine o impianti industriali, l'esperienza precedente può solitamente servire a preparare un'analisi a priori abbastanza dettagliata. Tuttavia, anche in questo caso l'analisi non è necessariamente infallibile ed è sicura di beneficiare di una successiva analisi a posteriori basata essenzialmente su uno studio degli incidenti che si verificano nel corso dell'operazione. Per quanto riguarda i sistemi più complessi che coinvolgono le persone, come i turni di lavoro, le officine o le fabbriche, l'analisi a posteriori è ancora più importante. In tali casi, l'esperienza passata non è sempre sufficiente per consentire un'analisi a priori dettagliata e attendibile.
Un'analisi a posteriori può trasformarsi in un'analisi a priori in quanto l'analista va oltre il singolo processo che ha portato all'incidente in questione e inizia a esaminare i vari eventi che potrebbero ragionevolmente portare a tale incidente o incidenti simili.
Un altro modo in cui un'analisi a posteriori può diventare un'analisi a priori è quando l'accento è posto non sull'evento (la cui prevenzione è lo scopo principale dell'analisi attuale) ma su incidenti meno gravi. Questi incidenti, come intoppi tecnici, danni materiali e incidenti potenziali o minori, di per sé relativamente poco significativi, possono essere identificati come segnali di allarme di eventi più gravi. In tali casi, sebbene effettuata successivamente al verificarsi di incidenti minori, l'analisi sarà un'analisi a priori rispetto a eventi più gravi che non si sono ancora verificati.
Ci sono due possibili metodi per studiare il meccanismo o la logica dietro la sequenza di due o più eventi:
La figura 1 è uno schema di un circuito di controllo che richiede due pulsanti (B1 e B2) da premere contemporaneamente per attivare la bobina del relè (R) e avviare la macchina. Questo esempio può essere utilizzato per illustrare, in termini pratici, il dirette ed invertire metodi utilizzati nell'analisi della sicurezza del sistema.
Figura 1. Circuito di controllo a due pulsanti
Metodo diretto
Nel metodo diretto, l'analista inizia (1) elencando difetti, disfunzioni e disadattamenti, (2) studiandone gli effetti e (3) determinando se tali effetti rappresentano o meno una minaccia per la sicurezza. Nel caso della figura 1, possono verificarsi i seguenti guasti:
L'analista può quindi dedurre le conseguenze di questi errori ei risultati possono essere presentati in forma tabellare (tabella 1).
Tabella 1. Possibili disfunzioni di un circuito di comando a due pulsanti e relative conseguenze
Guasti |
Conseguenze |
Rompere il filo tra 2 e 2' |
Impossibile avviare la macchina* |
Chiusura accidentale di B1 (o b2 ) |
Nessuna conseguenza immediata |
Contatta C1 (o c2 ) come conseguenza di |
Nessuna conseguenza immediata ma possibilità del |
Cortocircuito tra 1 e 1' |
Attivazione della bobina del relè R: avvio accidentale di |
* Evento con influenza diretta sull'affidabilità del sistema
** Evento responsabile di una grave riduzione del livello di sicurezza del sistema
*** Evento pericoloso da evitare
Vedere testo e figura 1.
Nella tabella 1 le conseguenze pericolose o suscettibili di ridurre gravemente il livello di sicurezza del sistema possono essere indicate con segni convenzionali come ***.
Nota: Nella tabella 1 una rottura del filo tra 2 e 2´ (mostrata in figura 1) determina un evento non considerato pericoloso. Non ha effetti diretti sulla sicurezza del sistema; tuttavia, la probabilità che si verifichi un tale incidente ha un impatto diretto sull'affidabilità del sistema.
Il metodo diretto è particolarmente appropriato per la simulazione. La figura 2 mostra un simulatore analogico progettato per studiare la sicurezza dei circuiti di controllo della pressa. La simulazione del circuito di controllo consente di verificare che, in assenza di guasti, il circuito è effettivamente in grado di assicurare la funzione richiesta senza violare i criteri di sicurezza. Inoltre, il simulatore può consentire all'analista di introdurre guasti nei vari componenti del circuito, osservarne le conseguenze e quindi distinguere i circuiti progettati correttamente (con pochi o nessun guasto pericoloso) da quelli mal progettati. Questo tipo di analisi della sicurezza può anche essere eseguito utilizzando un computer.
Figura 2. Simulatore per lo studio dei circuiti di controllo della pressa
Metodo inverso
Nel metodo inverso, l'analista lavora a ritroso dall'evento indesiderabile, incidente o accidente, verso i vari eventi precedenti per determinare quale può essere in grado di provocare gli eventi da evitare. Nella figura 1, l'ultimo evento da evitare sarebbe l'avviamento involontario della macchina.
I risultati di questa analisi possono essere rappresentati in un diagramma che assomiglia ad un albero (per questo motivo il metodo inverso è noto come "analisi dell'albero dei guasti"), come illustrato nella figura 3.
Figura 3. Possibile catena di eventi
Il diagramma segue le operazioni logiche, le più importanti delle quali sono le operazioni "OR" e "AND". L'operazione "OR" significa che [X1] si verificherà se si verificano [A] o [B] (o entrambi). L'operazione "AND" significa che prima di [X2], devono aver avuto luogo sia [C] che [D] (vedi figura 4).
Figura 4. Rappresentazione di due operazioni logiche
Il metodo inverso è molto spesso utilizzato nell'analisi a priori di sistemi tangibili, specialmente nell'industria chimica, aeronautica, spaziale e nucleare. È stato anche trovato estremamente utile come metodo per indagare sugli incidenti sul lavoro.
Sebbene siano molto diversi, i metodi diretto e inverso sono complementari. Il metodo diretto si basa su un insieme di difetti o disfunzioni, e il valore di tale analisi dipende quindi in gran parte dalla rilevanza delle varie disfunzioni prese in considerazione all'inizio. Visto in questa luce, il metodo inverso sembra essere più sistematico. Conoscendo quali tipi di incidenti o inconvenienti possono verificarsi, l'analista può in teoria applicare questo metodo per lavorare a ritroso verso tutte le disfunzioni o combinazioni di disfunzioni in grado di provocarle. Tuttavia, poiché tutti i comportamenti pericolosi di un sistema non sono necessariamente noti in anticipo, possono essere scoperti con il metodo diretto, applicato ad esempio mediante simulazione. Una volta che questi sono stati scoperti, i pericoli possono essere analizzati in maggior dettaglio con il metodo inverso.
Problemi di analisi della sicurezza del sistema
I metodi analitici sopra descritti non sono semplici processi meccanici che devono solo essere applicati automaticamente per raggiungere conclusioni utili per migliorare la sicurezza del sistema. Al contrario, gli analisti incontrano una serie di problemi nel corso del loro lavoro e l'utilità delle loro analisi dipenderà in gran parte da come si accingono a risolverli. Di seguito sono descritti alcuni dei tipici problemi che possono insorgere.
Comprensione del sistema da studiare e delle sue condizioni operative
I problemi fondamentali in qualsiasi analisi di sicurezza del sistema sono la definizione del sistema da studiare, i suoi limiti e le condizioni in cui si suppone che operi durante la sua esistenza.
Se l'analista tiene conto di un sottosistema troppo limitato, il risultato può essere l'adozione di una serie di misure preventive casuali (situazione in cui tutto è finalizzato a prevenire certi tipi particolari di eventi, mentre pericoli altrettanto gravi vengono ignorati o sottovalutati ). Se, invece, il sistema considerato è troppo esauriente o generico rispetto a un determinato problema, ne può derivare un'eccessiva vaghezza di concetti e responsabilità e l'analisi può non portare all'adozione di adeguate misure preventive.
Un tipico esempio che illustra il problema della definizione del sistema da studiare è la sicurezza di macchine o impianti industriali. In questo tipo di situazione, l'analista può essere tentato di considerare solo l'attrezzatura vera e propria, trascurando il fatto che deve essere azionata o controllata da una o più persone. Una semplificazione di questo tipo è talvolta valida. Tuttavia, ciò che deve essere analizzato non è solo il sottosistema macchina, ma l'intero sistema lavoratore-macchina nelle varie fasi di vita dell'attrezzatura (tra cui, ad esempio, trasporto e movimentazione, montaggio, collaudo e regolazione, funzionamento normale , manutenzione, smontaggio e, in alcuni casi, distruzione). In ogni fase la macchina è parte di un sistema specifico il cui scopo e modalità di funzionamento e malfunzionamento sono totalmente diversi da quelli del sistema in altre fasi. Deve quindi essere progettato e realizzato in modo tale da consentire l'esecuzione della funzione richiesta in buone condizioni di sicurezza in ciascuna delle fasi.
Più in generale, per quanto riguarda gli studi sulla sicurezza in azienda, esistono diversi livelli di sistema: la macchina, il posto di lavoro, il turno, il reparto, la fabbrica e l'azienda nel suo complesso. A seconda del livello di sistema preso in considerazione, i possibili tipi di disfunzione e le relative misure preventive sono piuttosto diversi. Una buona politica di prevenzione deve tenere conto delle disfunzioni che possono verificarsi a vari livelli.
Le condizioni operative del sistema possono essere definite in termini del modo in cui il sistema dovrebbe funzionare e delle condizioni ambientali a cui può essere soggetto. Questa definizione deve essere sufficientemente realistica da tenere conto delle condizioni effettive in cui è probabile che il sistema funzioni. Un sistema molto sicuro solo in un campo operativo molto ristretto potrebbe non essere altrettanto sicuro se l'utente non è in grado di mantenersi entro il campo operativo teorico prescritto. Un sistema sicuro deve quindi essere abbastanza robusto da resistere a ragionevoli variazioni delle condizioni in cui funziona e deve tollerare alcuni errori semplici ma prevedibili da parte degli operatori.
Modellazione del sistema
Spesso è necessario sviluppare un modello per analizzare la sicurezza di un sistema. Ciò può sollevare alcuni problemi che vale la pena esaminare.
Per un sistema conciso e relativamente semplice come una macchina convenzionale, il modello è quasi direttamente derivabile dalle descrizioni dei componenti materiali e delle loro funzioni (motori, trasmissione, ecc.) e dal modo in cui questi componenti sono interrelati. Il numero di possibili modalità di guasto dei componenti è analogamente limitato.
Macchine moderne come computer e robot, che contengono componenti complessi come microprocessori e circuiti elettronici con integrazione su larga scala, pongono un problema particolare. Questo problema non è stato completamente risolto né in termini di modellazione né di previsione delle diverse possibili modalità di guasto, perché ci sono così tanti transistor elementari in ogni chip e per l'uso di diversi tipi di software.
Quando il sistema da analizzare è un'organizzazione umana, un problema interessante che si incontra nella modellazione risiede nella scelta e nella definizione di alcuni componenti non materiali o non completamente materiali. Una particolare postazione di lavoro può essere rappresentata, ad esempio, da un sistema comprendente lavoratori, software, attività, macchine, materiali e ambiente. (La componente "compito" può rivelarsi difficile da definire, poiché non è il compito prescritto che conta, ma il compito così come viene effettivamente svolto).
Quando si modellano le organizzazioni umane, l'analista può scegliere di scomporre il sistema in esame in un sottosistema di informazioni e uno o più sottosistemi di azione. L'analisi dei guasti nelle diverse fasi del sottosistema informativo (acquisizione, trasmissione, elaborazione e utilizzo delle informazioni) può essere molto istruttiva.
Problemi associati a più livelli di analisi
I problemi associati a più livelli di analisi si sviluppano spesso perché partendo da un evento indesiderato, l'analista può lavorare a ritroso verso incidenti sempre più remoti nel tempo. A seconda del livello di analisi considerato, varia la natura delle disfunzioni che si manifestano; lo stesso vale per le misure preventive. È importante essere in grado di decidere a quale livello l'analisi dovrebbe essere interrotta ea quale livello dovrebbe essere intrapresa un'azione preventiva. Un esempio è il semplice caso di incidente derivante da un guasto meccanico causato dall'utilizzo ripetuto di una macchina in condizioni anomale. Ciò potrebbe essere stato causato dalla mancanza di formazione degli operatori o da una cattiva organizzazione del lavoro. A seconda del livello di analisi considerato, l'azione preventiva richiesta può essere la sostituzione della macchina con un'altra in grado di sopportare condizioni d'uso più gravose, l'utilizzo della macchina solo in condizioni normali, modifiche nella formazione del personale o una riorganizzazione opera.
L'efficacia e la portata di una misura preventiva dipendono dal livello in cui viene introdotta. È più probabile che un'azione preventiva nelle immediate vicinanze dell'evento indesiderato abbia un impatto diretto e rapido, ma i suoi effetti possono essere limitati; d'altra parte, procedendo ragionevolmente a ritroso nell'analisi degli eventi, dovrebbe essere possibile individuare tipologie di disfunzioni comuni a numerosi infortuni. Qualsiasi azione preventiva intrapresa a questo livello avrà una portata molto più ampia, ma la sua efficacia potrebbe essere meno diretta.
Tenendo presente che esistono diversi livelli di analisi, possono esistere anche numerosi modelli di azione preventiva, ciascuno dei quali porta la propria parte di lavoro di prevenzione. Questo è un punto estremamente importante, e basta tornare all'esempio dell'incidente attualmente in esame per rendersene conto. Proporre la sostituzione della macchina con un'altra in grado di sopportare condizioni d'uso più gravose pone sulla macchina l'onere della prevenzione. Decidere che la macchina debba essere utilizzata solo in condizioni normali significa mettere l'onere sull'utilizzatore. Allo stesso modo, l'onere può gravare sulla formazione del personale, sull'organizzazione del lavoro o contemporaneamente sulla macchina, sull'utilizzatore, sulla funzione formativa e sulla funzione organizzativa.
Per ogni dato livello di analisi, un incidente spesso sembra essere la conseguenza della combinazione di più disfunzioni o disadattamenti. A seconda che si intervenga su una disfunzione piuttosto che su un'altra, o su più contemporaneamente, il modello di azione preventiva adottato varierà.
Gli strumenti sono una parte così comune della nostra vita che a volte è difficile ricordare che possono rappresentare un pericolo. Tutti gli strumenti sono fabbricati pensando alla sicurezza, ma occasionalmente può verificarsi un incidente prima che i pericoli correlati agli strumenti vengano riconosciuti. I lavoratori devono imparare a riconoscere i pericoli associati ai diversi tipi di strumenti e le precauzioni di sicurezza necessarie per prevenirli. È necessario indossare dispositivi di protezione individuale adeguati, come occhiali o guanti di sicurezza, per proteggersi da potenziali pericoli che possono verificarsi durante l'utilizzo di utensili elettrici portatili e utensili manuali.
Utensili manuali
Gli utensili manuali non sono alimentati e includono di tutto, dalle asce alle chiavi. I rischi maggiori posti dagli utensili manuali derivano da un uso improprio, dall'uso dell'utensile sbagliato per il lavoro e da una manutenzione impropria. Alcuni dei pericoli associati all'uso di utensili manuali includono, ma non sono limitati a quanto segue:
Il datore di lavoro è responsabile della condizione di sicurezza degli strumenti e delle attrezzature forniti ai dipendenti, ma i dipendenti hanno la responsabilità di utilizzare e mantenere gli strumenti correttamente. I lavoratori devono dirigere lame, coltelli o altri strumenti lontano dalle aree dei corridoi e da altri dipendenti che lavorano nelle immediate vicinanze. Coltelli e forbici devono essere tenuti affilati, poiché gli strumenti non affilati possono essere più pericolosi di quelli affilati. (Vedi figura 1.)
Figura 1. Un cacciavite
La sicurezza richiede che i pavimenti siano mantenuti il più puliti e asciutti possibile per evitare scivolamenti accidentali quando si lavora con o vicino a strumenti manuali pericolosi. Sebbene le scintille prodotte da utensili manuali in ferro e acciaio non siano normalmente abbastanza calde da costituire fonti di ignizione, quando si lavora con o intorno a materiali infiammabili, è possibile utilizzare strumenti resistenti alle scintille in ottone, plastica, alluminio o legno per prevenire la formazione di scintille.
Power Tools
Gli utensili elettrici sono pericolosi se usati in modo improprio. Esistono diversi tipi di utensili elettrici, solitamente classificati in base alla fonte di alimentazione (elettrica, pneumatica, a combustibile liquido, idraulica, a vapore e a polvere esplosiva). I dipendenti devono essere qualificati o addestrati all'uso di tutti gli utensili elettrici utilizzati nel loro lavoro. Dovrebbero comprendere i potenziali pericoli associati all'uso di utensili elettrici e osservare le seguenti precauzioni generali di sicurezza per evitare che si verifichino tali pericoli:
Guardie Protettive
Le parti mobili pericolose degli utensili elettrici devono essere salvaguardate. Ad esempio, cinghie, ingranaggi, alberi, pulegge, ruote dentate, mandrini, tamburi, volani, catene o altre parti delle apparecchiature che si muovono alternativamente, rotanti o in movimento devono essere protette se tali parti sono esposte al contatto con i lavoratori. Ove necessario, devono essere fornite protezioni per proteggere l'operatore e gli altri rispetto ai pericoli associati a:
Le protezioni di sicurezza non devono mai essere rimosse durante l'utilizzo di un utensile. Ad esempio, le seghe circolari portatili devono essere dotate di protezioni. Una protezione superiore deve coprire l'intera lama della sega. Una protezione inferiore retrattile deve coprire i denti della sega, tranne quando entra in contatto con il materiale da lavorare. La protezione inferiore deve tornare automaticamente nella posizione di copertura quando l'utensile viene ritirato dal lavoro. Notare le protezioni della lama nell'illustrazione di una sega elettrica (figura 2).
Figura 2. Una sega circolare con protezione
Interruttori e controlli di sicurezza
I seguenti sono esempi di utensili elettrici portatili che devono essere dotati di un interruttore di controllo "on-off" a contatto momentaneo:
Questi strumenti possono anche essere dotati di un controllo di blocco, a condizione che lo spegnimento possa essere ottenuto con un unico movimento dello stesso dito o delle stesse dita che lo accendono.
I seguenti utensili elettrici portatili possono essere dotati solo di un interruttore di controllo "on-off" positivo:
Altri utensili elettrici portatili che devono essere dotati di un pressostato costante che interromperà l'alimentazione quando la pressione viene rilasciata includono:
Utensili elettrici
I lavoratori che utilizzano utensili elettrici devono essere consapevoli di diversi pericoli. La più grave di queste è la possibilità di folgorazione, seguita da ustioni e lievi scosse. In determinate condizioni, anche una piccola quantità di corrente può provocare la fibrillazione del cuore che può provocare la morte. Uno shock può anche causare la caduta di un lavoratore da una scala o da altre superfici di lavoro elevate.
Per ridurre il rischio di lesioni ai lavoratori dovute a urti, gli strumenti devono essere protetti con almeno uno dei seguenti mezzi:
Figura 3. Un trapano elettrico
Queste pratiche generali di sicurezza dovrebbero essere seguite nell'utilizzo di utensili elettrici:
Mole abrasive motorizzate
Le mole abrasive motorizzate per la molatura, il taglio, la lucidatura e la lucidatura a filo creano particolari problemi di sicurezza perché le mole possono disintegrarsi e lanciare frammenti volanti.
Prima di montare le mole abrasive, è necessario ispezionarle attentamente e testare il suono (o l'anello) picchiettando delicatamente con uno strumento leggero non metallico per assicurarsi che siano esenti da crepe o difetti. Se le ruote sono incrinate o suonano come morte, potrebbero rompersi durante il funzionamento e non devono essere utilizzate. Una ruota sana e non danneggiata emetterà un chiaro tono metallico o "squillo".
Per evitare che la ruota si rompa, l'utente deve assicurarsi che si adatti liberamente al mandrino. Il dado del mandrino deve essere serrato a sufficienza per mantenere la ruota in posizione senza distorcere la flangia. Seguire le raccomandazioni del produttore. È necessario prestare attenzione per garantire che la ruota del mandrino non superi le specifiche della ruota abrasiva. A causa della possibilità che una ruota si disintegri (esploda) durante l'avviamento, il lavoratore non deve mai sostare direttamente davanti alla ruota mentre questa accelera alla massima velocità operativa. Le mole portatili devono essere dotate di protezioni antinfortunistiche per proteggere i lavoratori non solo dalla superficie in movimento della mola, ma anche dai frammenti volanti in caso di rottura. Inoltre, quando si utilizza una smerigliatrice elettrica, è necessario osservare queste precauzioni:
Utensili pneumatici
Gli utensili pneumatici sono alimentati ad aria compressa e comprendono cippatrici, trapani, martelli e levigatrici. Sebbene esistano diversi potenziali pericoli che si incontrano nell'uso di utensili pneumatici, il principale è il pericolo di essere colpiti da uno degli attacchi dell'attrezzo o da qualche tipo di fissaggio che il lavoratore sta utilizzando con l'attrezzo. È richiesta la protezione degli occhi e si raccomanda la protezione del viso quando si lavora con utensili pneumatici. Il rumore è un altro pericolo. Lavorare con strumenti rumorosi come i martelli pneumatici richiede un uso corretto ed efficace di un'adeguata protezione dell'udito.
Quando si utilizza un utensile pneumatico, il lavoratore deve verificare che sia fissato saldamente al tubo per evitare che si scolleghi. Un filo corto o un dispositivo di bloccaggio positivo che collega il tubo dell'aria all'utensile fungerà da protezione aggiuntiva. Se un tubo dell'aria ha un diametro superiore a ½ pollice (1.27 cm), è necessario installare una valvola di sicurezza in eccesso di flusso alla fonte dell'alimentazione dell'aria per interrompere automaticamente l'aria in caso di rottura del tubo. In generale, con un tubo dell'aria vanno prese le stesse precauzioni consigliate per i cavi elettrici, perché il tubo è soggetto allo stesso tipo di danneggiamento o urto accidentale e presenta anche un rischio di inciampo.
Le pistole ad aria compressa non devono mai essere puntate verso nessuno. I lavoratori non dovrebbero mai "chiudere senza uscita" l'ugello contro se stessi o chiunque altro. È necessario installare una clip di sicurezza o un fermo per evitare che gli accessori, come uno scalpello su un martello scalpellatore, vengano sparati involontariamente dalla canna. Dovrebbero essere installati schermi per proteggere i lavoratori nelle vicinanze dall'essere colpiti da frammenti volanti attorno a cippatrici, pistole rivettatrici, martelli pneumatici, cucitrici o trapani pneumatici.
Le pistole a spruzzo airless che nebulizzano vernici e fluidi ad alta pressione (1,000 libbre o più per pollice quadrato) devono essere dotate di dispositivi di sicurezza visiva automatici o manuali che impediscano l'attivazione fino a quando il dispositivo di sicurezza non viene rilasciato manualmente. I martelli pneumatici pesanti possono causare affaticamento e sforzi che possono essere ridotti mediante l'uso di impugnature in gomma pesante che forniscono una presa sicura. Un lavoratore che utilizza un martello pneumatico deve indossare occhiali e scarpe di sicurezza per proteggersi da lesioni se il martello scivola o cade. Dovrebbe essere utilizzata anche una visiera.
Strumenti alimentati a carburante
Gli utensili alimentati a carburante vengono solitamente azionati utilizzando piccoli motori a combustione interna alimentati a benzina. I pericoli potenziali più gravi associati all'uso di utensili alimentati a carburante derivano da pericolosi vapori di carburante che possono bruciare o esplodere ed emettere pericolosi fumi di scarico. Il lavoratore deve avere cura di maneggiare, trasportare e immagazzinare la benzina o il carburante solo in contenitori per liquidi infiammabili approvati, secondo le procedure appropriate per i liquidi infiammabili. Prima che il serbatoio di un utensile alimentato a carburante venga riempito, l'utente deve spegnere il motore e lasciarlo raffreddare per evitare l'accensione accidentale di vapori pericolosi. Se un utensile alimentato a carburante viene utilizzato all'interno di un'area chiusa, è necessaria una ventilazione efficace e/o dispositivi di protezione per evitare l'esposizione al monossido di carbonio. Gli estintori devono essere disponibili nell'area.
Strumenti azionati da polvere esplosiva
Gli strumenti azionati da polvere esplosiva funzionano come una pistola carica e devono essere trattati con lo stesso rispetto e le stesse precauzioni. In effetti, sono così pericolosi che devono essere utilizzati solo da personale appositamente addestrato o qualificato. Una protezione adeguata per orecchie, occhi e viso è essenziale quando si utilizza uno strumento a polvere. Tutti gli utensili azionati a polvere devono essere progettati per cariche di polvere variabili in modo che l'utente possa selezionare un livello di polvere necessario per eseguire il lavoro senza forza eccessiva.
L'estremità della volata dell'attrezzo dovrebbe avere uno scudo protettivo o una protezione centrata perpendicolarmente sulla canna per proteggere l'utente da eventuali frammenti o particelle volanti che potrebbero creare un pericolo quando l'attrezzo viene sparato. L'utensile deve essere progettato in modo tale da non sparare se non dispone di questo tipo di dispositivo di sicurezza. Per evitare che lo strumento spari accidentalmente, sono necessari due movimenti separati per sparare: uno per portare lo strumento in posizione e un altro per premere il grilletto. Gli utensili non devono essere in grado di funzionare fino a quando non vengono premuti contro la superficie di lavoro con una forza di almeno 5 libbre superiore al peso totale dell'utensile.
Se uno strumento azionato a polvere fa cilecca, l'utente deve attendere almeno 30 secondi prima di provare a sparare di nuovo. Se continua a non sparare, l'utente dovrebbe attendere almeno altri 30 secondi in modo che la cartuccia difettosa abbia meno probabilità di esplodere, quindi rimuovere con attenzione il carico. La cartuccia difettosa deve essere messa in acqua o altrimenti smaltita in modo sicuro secondo le procedure del datore di lavoro.
Se uno strumento azionato a polvere sviluppa un difetto durante l'uso, deve essere contrassegnato e messo fuori servizio immediatamente fino a quando non viene adeguatamente riparato. Le precauzioni per l'uso e la manipolazione sicuri degli strumenti azionati dalla polvere includono quanto segue:
Nell'utilizzare strumenti azionati da polvere per applicare elementi di fissaggio, è necessario prendere in considerazione le seguenti precauzioni di sicurezza:
Utensili idraulici
Il fluido utilizzato negli utensili oleodinamici deve essere omologato per l'uso previsto e deve mantenere le sue caratteristiche operative alle temperature più estreme a cui sarà esposto. La pressione di esercizio sicura consigliata dal produttore per tubi flessibili, valvole, tubi, filtri e altri raccordi non deve essere superata. In caso di potenziale perdita ad alta pressione in un'area in cui possono essere presenti fonti di ignizione, come fiamme libere o superfici calde, si dovrebbe prendere in considerazione l'uso di fluidi resistenti al fuoco come mezzo idraulico.
Giacche
Tutti i martinetti (martinetti a leva e a cricchetto, martinetti a vite e martinetti idraulici) devono avere un dispositivo che impedisca loro di sollevarsi troppo in alto. Il limite di carico del produttore deve essere contrassegnato in modo permanente in un punto ben visibile sul martinetto e non deve essere superato. Utilizzare blocchi di legno sotto la base, se necessario, per rendere il jack livellato e sicuro. Se la superficie del sollevatore è in metallo, posizionare un blocco di legno duro spesso 1 pollice (2.54 cm) o equivalente tra la parte inferiore della superficie e la testa del martinetto in metallo per ridurre il pericolo di scivolamento. Un martinetto non dovrebbe mai essere utilizzato per sostenere un carico sollevato. Una volta che il carico è stato sollevato, dovrebbe essere immediatamente sostenuto da blocchi.
Per impostare un jack, accertarsi delle seguenti condizioni:
La corretta manutenzione dei martinetti è essenziale per la sicurezza. Tutti i martinetti devono essere ispezionati prima di ogni utilizzo e lubrificati regolarmente. Se un martinetto è soggetto a un carico anomalo o a urti, dovrebbe essere esaminato a fondo per assicurarsi che non sia stato danneggiato. I martinetti idraulici esposti a temperature gelide devono essere riempiti con un adeguato liquido antigelo.
In breve
I lavoratori che utilizzano utensili manuali e elettrici e che sono esposti ai pericoli di caduta, volo, oggetti e materiali abrasivi e schizzi, o ai pericoli di polveri, fumi, nebbie, vapori o gas nocivi, devono essere dotati dell'attrezzatura personale adeguata necessaria per proteggerli dal pericolo. Tutti i rischi connessi all'uso di utensili elettrici possono essere prevenuti dai lavoratori seguendo cinque regole di sicurezza fondamentali:
I dipendenti e i datori di lavoro hanno la responsabilità di lavorare insieme per mantenere pratiche di lavoro sicure stabilite. Se si incontra uno strumento non sicuro o una situazione pericolosa, è necessario portarlo immediatamente all'attenzione della persona competente.
In questo articolo vengono discusse situazioni e concatenazioni di eventi che portano a incidenti imputabili al contatto con la parte in movimento delle macchine. Le persone che operano e si occupano della manutenzione dei macchinari corrono il rischio di essere coinvolte in gravi incidenti. Le statistiche statunitensi suggeriscono che 18,000 amputazioni e oltre 800 decessi negli Stati Uniti ogni anno sono attribuibili a tali cause. Secondo il National Institute for Occupational Safety and Health (NIOSH) statunitense, nel 1979 la categoria di infortuni "catturati in, sotto o tra" nella loro classificazione si è classificata al primo posto tra i tipi più importanti di infortuni sul lavoro. Tali infortuni generalmente hanno coinvolto macchine ( Etherton e Myers 1990). Da quando questa categoria è stata introdotta nelle statistiche svedesi sugli infortuni sul lavoro nel 10, il "contatto con parti mobili della macchina" è stato segnalato come il principale evento lesivo in poco più del 1979% degli infortuni sul lavoro.
La maggior parte delle macchine ha parti mobili che possono causare lesioni. Tali parti mobili possono trovarsi nel punto di operazione in cui viene eseguito il lavoro sul materiale, ad esempio dove avviene il taglio, la sagomatura, l'alesatura o la deformazione. Si trovano negli apparecchi che trasmettono energia agli organi della macchina che effettuano il lavoro, quali volani, pulegge, bielle, giunti, camme, alberini, catene, manovelle e ingranaggi. Possono trovarsi in altre parti mobili della macchina come ruote su attrezzature mobili, motoriduttori, pompe, compressori e così via. I movimenti pericolosi della macchina si possono riscontrare anche tra altri tipi di macchinari, in particolare nelle parti ausiliarie dell'attrezzatura che movimentano e trasportano carichi come pezzi da lavorare, materiali, rifiuti o utensili.
Tutte le parti di una macchina che si muovono durante l'esecuzione del lavoro possono contribuire a incidenti causando lesioni e danni. Sia i movimenti rotatori che quelli lineari della macchina, così come le loro fonti di energia, possono essere pericolosi:
Moto rotatorio. Anche gli alberi rotanti lisci possono afferrare un capo di abbigliamento e, ad esempio, portare il braccio di una persona in una posizione pericolosa. Il pericolo in un albero rotante aumenta se presenta parti sporgenti o superfici irregolari o taglienti, come viti di regolazione, bulloni, fessure, tacche o spigoli taglienti. Le parti rotanti della macchina danno origine a "nip points" in tre modi diversi:
Movimenti lineari. Il movimento verticale, orizzontale e alternato può causare lesioni in diversi modi: una persona può ricevere uno spintone o un colpo da una parte della macchina e può rimanere intrappolata tra la parte della macchina e qualche altro oggetto, oppure può essere tagliata da un bordo tagliente o essere una ferita da pizzicamento rimanendo intrappolati tra la parte mobile e un altro oggetto (figura 1).
Figura 1. Esempi di movimenti meccanici che possono ferire una persona
Fonti di alimentazione. Frequentemente, per far funzionare una macchina vengono impiegate fonti di energia esterne che possono comportare notevoli quantità di energia. Questi includono sistemi elettrici, a vapore, idraulici, pneumatici e meccanici, i quali, se rilasciati o incontrollati, possono dar luogo a lesioni o danni gravi. Uno studio sugli incidenti verificatisi nell'arco di un anno (dal 1987 al 1988) tra gli agricoltori di nove villaggi dell'India settentrionale ha dimostrato che le macchine per il taglio del foraggio, tutte altrimenti dello stesso tipo, sono più pericolose se azionate da un motore o da un trattore. La frequenza relativa degli incidenti con più di un infortunio minore (per macchina) era del 5.1 per mille per le taglierine manuali e dell'8.6 per mille per le mototroncatrici (Mohan e Patel 1992).
Lesioni associate ai movimenti della macchina
Poiché le forze associate ai movimenti della macchina sono spesso piuttosto elevate, si può presumere che le lesioni che provocano saranno gravi. Questa ipotesi è confermata da diverse fonti. Secondo le statistiche britanniche (HSE 5), il "contatto con macchinari in movimento o materiale in lavorazione" ha rappresentato solo il 10% di tutti gli infortuni sul lavoro, ma fino al 1989% degli incidenti mortali e gravi (fratture, amputazioni e così via). Gli studi su due stabilimenti di produzione di veicoli in Svezia puntano nella stessa direzione. Gli infortuni causati da movimenti di macchine hanno dato luogo a un numero doppio di giorni di assenza per malattia, misurati dai valori mediani, rispetto agli infortuni non legati alle macchine. Gli incidenti meccanici differivano dagli altri incidenti anche per quanto riguarda la parte del corpo lesionata: i risultati hanno indicato che l'80% delle lesioni subite in incidenti “macchina” erano alle mani e alle dita, mentre la proporzione corrispondente per gli “altri” incidenti era 40% (Backström e Döös 1995).
La situazione di rischio negli impianti automatizzati si è rivelata sia diversa (in termini di tipologia di incidente, sequenza degli eventi e grado di gravità della lesione) sia più complicata (sia in termini tecnici sia per quanto riguarda la necessità di competenze specialistiche) rispetto a impianti in cui vengono utilizzati macchinari convenzionali. Il termine automatizzato qui si intende fare riferimento a un'apparecchiatura che, senza l'intervento diretto di un essere umano, può avviare un movimento della macchina o modificarne la direzione o la funzione. Tali apparecchiature richiedono dispositivi sensori (ad es. sensori di posizione o microinterruttori) e/o qualche forma di controlli sequenziali (ad es. un programma per computer) per dirigere e monitorare le loro attività. Negli ultimi decenni, a controllore logico programmabile (PLC) è sempre più utilizzato come unità di controllo nei sistemi di produzione. I piccoli computer sono oggi il mezzo più comune utilizzato per controllare le apparecchiature di produzione nel mondo industrializzato, mentre altri mezzi di controllo, come le unità elettromeccaniche, stanno diventando sempre meno comuni. Nell'industria manifatturiera svedese, l'uso di macchine a controllo numerico (NC) è aumentato dall'11 al 12% all'anno negli anni '1980 (Hörte e Lindberg 1989). Nella moderna produzione industriale, essere feriti da "parti mobili di macchine" sta diventando sempre più equivalente a essere feriti da "movimenti di macchine controllati dal computer".
Gli impianti automatizzati si trovano in un numero sempre maggiore di settori dell'industria e hanno un numero crescente di funzioni. La gestione dei negozi, la movimentazione dei materiali, la lavorazione, l'assemblaggio e l'imballaggio sono tutti automatizzati. La produzione in serie è arrivata ad assomigliare alla produzione di processo. Se l'alimentazione, la lavorazione e l'espulsione dei pezzi sono meccanizzate, l'operatore non ha più bisogno di trovarsi nella zona di rischio durante la produzione regolare e indisturbata. Studi di ricerca sulla produzione automatizzata hanno dimostrato che gli incidenti si verificano principalmente nella gestione dei disturbi che interessano la produzione. Tuttavia, le persone possono anche intralciare i movimenti della macchina nell'esecuzione di altre attività, come la pulizia, la regolazione, il ripristino, il controllo e la riparazione.
Quando la produzione è automatizzata e il processo non è più sotto il controllo diretto dell'essere umano, aumenta il rischio di movimenti imprevisti della macchina. La maggior parte degli operatori che lavorano con gruppi o linee di macchine interconnesse ha sperimentato movimenti della macchina così imprevisti. Molti incidenti di automazione verificarsi come risultato proprio di tali movimenti. Un incidente di automazione è un incidente in cui l'apparecchiatura automatica ha controllato (o avrebbe dovuto controllare) l'energia che ha provocato la lesione. Ciò significa che la forza che ferisce la persona proviene dalla macchina stessa (ad esempio, l'energia del movimento di una macchina). In uno studio su 177 incidenti di automazione in Svezia, è emerso che le lesioni erano causate dall'"avvio imprevisto" di una parte di una macchina nell'84% dei casi (Backström e Harms-Ringdahl 1984). Un tipico esempio di lesione causata da un movimento della macchina controllato da computer è mostrato in figura 2.
Figura 2. Un tipico esempio di lesione causata da un movimento della macchina controllato dal computer
Uno degli studi di cui sopra (Backström e Döös 1995) ha dimostrato che i movimenti della macchina controllati automaticamente erano causalmente collegati a periodi più lunghi di congedo per malattia rispetto agli infortuni dovuti ad altri tipi di movimenti della macchina, il valore mediano era quattro volte superiore in uno dei luoghi di lavoro . Il modello di lesioni degli incidenti di automazione era simile a quello di altri incidenti di macchina (che coinvolgevano principalmente mani e dita), ma la tendenza era che il primo tipo di lesioni fosse più grave (amputazioni, schiacciamenti e fratture).
Il controllo del computer, come il manuale, presenta punti deboli dal punto di vista dell'affidabilità. Non vi è alcuna garanzia che un programma per computer funzionerà senza errori. L'elettronica, con i suoi bassi livelli di segnale, può essere sensibile alle interferenze se non adeguatamente protetta, e le conseguenze dei guasti risultanti non sono sempre prevedibili. Inoltre, le modifiche alla programmazione spesso non vengono documentate. Un metodo utilizzato per compensare questa debolezza è, ad esempio, il funzionamento di sistemi "doppi" in cui sono presenti due catene indipendenti di componenti funzionali e un metodo di monitoraggio tale che entrambe le catene mostrino lo stesso valore. Se i sistemi visualizzano valori diversi, ciò indica un errore in uno di essi. Ma c'è la possibilità che entrambe le catene di componenti soffrano dello stesso errore e che entrambe possano essere messe fuori servizio dallo stesso disturbo, dando così una lettura falsa positiva (poiché entrambi i sistemi concordano). Tuttavia, solo in pochi dei casi indagati è stato possibile ricondurre un incidente al guasto di un computer (vedi sotto), nonostante sia comune che un singolo computer controlli tutte le funzioni di un impianto (anche l'arresto di una macchina a seguito dell'attivazione di un dispositivo di sicurezza). In alternativa, si può considerare di fornire un sistema collaudato con componenti elettromeccanici per le funzioni di sicurezza.
Problemi tecnici
In generale si può affermare che un singolo incidente ha molte cause, tra cui tecniche, individuali, ambientali e organizzative. A scopo preventivo, è meglio considerare un incidente non come un evento isolato, ma come un sequenza di eventi o di un processo (Backström 1996). Nel caso degli incidenti di automazione, è stato dimostrato che i problemi tecnici fanno spesso parte di tale sequenza e si verificano o in una delle prime fasi del processo o in prossimità dell'evento lesivo dell'incidente. Gli studi in cui sono stati esaminati i problemi tecnici coinvolti negli incidenti di automazione suggeriscono che questi sono alla base del 75-85% degli incidenti. Allo stesso tempo, in ogni caso specifico, di solito ci sono altre cause, come quelle di natura organizzativa. Solo in un decimo dei casi è stato riscontrato che la fonte diretta dell'energia che ha provocato un infortunio potrebbe essere attribuita a un guasto tecnico, ad esempio un movimento della macchina che si verifica nonostante la macchina sia in posizione di arresto. Cifre simili sono state riportate in altri studi. Di solito, un problema tecnico causava problemi con l'attrezzatura, cosicché l'operatore doveva cambiare compito (ad esempio, riposizionare una parte che si trovava in una posizione storta). L'incidente si è poi verificato durante l'esecuzione dell'incarico, provocato dal guasto tecnico. Un quarto degli incidenti di automazione è stato preceduto da un disturbo nel flusso dei materiali, ad esempio un pezzo che si bloccava o si trovava in una posizione storta o altrimenti difettosa (vedere figura 3).
Figura 3. Tipi di problemi tecnici coinvolti negli incidenti di automazione (numero di incidenti = 127)
In uno studio su 127 incidenti che coinvolgono l'automazione, 28 di questi incidenti, descritti nella figura 4, sono stati ulteriormente esaminati per determinare i tipi di problemi tecnici coinvolti come fattori causali (Backström e Döös, in corso di stampa). I problemi specificati nelle indagini sugli incidenti erano più frequentemente causati da componenti bloccati, difettosi o usurati. In due casi, un problema è stato causato da un errore del programma del computer e in uno da un'interferenza elettromagnetica. In più della metà dei casi (17 su 28) i difetti erano presenti da tempo ma non sanati. Solo in 5 dei 28 casi in cui è stato fatto riferimento a un guasto tecnico o a una deviazione, il difetto era presente non si è manifestato in precedenza. Alcuni guasti erano stati riparati solo per riapparire in seguito. Alcuni difetti erano presenti fin dal momento dell'installazione, mentre altri derivavano dall'usura e dall'impatto dell'ambiente.
Secondo la maggior parte degli studi, la percentuale di incidenti di automazione verificatisi durante la correzione di un disturbo alla produzione è compresa tra un terzo e due terzi di tutti i casi. In altre parole, c'è un consenso generale sul fatto che la gestione dei disturbi della produzione è un compito professionale pericoloso. La variazione nella misura in cui si verificano tali infortuni ha molte spiegazioni, tra cui quelle legate al tipo di produzione e alla classificazione delle mansioni lavorative. In alcuni studi sui disturbi sono stati presi in considerazione solo i problemi ei fermi macchina nel corso della normale produzione; in altri è stata trattata una gamma più ampia di problemi, ad esempio quelli relativi all'organizzazione del lavoro.
Una misura molto importante nella prevenzione degli incidenti di automazione è predisporre procedure per rimuovere le cause dei disturbi della produzione in modo che non si ripetano. In uno studio specializzato sui disturbi della produzione al momento dell'incidente (Döös e Backström 1994), è emerso che il compito più comune a cui i disturbi davano origine era il liberare o la correzione della posizione di un pezzo che si era bloccato o si era bloccato collocato. Questo tipo di problema ha avviato una delle due sequenze di eventi piuttosto simili: (1) la parte è stata liberata ed è entrata nella sua posizione corretta, la macchina ha ricevuto un segnale automatico per avviarsi e la persona è stata ferita dal movimento della macchina avviato, (2 ) non c'era tempo per liberare o riposizionare la parte prima che la persona venisse ferita da un movimento della macchina che si è verificato inaspettatamente, più rapidamente o con una forza maggiore di quanto previsto dall'operatore. Un'altra gestione dei disturbi comportava la richiesta di un impulso del sensore, la liberazione di una parte della macchina inceppata, l'esecuzione di semplici tipi di ricerca guasti e l'organizzazione del riavvio (vedere la figura 4).
Figura 4. Tipo di gestione del disturbo al momento dell'incidente (numero di incidenti =76)
Sicurezza dei lavoratori
Le categorie di personale che tendono ad essere ferite negli incidenti di automazione dipendono da come è organizzato il lavoro, ovvero da quale gruppo professionale svolge i compiti pericolosi. In pratica, si tratta di quale persona sul posto di lavoro è incaricata di affrontare problemi e disturbi su base regolare. Nella moderna industria svedese, gli interventi attivi sono solitamente richiesti dalle persone che utilizzano la macchina. Questo è il motivo per cui, nel già citato studio sul posto di lavoro nella produzione di veicoli in Svezia (Backström e Döös, accettato per la pubblicazione), è emerso che l'82% delle persone che hanno subito lesioni da macchine automatizzate erano lavoratori o operatori di produzione. Gli operatori avevano anche una frequenza relativa degli infortuni più elevata (15 incidenti di automazione per 1,000 operatori all'anno) rispetto ai manutentori (6 per 1,000). I risultati degli studi che indicano che i lavoratori della manutenzione sono più colpiti sono almeno in parte da spiegare con il fatto che gli operatori non sono autorizzati ad accedere alle aree di lavorazione in alcune aziende. Nelle organizzazioni con un diverso tipo di distribuzione dei compiti, ad altre categorie di personale, ad esempio gli incastonatori, può essere affidato il compito di risolvere eventuali problemi di produzione che si presentano.
La misura correttiva più comune adottata a questo proposito per aumentare il livello di sicurezza personale è proteggere la persona da movimenti pericolosi della macchina utilizzando un qualche tipo di dispositivo di sicurezza, come la protezione della macchina. Il principio fondamentale qui è quello della sicurezza “passiva”, cioè la fornitura di una protezione che non richiede un intervento da parte del lavoratore. Tuttavia, è impossibile giudicare l'efficacia dei dispositivi di protezione senza un'ottima conoscenza delle effettive esigenze di lavoro sulla macchina in questione, una forma di conoscenza che normalmente è posseduta solo dagli stessi operatori della macchina.
Ci sono molti fattori che possono mettere fuori uso anche quella che è apparentemente una buona protezione della macchina. Per svolgere il proprio lavoro, gli operatori potrebbero aver bisogno di disinnestare o aggirare un dispositivo di sicurezza. In uno studio (Döös e Backström 1993), è emerso che tale disimpegno o elusione si era verificata in 12 dei 75 incidenti di automazione coperti. Spesso è una questione di ambizione dell'operatore e non è più disposto ad accettare né i problemi di produzione né il ritardo del processo di produzione coinvolto nella correzione dei disturbi secondo le istruzioni. Un modo per evitare questo problema è rendere impercettibile il dispositivo di protezione, in modo che non influenzi il ritmo di produzione, la qualità del prodotto o l'esecuzione dell'attività. Ma questo non è sempre possibile; e dove si verificano ripetuti disturbi alla produzione, anche piccoli inconvenienti possono indurre le persone a non utilizzare i dispositivi di sicurezza. Ancora una volta, dovrebbero essere rese disponibili routine per rimuovere le cause dei disturbi della produzione in modo che questi non si ripetano. La mancanza di un mezzo per confermare che i dispositivi di sicurezza funzionino realmente secondo le specifiche è un ulteriore fattore di rischio significativo. Connessioni difettose, segnali di avviamento che rimangono nel sistema e che successivamente danno origine ad avviamenti imprevisti, accumulo di pressione dell'aria e sensori che si sono allentati possono tutti causare guasti ai dispositivi di protezione.
In breve
Come è stato dimostrato, le soluzioni tecniche ai problemi possono dar luogo a nuovi problemi. Sebbene le lesioni siano causate da movimenti di macchine, che sono essenzialmente di natura tecnica, ciò non significa automaticamente che il potenziale per la loro eradicazione risieda in fattori puramente tecnici. I sistemi tecnici continueranno a non funzionare correttamente e le persone non riusciranno a gestire le situazioni che tali malfunzionamenti provocano. I rischi continueranno a esistere e potranno essere tenuti sotto controllo solo con un'ampia varietà di mezzi. Legislazione e controllo, misure organizzative presso le singole aziende (sotto forma di formazione, turni di sicurezza, analisi dei rischi e segnalazione di disturbi e quasi incidenti) e un'enfasi su miglioramenti costanti e continui sono tutti necessari come complementi allo sviluppo puramente tecnico.
Sembra che ci siano tanti pericoli potenziali creati dalle parti mobili della macchina quanti sono i diversi tipi di macchine. Le misure di salvaguardia sono essenziali per proteggere i lavoratori da infortuni inutili e prevenibili legati ai macchinari. Pertanto, qualsiasi parte, funzione o processo della macchina che possa causare lesioni deve essere salvaguardato. Se il funzionamento di una macchina o il contatto accidentale con essa può provocare lesioni all'operatore o ad altri nelle vicinanze, il pericolo deve essere controllato o eliminato.
Moti e azioni meccaniche
I rischi meccanici in genere coinvolgono parti mobili pericolose nelle seguenti tre aree di base:
Un'ampia varietà di movimenti e azioni meccaniche che possono presentare rischi per i lavoratori includono il movimento di elementi rotanti, bracci alternativi, cinghie mobili, ingranaggi ingrananti, denti taglienti e qualsiasi parte che urta o taglia. Questi diversi tipi di movimenti e azioni meccaniche sono fondamentali per quasi tutte le macchine e riconoscerli è il primo passo per proteggere i lavoratori dai pericoli che possono presentare.
Proposte
Esistono tre tipi fondamentali di movimento: rotatorio, alternativo e trasversale.
Moto rotatorio può essere pericoloso; anche le aste lisce e che ruotano lentamente possono afferrare gli indumenti e costringere un braccio o una mano in una posizione pericolosa. Le lesioni dovute al contatto con le parti rotanti possono essere gravi (vedere figura 1).
Figura 1. Punzonatrice meccanica
Collari, giunti, camme, frizioni, volani, estremità dell'albero, mandrini e alberi orizzontali o verticali sono alcuni esempi di meccanismi rotanti comuni che possono essere pericolosi. Vi è un ulteriore pericolo quando bulloni, tacche, abrasioni e chiavi sporgenti o viti di fermo sono esposti su parti rotanti di macchinari, come mostrato nella figura 2.
Figura 2. Esempi di sporgenze pericolose su parti rotanti
Punto di contatto in corsas sono creati dalla rotazione di parti sui macchinari. Esistono tre tipi principali di punti di pressione in corsa:
Figura 3. Punti di pressione comuni sulle parti rotanti
Figura 4. Punti di contatto tra elementi rotanti e parti con movimenti longitudinali
Figura 5. Punti di contatto tra i componenti rotanti della macchina
Movimenti alternati può essere pericoloso perché durante il movimento avanti e indietro o su e giù, un lavoratore può essere colpito o intrappolato tra una parte mobile e una parte fissa. Un esempio è mostrato in figura 6.
Figura 6. Moto alternativo pericoloso
Moto trasversale (movimento in linea retta e continua) crea un pericolo perché un lavoratore può essere colpito o intrappolato in un punto di schiacciamento o taglio da una parte in movimento. Un esempio di moto trasversale è mostrato in figura 7.
Figura 7. Esempio di movimento trasversale
Azioni
Esistono quattro tipi fondamentali di azione: taglio, punzonatura, cesoiatura e piegatura.
Azione di taglio implica un movimento rotatorio, alternativo o trasversale. L'azione di taglio crea pericoli nel punto di lavoro in cui possono verificarsi lesioni alle dita, alla testa e al braccio e dove frammenti volanti o materiale di scarto possono colpire gli occhi o il viso. Tipici esempi di macchine con rischi di taglio includono seghe a nastro, seghe circolari, alesatrici o trapani, torni (torni) e fresatrici. (Vedi figura 8.)
Figura 8. Esempi di pericoli di taglio
Azione di punzonatura si verifica quando si applica potenza a una slitta (pistone) allo scopo di tranciare, imbutire o stampare metallo o altri materiali. Il pericolo di questo tipo di azione si verifica nel punto di operazione in cui il calcio viene inserito, trattenuto e ritirato a mano. Le macchine tipiche che utilizzano l'azione di punzonatura sono le presse elettriche e i lavoratori del ferro. (Vedi figura 9.)
Figura 9. Tipica operazione di punzonatura
Azione di taglio comporta l'applicazione di energia a una slitta oa un coltello per tagliare o tagliare metallo o altri materiali. Un pericolo si verifica nel punto operativo in cui lo stock viene effettivamente inserito, trattenuto e prelevato. Tipici esempi di macchinari utilizzati per le operazioni di cesoiatura sono le cesoie ad azionamento meccanico, idraulico o pneumatico. (Vedi figura 10.)
Figura 10. Operazione di taglio
Azione di flessione si verifica quando si applica potenza a una slitta per modellare, imbutire o stampare metallo o altri materiali. Il pericolo si verifica nel punto di operazione in cui lo stock viene inserito, trattenuto e ritirato. Le apparecchiature che utilizzano l'azione di piegatura includono presse elettriche, presse piegatrici e curvatubi. (Vedi figura 11.)
Figura 11. Operazione di piegatura
Requisiti per le garanzie
Le protezioni devono soddisfare i seguenti requisiti generali minimi per proteggere i lavoratori dai rischi meccanici:
Impedisci il contatto. La protezione deve impedire che mani, braccia o qualsiasi parte del corpo o degli indumenti di un lavoratore entrino in contatto con parti mobili pericolose, eliminando la possibilità che gli operatori o altri lavoratori pongano parti del loro corpo vicino a parti mobili pericolose.
Fornisci sicurezza. I lavoratori non dovrebbero essere in grado di rimuovere o manomettere facilmente la protezione. Le protezioni e i dispositivi di sicurezza devono essere realizzati in materiale durevole che resista alle condizioni di normale utilizzo e che siano saldamente fissati alla macchina.
Proteggere dalla caduta di oggetti. La protezione dovrebbe garantire che nessun oggetto possa cadere nelle parti in movimento e danneggiare l'apparecchiatura o diventare un proiettile che potrebbe colpire e ferire qualcuno.
Non creare nuovi pericoli. Una protezione vanifica il suo scopo se crea un pericolo di per sé, come un punto di taglio, un bordo frastagliato o una superficie non rifinita. I bordi delle protezioni, ad esempio, devono essere arrotolati o imbullonati in modo tale da eliminare gli spigoli vivi.
Non creare interferenze. Le garanzie che impediscono ai lavoratori di svolgere il proprio lavoro potrebbero presto essere annullate o ignorate. Se possibile, i lavoratori dovrebbero essere in grado di lubrificare le macchine senza disinnestare o rimuovere le protezioni. Ad esempio, posizionare i serbatoi dell'olio all'esterno della protezione, con una linea che porta al punto di lubrificazione, ridurrà la necessità di entrare nell'area pericolosa.
Formazione di salvaguardia
Anche il sistema di salvaguardia più elaborato non può offrire una protezione efficace se i lavoratori non sanno come usarlo e perché. Una formazione specifica e dettagliata è una parte importante di qualsiasi sforzo per implementare la protezione contro i rischi legati alle macchine. Una protezione adeguata può migliorare la produttività e migliorare l'efficienza poiché può alleviare le apprensioni dei lavoratori per gli infortuni. La formazione di sicurezza è necessaria per i nuovi operatori e il personale addetto alla manutenzione o all'installazione, quando vengono messe in servizio protezioni nuove o modificate o quando i lavoratori sono assegnati a una nuova macchina o operazione; dovrebbe comportare istruzione o formazione pratica in quanto segue:
Metodi di salvaguardia della macchina
Ci sono molti modi per salvaguardare i macchinari. Il tipo di operazione, la dimensione o la forma dello stock, il metodo di manipolazione, la disposizione fisica dell'area di lavoro, il tipo di materiale e i requisiti o le limitazioni di produzione contribuiranno a determinare il metodo di protezione appropriato per la singola macchina. Il progettista della macchina o il professionista della sicurezza deve scegliere la protezione più efficace e pratica disponibile.
Le protezioni possono essere classificate in cinque classificazioni generali: (1) protezioni, (2) dispositivi, (3) separazione, (4) operazioni e (5) altro.
Salvaguardia con guardie
Esistono quattro tipi generali di protezioni (barriere che impediscono l'accesso alle zone pericolose), come segue:
Guardie fisse. Una protezione fissa è una parte permanente della macchina e non dipende da parti in movimento per svolgere la funzione prevista. Può essere costruito con lamiera, schermo, tela metallica, barre, plastica o qualsiasi altro materiale sufficientemente consistente da resistere a qualsiasi impatto possa ricevere e sopportare un uso prolungato. I ripari fissi sono generalmente preferibili a tutti gli altri tipi per la loro relativa semplicità e permanenza (vedi tabella 1).
Tabella 1. Protezioni macchina
metodo |
Azione di salvaguardia |
Vantaggi |
limitazioni |
Fissa |
· Fornisce una barriera |
· Si adatta a molte applicazioni specifiche |
· Può interferire con la visibilità |
Interlocked |
· Interrompe o disinserisce l'alimentazione e impedisce l'avviamento della macchina quando la protezione è aperta; dovrebbe richiedere l'arresto della macchina prima che il lavoratore possa raggiungere la zona di pericolo |
· Fornisce la massima protezione |
· Richiede un'attenta regolazione e manutenzione |
Regolabile |
· Fornisce una barriera che può essere regolata per facilitare una varietà di operazioni di produzione |
· Può essere costruito per adattarsi a molte applicazioni specifiche |
· L'operatore può entrare nell'area di pericolo: la protezione può non essere sempre completa |
Auto-regolazione |
· Fornisce una barriera che si sposta in base alle dimensioni dello stock che entra nell'area di pericolo |
· Le protezioni standard sono disponibili in commercio |
· Non sempre fornisce la massima protezione |
Nella figura 12, una protezione fissa su una pressa meccanica racchiude completamente il punto di lavoro. Lo stock viene alimentato attraverso il lato della protezione nell'area dello stampo, con lo stock di scarto che esce sul lato opposto.
Figura 12. Protezione fissa sulla pressa
La Figura 13 mostra una protezione fissa dell'involucro che protegge la cinghia e la puleggia di un'unità di trasmissione di potenza. Sulla parte superiore è presente un pannello di ispezione per ridurre al minimo la necessità di rimuovere la protezione.
Figura 13. Protezione fissa che racchiude cinghie e pulegge
Nella figura 14 sono mostrati i ripari fissi su una sega a nastro. Queste protezioni proteggono gli operatori dalle ruote in rotazione e dalla lama della sega in movimento. Normalmente, l'unico momento in cui le protezioni vengono aperte o rimosse è per la sostituzione della lama o per la manutenzione. È molto importante che siano fissati saldamente mentre la sega è in uso.
Figura 14. Protezioni fisse su sega a nastro
Guardie interbloccate. Quando le protezioni interbloccate vengono aperte o rimosse, il meccanismo di sgancio e/o l'alimentazione si spengono o si disinnestano automaticamente e la macchina non può funzionare o essere avviata fino a quando la protezione interbloccata non viene riposizionata. Tuttavia, la sostituzione della protezione di interblocco non dovrebbe riavviare automaticamente la macchina. I ripari interbloccati possono utilizzare energia elettrica, meccanica, idraulica o pneumatica o qualsiasi combinazione di questi. Gli interblocchi non dovrebbero impedire "inching" (ovvero movimenti progressivi graduali) tramite telecomando, se necessario.
Un esempio di protezione interbloccata è mostrato nella figura 15. In questa figura, il meccanismo di battitura di una macchina raccoglitrice (utilizzata nell'industria tessile) è coperto da una protezione barriera interbloccata. Questa protezione non può essere sollevata mentre la macchina è in funzione, né la macchina può essere riavviata con la protezione in posizione sollevata.
Figura 15. Protezione interbloccata sulla macchina raccoglitrice
Protezioni regolabili. Le protezioni regolabili consentono flessibilità nell'accomodare scorte di varie dimensioni. La figura 16 mostra un carter di protezione regolabile su una sega a nastro.
Figura 16. Protezione regolabile sulla sega a nastro
Protezioni autoregolanti. Le aperture delle protezioni autoregolanti sono determinate dal movimento del calcio. Quando l'operatore sposta il calcio nell'area di pericolo, la protezione viene allontanata, fornendo un'apertura sufficientemente ampia da consentire l'ingresso solo del calcio. Dopo che il calcio è stato rimosso, la guardia ritorna nella posizione di riposo. Questa protezione protegge l'operatore ponendo una barriera tra la zona di pericolo e l'operatore. Le protezioni possono essere costruite in plastica, metallo o altro materiale consistente. Le protezioni autoregolanti offrono diversi gradi di protezione.
La figura 17 mostra una sega a braccio radiale con protezione autoregolante. Mentre la lama viene tirata attraverso il calcio, la protezione si sposta verso l'alto, rimanendo in contatto con il calcio.
Figura 17. Protezione autoregolante sulla sega a braccio radiale
Salvaguardia con dispositivi
I dispositivi di sicurezza possono arrestare la macchina se una mano o qualsiasi parte del corpo viene inavvertitamente posizionata nell'area di pericolo, possono trattenere o ritirare le mani dell'operatore dall'area di pericolo durante il funzionamento, possono richiedere all'operatore di utilizzare entrambe le mani sui comandi della macchina contemporaneamente ( mantenendo così entrambe le mani e il corpo fuori pericolo) o può fornire una barriera sincronizzata con il ciclo operativo della macchina per impedire l'accesso alla zona pericolosa durante la parte pericolosa del ciclo. Esistono cinque tipi fondamentali di dispositivi di sicurezza, come segue:
Dispositivi di rilevamento della presenza
Di seguito sono descritti tre tipi di dispositivi di rilevamento che arrestano la macchina o interrompono il ciclo di lavoro o il funzionamento se un lavoratore si trova all'interno della zona di pericolo:
I dispositivo fotoelettrico (ottico) di rilevamento della presenza utilizza un sistema di sorgenti luminose e comandi in grado di interrompere il ciclo di funzionamento della macchina. Se il campo luminoso è interrotto, la macchina si arresta e non si avvia. Questo dispositivo deve essere utilizzato solo su macchine che possono essere fermate prima che il lavoratore raggiunga la zona di pericolo. La Figura 18 mostra un dispositivo fotoelettrico di rilevamento della presenza utilizzato con una pressa piegatrice. Il dispositivo può essere ruotato verso l'alto o verso il basso per adattarsi a diversi requisiti di produzione.
Figura 18. Rilevatore di presenza fotoelettrico su pressa piegatrice
I dispositivo di rilevamento della presenza a radiofrequenza (capacità). utilizza un raggio radio che fa parte del circuito di controllo. Quando il campo di capacità è interrotto, la macchina si fermerà o non si attiverà. Questo dispositivo deve essere utilizzato solo su macchine che possono essere fermate prima che l'operatore possa raggiungere la zona di pericolo. Ciò richiede che la macchina abbia una frizione a frizione o altri mezzi affidabili per l'arresto. La Figura 19 mostra un dispositivo di rilevamento della presenza a radiofrequenza montato su una pressa a rotazione parziale.
Figura 19. Rilevatore di presenza a radiofrequenza sulla motosega
I dispositivo di rilevamento elettromeccanico ha una sonda o barra di contatto che scende ad una distanza predeterminata quando l'operatore avvia il ciclo della macchina. Se c'è un ostacolo che le impedisce di scendere per tutta la distanza predeterminata, il circuito di controllo non aziona il ciclo della macchina. La Figura 20 mostra un dispositivo di rilevamento elettromeccanico su una lettera ad occhiello. Viene mostrata anche la sonda di rilevamento a contatto con il dito dell'operatore.
Figura 20. Dispositivo di rilevamento elettromeccanico su macchina per lettere a occhio
Dispositivi di richiamo
I dispositivi di richiamo utilizzano una serie di cavi attaccati alle mani, ai polsi e/o alle braccia dell'operatore e sono utilizzati principalmente su macchine con azione di carezza. Quando la slitta/pistone è sollevata, l'operatore può accedere al punto operativo. Quando la slitta/pistone inizia a scendere, un leveraggio meccanico assicura automaticamente il ritiro delle mani dal punto di manovra. La Figura 21 mostra un dispositivo di richiamo su una piccola pressa.
Figura 21. Dispositivo di richiamo sulla pressa di potenza
Dispositivi di ritenuta
In alcuni paesi sono stati utilizzati dispositivi di trattenuta, che utilizzano cavi o cinghie fissati tra un punto fisso e le mani dell'operatore. Questi dispositivi non sono generalmente considerati protezioni accettabili perché sono facilmente aggirabili dall'operatore, consentendo così di mettere le mani nella zona di pericolo. (Vedi tabella 2.)
Tabella 2. Dispositivi
metodo |
Azione di salvaguardia |
Vantaggi |
limitazioni |
Fotoelettrico |
· La macchina non inizierà a funzionare quando il campo luminoso viene interrotto |
· Può consentire un movimento più libero per l'operatore |
· Non protegge da guasti meccanici |
Frequenza radio |
· Il ciclo della macchina non si avvia quando il campo capacitivo viene interrotto |
· Può consentire un movimento più libero per l'operatore |
· Non protegge da guasti meccanici |
Elettromeccanico |
· La barra di contatto o la sonda percorrono una distanza predeterminata tra l'operatore e la zona pericolosa |
· Può consentire l'accesso al punto operativo |
· La barra di contatto o la sonda devono essere opportunamente regolate per ogni applicazione; questa regolazione deve essere mantenuta correttamente |
Pullback |
· Quando la macchina inizia a funzionare, le mani dell'operatore vengono allontanate dall'area di pericolo |
· Elimina la necessità di barriere ausiliarie o altre interferenze nell'area di pericolo |
· Limita il movimento dell'operatore |
Comandi intervento di sicurezza: |
· Arresta la macchina in caso di intervento |
· Semplicità di utilizzo |
· Tutti i comandi devono essere attivati manualmente |
Comando a due mani |
· È richiesto l'uso simultaneo di entrambe le mani, impedendo all'operatore di entrare nell'area di pericolo |
· Le mani dell'operatore si trovano in una posizione predeterminata, lontano dall'area di pericolo |
· Richiede una macchina a ciclo parziale con freno |
Viaggio a due mani |
· L'uso simultaneo di due mani su comandi separati evita che le mani si trovino nell'area di pericolo all'avvio del ciclo della macchina |
· Le mani dell'operatore sono lontane dall'area di pericolo |
· L'operatore può tentare di raggiungere l'area di pericolo dopo aver fatto inciampare la macchina |
cancello |
· Fornisce una barriera tra l'area di pericolo e l'operatore o altro personale |
· Può impedire di raggiungere o camminare nell'area di pericolo |
· Può richiedere ispezioni frequenti e manutenzione regolare |
Dispositivi di controllo della sicurezza
Tutti questi dispositivi di controllo di sicurezza sono attivati manualmente e devono essere ripristinati manualmente per riavviare la macchina:
Figura 22. Barra del corpo sensibile alla pressione su mulino per gomma
Figura 23. Asta di sicurezza su mulino per gomma
Figura 24. Cavo tripwire di sicurezza sulla calandra
Figura 25. Pulsanti di comando a due mani sulla pressa con frizione a giro parziale
Figura 26. Pulsanti di comando a due mani sulla pressa di potenza della frizione a rotazione completa
Figura 27. Pressa con cancello
Salvaguardia per posizione o distanza
Per salvaguardare una macchina per posizione, la macchina o le sue parti mobili pericolose devono essere posizionate in modo tale che le aree pericolose non siano accessibili o non rappresentino un pericolo per un lavoratore durante il normale funzionamento della macchina. Ciò può essere ottenuto con muri di recinzione o recinzioni che limitano l'accesso alle macchine o posizionando una macchina in modo che una caratteristica di progettazione dell'impianto, come un muro, protegga il lavoratore e altro personale. Un'altra possibilità è avere parti pericolose posizionate abbastanza in alto da essere fuori dalla normale portata di qualsiasi lavoratore. Un'analisi approfondita dei rischi di ogni macchina e situazione particolare è essenziale prima di tentare questa tecnica di protezione. Gli esempi riportati di seguito sono solo alcune delle numerose applicazioni del principio della protezione per posizione/distanza.
Processo di alimentazione. Il processo di alimentazione può essere salvaguardato dalla posizione se è possibile mantenere una distanza di sicurezza per proteggere le mani del lavoratore. Le dimensioni del grezzo su cui si lavora possono fornire una sicurezza adeguata. Ad esempio, quando si utilizza una punzonatrice a un'estremità, se il pezzo è lungo diversi piedi e si sta lavorando solo su un'estremità del pezzo, l'operatore può essere in grado di tenere l'estremità opposta mentre viene eseguito il lavoro. Tuttavia, a seconda della macchina, potrebbe essere ancora necessaria la protezione per altro personale.
Comandi di posizionamento. Il posizionamento della stazione di controllo dell'operatore fornisce un potenziale approccio alla protezione in base alla posizione. I comandi dell'operatore possono essere posizionati a una distanza di sicurezza dalla macchina se non c'è motivo per cui l'operatore sia presente alla macchina.
Metodi di salvaguardia dell'alimentazione e dell'espulsione
Molti metodi di alimentazione ed espulsione non richiedono agli operatori di mettere le mani nella zona di pericolo. In alcuni casi, non è necessario alcun intervento dell'operatore dopo l'impostazione della macchina, mentre in altre situazioni, gli operatori possono alimentare manualmente il materiale con l'assistenza di un meccanismo di alimentazione. Inoltre, possono essere progettati metodi di espulsione che non richiedono alcun intervento dell'operatore dopo che la macchina ha iniziato a funzionare. Alcuni metodi di alimentazione ed espulsione possono persino creare pericoli essi stessi, come un robot che può eliminare la necessità per un operatore di essere vicino alla macchina ma può creare un nuovo pericolo con il movimento del suo braccio. (Vedi tabella 3.)
Tabella 3. Metodi di alimentazione ed espulsione
metodo |
Azione di salvaguardia |
Vantaggi |
limitazioni |
Alimentazione automatica |
· Lo stock è alimentato da rotoli, indicizzato dal meccanismo della macchina, ecc. |
· Elimina la necessità del coinvolgimento dell'operatore nell'area di pericolo |
· Sono necessarie anche altre protezioni per la protezione dell'operatore, in genere protezioni a barriera fisse |
Semi-automatico |
· Stock è alimentato da scivoli, stampi mobili, quadrante |
· Elimina la necessità del coinvolgimento dell'operatore nell'area di pericolo |
· Sono necessarie anche altre protezioni per la protezione dell'operatore, in genere protezioni a barriera fisse |
Automatico |
· I pezzi vengono espulsi per via aerea o meccanica |
· Elimina la necessità del coinvolgimento dell'operatore nell'area di pericolo |
· Può creare il rischio di scagliare trucioli o detriti |
Semi-automatico |
· I pezzi da lavorare vengono espulsi meccanicamente |
· L'operatore non deve entrare nell'area di pericolo per rimuovere il lavoro finito |
· Sono necessarie altre protezioni per l'operatore |
Robot |
· Eseguono lavori normalmente eseguiti dall'operatore |
· L'operatore non deve entrare nell'area di pericolo |
· Possono creare pericoli essi stessi |
L'utilizzo di uno dei seguenti cinque metodi di alimentazione ed espulsione per salvaguardare le macchine non elimina la necessità di protezioni e altri dispositivi, che devono essere utilizzati secondo necessità per fornire protezione dall'esposizione ai pericoli.
Alimentazione automatica. Gli avanzamenti automatici riducono l'esposizione dell'operatore durante il processo di lavoro e spesso non richiedono alcuno sforzo da parte dell'operatore dopo che la macchina è stata installata e messa in funzione. La pressa in figura 28 è dotata di un meccanismo di avanzamento automatico con un carter di protezione fisso trasparente nella zona di pericolo.
Figura 28. Pressa con avanzamento automatico
Alimentazione semiautomatica. Con l'avanzamento semiautomatico, come nel caso di una pressa meccanica, l'operatore utilizza un meccanismo per posizionare il pezzo in lavorazione sotto la mazza ad ogni corsa. L'operatore non ha bisogno di raggiungere l'area di pericolo e l'area di pericolo è completamente chiusa. La figura 29 mostra un'alimentazione a scivolo in cui ogni pezzo viene inserito a mano. L'utilizzo di un avanzamento a scivolo su una pressa inclinata non solo aiuta a centrare il pezzo mentre scorre nella matrice, ma può anche semplificare il problema dell'espulsione.
Figura 29. Pressa motorizzata con alimentazione a scivolo
Espulsione automatica. L'espulsione automatica può impiegare la pressione dell'aria o un apparato meccanico per rimuovere la parte completata da una pressa e può essere interbloccata con i comandi operativi per impedire il funzionamento fino al completamento dell'espulsione della parte. Il meccanismo della navetta panoramica mostrato nella figura 30 si sposta sotto la parte finita mentre la slitta si sposta verso la posizione sollevata. La navetta quindi afferra la parte strappata dalla slitta dai perni espulsori e la devia in uno scivolo. Quando il pistone si sposta verso il fustellato successivo, la navetta del piatto si allontana dall'area dello stampo.
Figura 30. Sistema di espulsione navetta
Espulsione semiautomatica. La figura 31 mostra un meccanismo di espulsione semiautomatico utilizzato su una pressa elettrica. Quando lo stantuffo viene ritirato dall'area dello stampo, la gamba dell'espulsore, che è accoppiata meccanicamente allo stantuffo, espelle il lavoro completato.
Figura 31. Meccanismo di espulsione semiautomatico
Robot. I robot sono dispositivi complessi che caricano e scaricano merci, assemblano parti, trasferiscono oggetti o eseguono lavori altrimenti eseguiti da un operatore, eliminando così l'esposizione dell'operatore ai rischi. Sono utilizzati al meglio nei processi ad alta produzione che richiedono routine ripetute, dove possono proteggersi da altri pericoli per i dipendenti. I robot possono creare pericoli e devono essere utilizzate protezioni adeguate. La Figura 32 mostra un esempio di un robot che alimenta una pressa.
Figura 32. Utilizzo di barriere protettive per proteggere l'involucro del robot
Ausili vari per la salvaguardia
Sebbene gli ausili di protezione vari non offrano una protezione completa dai rischi della macchina, possono fornire agli operatori un ulteriore margine di sicurezza. È necessario un buon giudizio nella loro applicazione e utilizzo.
Barriere di consapevolezza. Le barriere di sensibilizzazione non forniscono protezione fisica, ma servono solo a ricordare agli operatori che si stanno avvicinando all'area di pericolo. In generale, le barriere di sensibilizzazione non sono considerate adeguate quando esiste un'esposizione continua al pericolo. La Figura 33 mostra una fune utilizzata come barriera di sensibilizzazione sul retro di una cesoia per squadratura. Le barriere non impediscono fisicamente alle persone di entrare nelle aree pericolose, ma forniscono solo la consapevolezza del pericolo.
Figura 33. Vista posteriore del quadrato di taglio elettrico
Shields. Gli schermi possono essere utilizzati per fornire protezione da particelle volanti, schizzi di fluidi per la lavorazione dei metalli o refrigeranti. La Figura 34 mostra due potenziali applicazioni.
Figura 34. Applicazioni degli schermi
Strumenti di tenuta. Gli strumenti di tenuta posizionano e rimuovono il materiale. Un uso tipico sarebbe per raggiungere l'area pericolosa di una pressa o pressa piegatrice. La Figura 35 mostra un assortimento di strumenti per questo scopo. Gli strumenti di tenuta non devono essere utilizzati invece di altre protezioni della macchina; sono semplicemente un supplemento alla protezione fornita da altre guardie.
Figura 35. Strumenti di tenuta
Spingere bastoncini o blocchi, come mostrato nella figura 36, può essere utilizzato quando si alimenta materiale in una macchina, come una lama per sega. Quando diventa necessario che le mani siano molto vicine alla lama, il push stick o il blocco possono fornire un margine di sicurezza e prevenire lesioni.
Figura 36. Uso del push stick o del push block
Gli sviluppi generali nella microelettronica e nella tecnologia dei sensori fanno sperare che un miglioramento della sicurezza sul lavoro possa essere raggiunto attraverso la disponibilità di rilevatori di presenza e avvicinamento affidabili, resistenti, a bassa manutenzione ed economici. Questo articolo descriverà la tecnologia dei sensori, le diverse procedure di rilevamento, le condizioni e le restrizioni applicabili all'uso dei sistemi di sensori e alcuni studi completati e lavori di standardizzazione in Germania.
Criteri del rilevatore di presenza
Lo sviluppo e la sperimentazione pratica dei rilevatori di presenza è una delle maggiori sfide future per gli sforzi tecnici per migliorare la sicurezza sul lavoro e la protezione del personale in generale. Rilevatori di presenza sono sensori che segnalano in modo affidabile e sicuro il vicino alla presenza o all'avvicinarsi di una persona. Inoltre, questo avviso deve verificarsi rapidamente in modo che l'azione evasiva, la frenata o l'arresto di una macchina ferma possano aver luogo prima che si verifichi il contatto previsto. Il fatto che le persone siano grandi o piccole, qualunque sia la loro postura o il modo in cui sono vestiti non dovrebbe avere alcun effetto sull'affidabilità del sensore. Inoltre, il sensore deve avere certezza di funzionamento ed essere robusto ed economico, in modo da poter essere utilizzato nelle condizioni più gravose, come nei cantieri e per applicazioni mobili, con una manutenzione minima. I sensori devono essere come un airbag in quanto esenti da manutenzione e sempre pronti. Data la riluttanza di alcuni utenti a mantenere quelle che potrebbero considerare apparecchiature non essenziali, i sensori potrebbero rimanere inutilizzati per anni. Un'altra caratteristica dei rilevatori di presenza, molto più probabile che venga richiesta, è che rilevano anche ostacoli diversi dall'essere umano e avvisano l'operatore in tempo per intraprendere un'azione difensiva, riducendo così i costi di riparazione e danni materiali. Questo è un motivo per installare rilevatori di presenza che non dovrebbero essere sottovalutati.
Applicazioni del rivelatore
Innumerevoli incidenti mortali e lesioni gravi che sembrano inevitabili, singoli atti del destino, possono essere evitati o ridotti al minimo a condizione che i rilevatori di presenza diventino più accettati come misura di prevenzione nel campo della sicurezza sul lavoro. Troppo spesso i giornali riportano questi incidenti: qui una persona è stata investita da un caricatore che si muoveva all'indietro, lì l'operatore non ha visto qualcuno che è stato travolto dalla ruota anteriore di un escavatore. I camion che si muovono all'indietro su strade, locali aziendali e cantieri sono causa di molti incidenti alle persone. Le aziende di oggi, completamente razionalizzate, non forniscono più copiloti o altre persone che facciano da guida all'autista che fa retromarcia. Questi esempi di incidenti in movimento possono essere facilmente estesi ad altre attrezzature mobili, come i carrelli elevatori. Tuttavia, l'uso di sensori è urgentemente necessario per prevenire gli incidenti che coinvolgono apparecchiature semimobili e puramente fisse. Un esempio sono le aree posteriori di grandi macchine caricatrici, che sono state identificate dal personale addetto alla sicurezza come aree potenzialmente pericolose che potrebbero essere migliorate attraverso l'uso di sensori poco costosi. Molte varianti di rilevatori di presenza possono essere adattate in modo innovativo ad altri veicoli e grandi apparecchiature mobili per proteggersi dai tipi di incidenti discussi in questo articolo, che generalmente causano danni estesi e lesioni gravi, se non mortali.
La tendenza alla diffusione di soluzioni innovative sembrerebbe promettere che i rilevatori di presenza diventeranno la tecnologia di sicurezza standard in altre applicazioni; tuttavia, questo non è il caso ovunque. La svolta, motivata da incidenti e danni materiali elevati, è prevista nel monitoraggio dietro furgoni e autocarri pesanti e per le aree più innovative delle "nuove tecnologie", le macchine robotiche mobili del futuro.
La variazione dei campi di applicazione dei rilevatori di presenza e la variabilità dei compiti, ad esempio tollerare oggetti (anche oggetti in movimento, in determinate condizioni) che appartengono a un campo di rilevamento e che non devono attivare un segnale, richiedono sensori in cui “ la tecnologia di valutazione "intelligente" supporta i meccanismi della funzione del sensore. Questa tecnologia, che è materia di sviluppo futuro, può essere elaborata da metodi attingendo al campo dell'intelligenza artificiale (Schreiber e Kuhn 1995). Ad oggi, un'universalità limitata ha fortemente limitato gli usi attuali dei sensori. Ci sono barriere fotoelettriche; barre luminose; tappetini di contatto; sensori infrarossi passivi; rilevatori di movimento a ultrasuoni e radar che utilizzano l'effetto Doppler; sensori che effettuano misurazioni del tempo trascorso di ultrasuoni, radar e impulsi luminosi; e scanner laser. Le normali telecamere collegate ai monitor non sono incluse in questo elenco perché non sono rilevatori di presenza. Tuttavia, sono incluse quelle telecamere che si attivano automaticamente quando rilevano la presenza di una persona.
Tecnologia
Oggi i problemi principali dei sensori sono (1) l'ottimizzazione dell'uso degli effetti fisici (infrarossi, luce, ultrasuoni, radar, ecc.) e (2) l'automonitoraggio. Gli scanner laser vengono sviluppati intensamente per essere utilizzati come strumenti di navigazione per robot mobili. Per questo, devono essere risolti due compiti, in parte diversi in linea di principio: la navigazione del robot e la protezione delle persone (e del materiale o delle attrezzature) presenti in modo che non vengano colpite, investite o afferrate (Freund, Dierks e Rossman 1993 ). I futuri robot mobili non possono mantenere la stessa filosofia di sicurezza della "separazione spaziale tra robot e persona" che viene rigorosamente applicata ai robot industriali stazionari di oggi. Ciò significa attribuire grande importanza al funzionamento affidabile del rilevatore di presenza da utilizzare.
L'uso delle “nuove tecnologie” è spesso legato a problemi di accettazione, e si può presumere che l'uso generalizzato di robot mobili in grado di muoversi e afferrare, tra le persone negli impianti, nelle aree di traffico pubblico, o anche nelle case o nelle aree ricreative , saranno accettati solo se dotati di rilevatori di presenza molto evoluti, sofisticati e affidabili. Gli incidenti spettacolari devono essere evitati a tutti i costi per evitare di esacerbare un possibile problema di accettazione. L'attuale livello di spesa per lo sviluppo di questo tipo di sensori di protezione occupazionale non si avvicina a tenere conto di questa considerazione. Per risparmiare molti costi, i rilevatori di presenza dovrebbero essere sviluppati e testati contemporaneamente ai robot mobili e ai sistemi di navigazione, non successivamente.
Per quanto riguarda i veicoli a motore, le questioni relative alla sicurezza hanno acquisito un'importanza crescente. L'innovativa sicurezza dei passeggeri nelle automobili comprende cinture di sicurezza a tre punti, seggiolini per bambini, airbag e il sistema antibloccaggio dei freni verificato da crash test seriali. Queste misure di sicurezza rappresentano una parte relativamente crescente dei costi di produzione. L'airbag laterale ei sistemi di sensori radar per misurare la distanza dall'auto che precede sono sviluppi evolutivi nella protezione dei passeggeri.
La sicurezza esterna dei veicoli a motore, ovvero la protezione di terzi, sta ricevendo una crescente attenzione. Recentemente è stata richiesta la protezione laterale, soprattutto per gli autocarri, per evitare a motociclisti, ciclisti e pedoni il pericolo di cadere sotto le ruote posteriori. Un prossimo passo logico sarebbe il monitoraggio dell'area dietro i veicoli di grandi dimensioni con rilevatori di presenza e l'installazione di dispositivi di segnalazione dell'area posteriore. Ciò avrebbe l'effetto collaterale positivo di fornire i finanziamenti necessari per sviluppare, testare e rendere disponibili sensori dalle massime prestazioni, automonitorati, esenti da manutenzione e funzionanti in modo affidabile, economici per scopi di sicurezza sul lavoro. Il processo di prova che accompagnerebbe l'ampia implementazione di sensori o sistemi di sensori faciliterebbe considerevolmente l'innovazione in altri settori, come pale meccaniche, caricatori pesanti e altre grandi macchine mobili che effettuano il backup fino alla metà del tempo durante il loro funzionamento. Il processo evolutivo dai robot fissi ai robot mobili è un ulteriore percorso di sviluppo per i rilevatori di presenza. Ad esempio, si potrebbero apportare miglioramenti ai sensori attualmente utilizzati sui robot mobili per la movimentazione di materiali o sui "trattori da fabbrica senza conducente", che seguono percorsi fissi e quindi hanno requisiti di sicurezza relativamente bassi. L'uso di rilevatori di presenza è il passo logico successivo per migliorare la sicurezza nel settore del trasporto di materiali e passeggeri.
Procedure di rilevamento
Vari principi fisici, disponibili in connessione con metodi elettronici di misurazione e automonitoraggio e, in una certa misura, procedure di calcolo ad alte prestazioni, possono essere utilizzati per valutare e risolvere i compiti di cui sopra. Il funzionamento apparentemente senza sforzo e sicuro di macchine automatiche (robot) così comuni nei film di fantascienza, sarà probabilmente realizzato nel mondo reale attraverso l'uso di tecniche di imaging e algoritmi di riconoscimento di schemi ad alte prestazioni in combinazione con metodi di misurazione della distanza analoghi a quelli utilizzato dai laser scanner. Bisogna riconoscere la situazione paradossale che tutto ciò che sembra semplice per le persone è difficile per gli automi. Ad esempio, un compito difficile come un'eccellente partita a scacchi (che richiede l'attività del proencefalo) può essere simulato ed eseguito più facilmente da macchine automatizzate rispetto a un compito semplice come camminare eretti o eseguire la coordinazione occhio-mano e altri movimenti (mediata da il mesencefalo e il rombencefalo). Di seguito sono descritti alcuni di questi principi, metodi e procedure applicabili alle applicazioni dei sensori. Oltre a queste, esiste un gran numero di procedure speciali per compiti molto speciali che funzionano in parte con una combinazione di vari tipi di effetti fisici.
Barre e barriere fotoelettriche. Tra i primi rilevatori di presenza c'erano le barriere fotoelettriche e le sbarre. Hanno una geometria di monitoraggio piatta; cioè chi ha superato la barriera non verrà più rilevato. La mano di un operatore o la presenza di strumenti o parti tenute in mano da un operatore, ad esempio, possono essere rilevate in modo rapido e affidabile con questi dispositivi. Offrono un importante contributo alla sicurezza sul lavoro per le macchine (come presse e punzonatrici) che richiedono l'inserimento manuale del materiale. L'affidabilità deve essere statisticamente molto elevata, perché quando la mano raggiunge solo due o tre volte al minuto, in pochi anni vengono eseguite circa un milione di operazioni. L'autocontrollo reciproco dei componenti emettitore e ricevente è stato sviluppato a un livello tecnico così elevato da rappresentare uno standard per tutte le altre procedure di rilevamento della presenza.
Tappetini di contatto (tappeti di commutazione). Esistono tipi di tappeti e pavimenti di contatto elettrici e pneumatici sia passivi che attivi (a pompa), inizialmente utilizzati in gran numero nelle funzioni di servizio (apriporta), fino a quando non sono stati sostituiti dai rilevatori di movimento. Ulteriore sviluppo si evolve con l'uso di rilevatori di presenza in tutti i tipi di zone pericolose. Ad esempio, lo sviluppo della produzione automatizzata con un cambiamento nella funzione del lavoratore - dall'azionamento della macchina al monitoraggio rigoroso del suo funzionamento - ha prodotto una corrispondente domanda di rivelatori appropriati. La standardizzazione di questo utilizzo è in fase avanzata (DIN 1995a) e limitazioni speciali (layout, dimensioni, zone "morte" massime consentite) hanno reso necessario lo sviluppo di competenze per l'installazione in quest'area di utilizzo.
Interessanti possibili usi dei tappetini di contatto sorgono in combinazione con sistemi robotici multipli controllati da computer. Un operatore commuta uno o due elementi in modo che il rilevatore di presenza rilevi la sua posizione esatta e informi il computer, che gestisce i sistemi di controllo del robot con un sistema anticollisione integrato. In un test avanzato dall'istituto federale tedesco per la sicurezza (BAU), sotto l'area di lavoro del braccio del robot è stato costruito a tale scopo un pavimento di tappetino di contatto, costituito da piccoli tappetini per interruttori elettrici (Freund, Dierks e Rossman 1993). Questo rilevatore di presenza aveva la forma di una scacchiera. Il campo del tappetino rispettivamente attivato comunicava al computer la posizione dell'operatore (figura 1) e quando l'operatore si avvicinava troppo al robot, si allontanava. Senza il rilevatore di presenza, il sistema robotico non sarebbe in grado di rilevare la posizione dell'operatore e quindi l'operatore non potrebbe essere protetto.
Figura 1. Una persona (a destra) e due robot in corpi avvolgenti computerizzati
Riflettori (sensori di movimento e rilevatori di presenza). Per quanto meritevoli possano essere i sensori fin qui discussi, non sono rilevatori di presenza in senso lato. La loro idoneità, principalmente per motivi di sicurezza sul lavoro, per veicoli di grandi dimensioni e grandi attrezzature mobili presuppone due caratteristiche importanti: (1) la capacità di monitorare un'area da una posizione e (2) il funzionamento senza errori senza la necessità di misure aggiuntive su la parte di, ad esempio, l'uso di dispositivi riflettenti. Rilevare la presenza di una persona che entra nell'area monitorata e rimanere fermi fino a quando questa persona non se ne è andata implica anche la necessità di rilevare una persona assolutamente immobile. Questo distingue i cosiddetti sensori di movimento dai rilevatori di presenza, almeno in connessione con apparecchiature mobili; i sensori di movimento vengono quasi sempre attivati quando il veicolo viene messo in movimento.
Sensori di movimento. I due tipi fondamentali di sensori di movimento sono: (1) "sensori a infrarossi passivi" (PIRS), che reagiscono alla minima variazione del raggio infrarosso nell'area monitorata (il raggio più piccolo rilevabile è di circa 10-9 W con un intervallo di lunghezze d'onda da circa 7 a 20 μm); e (2) sensori a ultrasuoni ea microonde che utilizzano il principio Doppler, che determina le caratteristiche del movimento di un oggetto in base ai cambiamenti di frequenza. Ad esempio, l'effetto Doppler aumenta la frequenza del clacson di una locomotiva per un osservatore quando si avvicina e riduce la frequenza quando la locomotiva si allontana. L'effetto Doppler rende possibile la costruzione di sensori di avvicinamento relativamente semplici, poiché il ricevitore deve solo monitorare la frequenza del segnale delle bande di frequenza vicine per l'aspetto della frequenza Doppler.
A metà degli anni '1970 l'uso di rilevatori di movimento divenne prevalente nelle applicazioni di funzioni di servizio come apriporta, sicurezza antifurto e protezione di oggetti. Per l'uso stazionario, il rilevamento di una persona in avvicinamento verso un punto pericoloso era sufficiente per dare un avviso tempestivo o per spegnere una macchina. Questa è stata la base per studiare l'idoneità dei rilevatori di movimento per il loro utilizzo nella sicurezza sul lavoro, in particolare mediante PIRS (Mester et al. 1980). Poiché una persona vestita ha generalmente una temperatura più alta rispetto all'area circostante (testa 34°C, mani 31°C), rilevare una persona in avvicinamento è un po' più facile che rilevare oggetti inanimati. In misura limitata, le parti della macchina possono muoversi nell'area monitorata senza attivare il rilevatore.
Il metodo passivo (senza trasmettitore) presenta vantaggi e svantaggi. Il vantaggio è che un PIRS non aggiunge problemi di rumore e smog elettrico. Per la sicurezza contro i furti e la protezione degli oggetti, è particolarmente importante che il rilevatore non sia facile da trovare. Un sensore che è puramente un ricevitore, tuttavia, difficilmente può monitorare la propria efficacia, che è essenziale per la sicurezza sul lavoro. Un metodo per superare questo inconveniente consisteva nel testare piccoli emettitori di infrarossi modulati (da 5 a 20 Hz) installati nell'area monitorata e che non attivavano il sensore, ma i cui raggi venivano registrati con un'amplificazione elettronica fissa impostata sulla frequenza di modulazione. Questa modifica lo ha trasformato da un sensore "passivo" in un sensore "attivo". In questo modo è stato possibile verificare anche l'accuratezza geometrica dell'area monitorata. Gli specchi possono avere punti ciechi e la direzione di un sensore passivo può essere deviata dall'attività brusca in una pianta. La Figura 2 mostra un layout di prova con un PIRS con una geometria monitorata sotto forma di un mantello piramidale. A causa della loro grande portata, i sensori a infrarossi passivi vengono installati, ad esempio, nei passaggi delle aree di stoccaggio a scaffale.
Figura 2. Sensore a infrarossi passivi come rilevatore di avvicinamento in un'area pericolosa
Nel complesso, i test hanno dimostrato che i rilevatori di movimento non sono adatti alla sicurezza sul lavoro. Il pavimento di un museo notturno non può essere paragonato alle zone pericolose di un posto di lavoro.
Rivelatori ad ultrasuoni, radar e ad impulsi di luce. I sensori che utilizzano il principio impulso/eco, ovvero misurazioni del tempo trascorso di ultrasuoni, radar o impulsi luminosi, hanno un grande potenziale come rilevatori di presenza. Con gli scanner laser, gli impulsi luminosi possono scorrere in rapida successione (di solito in modo rotatorio), ad esempio orizzontalmente, e con l'aiuto di un computer si può ottenere un profilo di distanza degli oggetti su un piano che riflette la luce. Se, ad esempio, non si desidera solo una singola linea, ma l'insieme di ciò che si trova davanti al robot mobile nell'area fino a un'altezza di 2 metri, è necessario elaborare grandi quantità di dati per rappresentare l'area circostante. Un futuro rilevatore di presenza "ideale" consisterà in una combinazione dei seguenti due processi:
La Figura 3 mostra, dal progetto BAU precedentemente citato (Freund, Dierks e Rossman 1993), l'uso di uno scanner laser su un robot mobile che assume anche compiti di navigazione (tramite un raggio di rilevamento della direzione) e protezione dalle collisioni per oggetti nelle immediate vicinanze vicinanze (tramite un raggio di misurazione a terra per il rilevamento della presenza). Date queste caratteristiche, il robot mobile ha la capacità di guida libera automatizzata attiva (vale a dire, la capacità di guidare intorno agli ostacoli). Tecnicamente, ciò si ottiene utilizzando l'angolo di rotazione dello scanner di 45° verso la parte posteriore su entrambi i lati (a babordo ea tribordo del robot) oltre all'angolo di 180° verso la parte anteriore. Questi raggi sono collegati con uno specchio speciale che funge da barriera fotoelettrica sul pavimento davanti al robot mobile (fornendo una linea di visione a terra). Se da lì proviene un riflesso laser, il robot si ferma. Mentre sul mercato sono disponibili scanner laser e luminosi certificati per l'uso sulla sicurezza sul lavoro, questi rilevatori di presenza hanno un grande potenziale di ulteriore sviluppo.
Figura 3. Robot mobile con scanner laser per la navigazione e il rilevamento della presenza
I sensori a ultrasuoni e radar, che utilizzano il tempo trascorso dal segnale alla risposta per determinare la distanza, sono meno impegnativi dal punto di vista tecnico e quindi possono essere prodotti in modo più economico. L'area del sensore è a forma di mazza e presenta una o più mazze laterali più piccole, disposte simmetricamente. La velocità di diffusione del segnale (suono: 330 m/s; onda elettromagnetica: 300,000 km/s) determina la velocità richiesta dell'elettronica utilizzata.
Dispositivi di segnalazione dell'area posteriore. All'Esposizione di Hannover del 1985, BAU ha mostrato i risultati di un primo progetto sull'uso di sensori ad ultrasuoni per la messa in sicurezza dell'area retrostante i veicoli di grandi dimensioni (Langer e Kurfürst 1985). Un modello a grandezza naturale di una testa sensore realizzata con sensori Polaroid™ è stato installato sulla parete posteriore di un camion di rifornimento. La figura 4 ne mostra schematicamente il funzionamento. Il grande diametro di questo sensore produce aree misurate a forma di clava a lungo raggio con angoli relativamente piccoli (circa 18°), disposte l'una accanto all'altra e impostate su diverse portate massime del segnale. In pratica permette di impostare qualsiasi geometria monitorata desiderata, che viene scansionata dai sensori circa quattro volte al secondo per la presenza o l'ingresso di persone. Altri sistemi di avviso di area posteriore dimostrati avevano diversi sensori paralleli disposti in serie.
Figura 4. Disposizione della testa di misurazione e dell'area monitorata sul lato posteriore di un camion
Questa vivida dimostrazione è stata un grande successo alla mostra. Ha dimostrato che la messa in sicurezza della zona posteriore di veicoli e attrezzature di grandi dimensioni viene studiata in molti luoghi, ad esempio da comitati specializzati delle associazioni di categoria industriale (Berufsgenossenschaften), gli assicuratori municipali contro gli infortuni (responsabili dei veicoli municipali), i funzionari statali di controllo dell'industria e i produttori di sensori, che avevano pensato più in termini di automobili come veicoli di servizio (nel senso di concentrarsi sui sistemi di parcheggio per proteggersi da danni alla carrozzeria). Si è formato spontaneamente un comitato ad hoc, tratto dai gruppi per la promozione dei dispositivi di segnalazione di retromarcia, che ha avuto come primo compito la redazione di un elenco di requisiti dal punto di vista della sicurezza sul lavoro. Sono passati dieci anni durante i quali molto è stato elaborato nel monitoraggio dell'area posteriore, forse il compito più importante dei rilevatori di presenza; ma manca ancora la grande svolta.
Molti progetti sono stati condotti con sensori a ultrasuoni, ad esempio su gru per lo smistamento del legno tondo, pale idrauliche, veicoli comunali speciali e altri veicoli utilitari, nonché su carrelli elevatori e caricatori (Schreiber 1990). I dispositivi di segnalazione dell'area posteriore sono particolarmente importanti per i macchinari di grandi dimensioni che effettuano il backup per la maggior parte del tempo. I rilevatori di presenza a ultrasuoni vengono utilizzati, ad esempio, per la protezione di veicoli specializzati senza conducente come i robot per la movimentazione dei materiali. Rispetto ai paracolpi in gomma, questi sensori hanno un'area di rilevamento maggiore che prevede la frenata prima del contatto tra la macchina e un oggetto. I corrispondenti sensori per automobili sono sviluppi appropriati e comportano requisiti notevolmente meno severi.
Nel frattempo, il Comitato per le norme tecniche sui sistemi di trasporto della DIN ha elaborato la norma 75031, "Dispositivi di rilevamento degli ostacoli durante la retromarcia" (DIN 1995b). I requisiti ei test sono stati fissati per due intervalli: 1.8 m per i camion di rifornimento e 3.0 m, un'area di avvertimento aggiuntiva, per i camion più grandi. L'area monitorata viene definita attraverso il riconoscimento di corpi cilindrici di prova. La portata di 3 m rappresenta anche il limite di ciò che è attualmente tecnicamente possibile, in quanto i sensori a ultrasuoni devono avere membrane metalliche chiuse, date le loro difficili condizioni di lavoro. I requisiti per l'automonitoraggio del sistema di sensori vengono definiti, poiché la geometria monitorata richiesta può essere realizzata solo con un sistema di tre o più sensori. La Figura 5 mostra un dispositivo di avvertimento di area posteriore costituito da tre sensori a ultrasuoni (Microsonic GmbH 1996). Lo stesso vale per il dispositivo di notifica nella cabina di guida e il tipo di segnale di avvertimento. I contenuti della norma DIN 75031 sono anche esposti nel rapporto tecnico internazionale ISO TR 12155, "Veicoli commerciali—Dispositivo di rilevamento degli ostacoli durante la retromarcia" (ISO 1994). Diversi produttori di sensori hanno sviluppato prototipi conformi a questo standard.
Figura 5. Autocarro di medie dimensioni dotato di un dispositivo di avviso di zona posteriore (foto Microsonic).
Conclusione
Dall'inizio degli anni '1970, diverse istituzioni e produttori di sensori hanno lavorato per sviluppare e stabilire "rilevatori di presenza". Nell'applicazione speciale dei "dispositivi di avviso di retromarcia" ci sono la norma DIN 75031 e il rapporto ISO TR 12155. Attualmente Deutsche Post AG sta conducendo un importante test. Diversi produttori di sensori hanno dotato ciascuno cinque autocarri di medie dimensioni di tali dispositivi. Un esito positivo di questo test è assolutamente nell'interesse della sicurezza sul lavoro. Come è stato sottolineato all'inizio, i rilevatori di presenza nel numero richiesto rappresentano una grande sfida per la tecnologia di sicurezza nei numerosi campi di applicazione citati. Devono quindi essere realizzabili a basso costo se si vogliono relegare al passato danni ad attrezzature, macchinari e materiali e, soprattutto, infortuni alle persone, spesso molto gravi.
I dispositivi di comando ei dispositivi utilizzati per il sezionamento e la commutazione devono sempre essere discussi in relazione a sistemi tecnici, termine utilizzato in questo articolo per includere macchine, impianti e attrezzature. Ogni sistema tecnico assolve a un compito pratico specifico e assegnato. Affinché questo compito pratico sia realizzabile o addirittura possibile in condizioni di sicurezza, sono necessari dispositivi di controllo e commutazione di sicurezza adeguati. Tali dispositivi vengono utilizzati per avviare il controllo, interrompere o ritardare la corrente e/o gli impulsi di energie elettriche, idrauliche, pneumatiche ed anche potenziali.
Isolamento e Riduzione Energetica
I dispositivi di isolamento vengono utilizzati per isolare l'energia scollegando la linea di alimentazione tra la fonte di energia e l'impianto tecnico. Il dispositivo di sezionamento deve normalmente comportare un'effettiva interruzione dell'alimentazione elettrica univocamente determinabile. L'interruzione dell'alimentazione elettrica dovrebbe inoltre essere sempre abbinata alla riduzione dell'energia immagazzinata in tutte le parti dell'impianto tecnico. Se l'impianto tecnico è alimentato da più fonti di energia, tutte queste linee di alimentazione devono poter essere isolate in modo affidabile. Le persone addestrate a gestire il tipo di energia pertinente e che lavorano all'estremità energetica del sistema tecnico utilizzano dispositivi di isolamento per proteggersi dai pericoli dell'energia. Per motivi di sicurezza, queste persone verificheranno sempre che non rimanga energia potenzialmente pericolosa nell'impianto tecnico, ad esempio accertando l'assenza di potenziale elettrico nel caso di energia elettrica. La manipolazione senza rischi di determinati dispositivi di isolamento è possibile solo per specialisti qualificati; in tali casi il dispositivo di sezionamento deve essere reso inaccessibile alle persone non autorizzate. (Vedi figura 1.)
Figura 1. Principi dei dispositivi di isolamento elettrico e pneumatico
L'interruttore principale
Un dispositivo di manovra generale disconnette l'impianto tecnico dalla rete di alimentazione. A differenza del dispositivo di sezionamento, può essere manovrato senza pericoli anche da “specialisti non energetici”. Il dispositivo interruttore generale serve per disinserire impianti tecnici in un dato momento non utilizzati qualora, ad esempio, il loro funzionamento sia ostacolato da terzi non autorizzati. Viene anche utilizzato per effettuare una disconnessione per scopi quali manutenzione, riparazione di malfunzionamenti, pulizia, ripristino e rimontaggio, a condizione che tale lavoro possa essere eseguito senza energia nel sistema. Naturalmente, quando un dispositivo master-switch possiede anche le caratteristiche di un dispositivo di sezionamento, può anche assumerne e/o condividerne la funzione. (Vedi figura 2.)
Figura 2. Illustrazione esemplificativa di dispositivi di commutazione generale elettrici e pneumatici
Dispositivo di disconnessione di sicurezza
Un dispositivo di disconnessione di sicurezza non disconnette l'intero sistema tecnico dalla fonte di energia; piuttosto, rimuove energia dalle parti del sistema critiche per un particolare sottosistema operativo. Interventi di breve durata possono essere designati per sottosistemi operativi, ad esempio per l'installazione o il ripristino/rimontaggio del sistema, per la riparazione di malfunzionamenti, per la pulizia regolare e per i movimenti e le sequenze di funzioni essenziali e designate richieste durante il corso di set-up, reset/refitting o test run. In questi casi, attrezzature e impianti di produzione complessi non possono essere semplicemente spenti con un interruttore principale, poiché l'intero sistema tecnico non potrebbe riavviarsi da dove si era interrotto dopo la riparazione di un malfunzionamento. Inoltre, il dispositivo master-switch è raramente collocato, negli impianti tecnici più estesi, nel luogo in cui deve essere effettuato l'intervento. Pertanto, il dispositivo di disconnessione di sicurezza deve soddisfare una serie di requisiti, come i seguenti:
Se il dispositivo di manovra principale utilizzato in un dato impianto tecnico è in grado di soddisfare tutti i requisiti di un dispositivo di sezionamento di sicurezza, può anche assumere questa funzione. Ma questo sarà naturalmente un espediente affidabile solo in sistemi tecnici molto semplici. (Vedi figura 3.)
Figura 3. Illustrazione dei principi elementari di un dispositivo di disconnessione di sicurezza
Dispositivi di controllo per sottosistemi operativi
Gli alimentatori consentono di implementare e controllare in sicurezza i movimenti e le sequenze funzionali necessarie per i sottosistemi operativi del sistema tecnico. Potrebbero essere necessari dispositivi di controllo per i sottosistemi operativi per la configurazione (quando devono essere eseguite le prove di funzionamento); per la regolazione (quando devono essere riparati malfunzionamenti nel funzionamento del sistema o quando devono essere eliminati i blocchi); o scopi di formazione (operazioni dimostrative). In tali casi, il normale funzionamento del sistema non può essere semplicemente ripristinato, in quanto la persona che interviene sarebbe messa in pericolo da movimenti e processi innescati da segnali di controllo erroneamente immessi o erroneamente generati. Un alimentatore per sottosistemi operativi deve essere conforme ai seguenti requisiti:
Figura 4. Dispositivi di azionamento negli alimentatori per sottosistemi operativi mobili e fissi
L'interruttore di emergenza
Gli interruttori di emergenza sono necessari laddove il normale funzionamento dei sistemi tecnici potrebbe comportare pericoli che né un'appropriata progettazione del sistema né l'adozione di adeguate precauzioni di sicurezza sono in grado di prevenire. Nei sottosistemi operativi, l'interruttore di emergenza fa spesso parte dell'ingranaggio di controllo del sottosistema operativo. Se azionato in caso di pericolo, l'interruttore di emergenza implementa processi che riportano il sistema tecnico in uno stato operativo sicuro il più rapidamente possibile. Per quanto riguarda le priorità di sicurezza, la protezione delle persone è di primaria importanza; la prevenzione del danno materiale è secondaria, a meno che quest'ultima non sia suscettibile di mettere in pericolo anche le persone. L'interruttore di emergenza deve soddisfare i seguenti requisiti:
Figura 5. Illustrazione dei principi dei pannelli di controllo negli interruttori di emergenza
Dispositivo di controllo dell'interruttore di funzione
I dispositivi di controllo dell'interruttore di funzione vengono utilizzati per accendere il sistema tecnico per il normale funzionamento e per avviare, eseguire e interrompere i movimenti e i processi previsti per il normale funzionamento. Il dispositivo di controllo dell'interruttore di funzione viene utilizzato esclusivamente nel corso del normale funzionamento dell'impianto tecnico, vale a dire durante l'esecuzione indisturbata di tutte le funzioni assegnate. Viene utilizzato di conseguenza dalle persone che gestiscono il sistema tecnico. I dispositivi di controllo dell'interruttore di funzione devono soddisfare i seguenti requisiti:
Figura 6. Rappresentazione schematica di un pannello di controllo delle operazioni
Interruttori di monitoraggio
Gli interruttori di monitoraggio impediscono l'avvio dell'impianto tecnico finché le condizioni di sicurezza monitorate non sono soddisfatte e interrompono il funzionamento non appena una condizione di sicurezza non è più soddisfatta. Sono utilizzati, ad esempio, per monitorare le porte nei vani protetti, per verificare la corretta posizione delle protezioni di sicurezza o per garantire che i limiti di velocità o di percorso non vengano superati. Gli interruttori di monitoraggio devono pertanto soddisfare i seguenti requisiti di sicurezza e affidabilità:
Figura 7. Schema di un interruttore con manovra meccanica positiva e disconnessione positiva
Circuiti di controllo di sicurezza
Molti dei dispositivi di commutazione di sicurezza sopra descritti non eseguono direttamente la funzione di sicurezza, bensì mediante l'emissione di un segnale che viene poi trasmesso ed elaborato da un circuito di controllo di sicurezza e raggiunge infine quelle parti dell'impianto tecnico che esercitano la funzione di sicurezza vera e propria. Il dispositivo di sezionamento di sicurezza, ad esempio, provoca spesso indirettamente la disconnessione dell'energia nei punti critici, mentre un interruttore generale di solito interrompe direttamente l'alimentazione di corrente all'impianto tecnico.
Poiché i circuiti di controllo di sicurezza devono trasmettere segnali di sicurezza in modo affidabile, è necessario tenere in considerazione i seguenti principi:
I componenti utilizzati nei circuiti di controllo di sicurezza devono eseguire la funzione di sicurezza in modo particolarmente affidabile. Le funzioni dei componenti che non soddisfano tale requisito devono essere implementate predisponendo una ridondanza il più diversificata possibile e devono essere tenute sotto sorveglianza.
Negli ultimi anni i microprocessori hanno svolto un ruolo sempre più importante nel campo della tecnologia di sicurezza. Poiché interi computer (ad es. unità di elaborazione centrale, memoria e componenti periferici) sono ora disponibili in un unico componente come "computer a chip singolo", la tecnologia dei microprocessori viene impiegata non solo nel controllo di macchine complesse, ma anche nelle salvaguardie di un design relativamente semplice (es. barriere fotoelettriche, dispositivi di comando a due mani e coste sensibili). Il software che controlla questi sistemi comprende da mille a diverse decine di migliaia di singoli comandi e di solito è costituito da diverse centinaia di rami di programma. I programmi operano in tempo reale e sono per lo più scritti nel linguaggio assembly dei programmatori.
L'introduzione di sistemi computerizzati nell'ambito della tecnologia di sicurezza è stata accompagnata in tutte le apparecchiature tecniche su larga scala non solo da costosi progetti di ricerca e sviluppo, ma anche da significative restrizioni volte a migliorare la sicurezza. (La tecnologia aerospaziale, la tecnologia militare e la tecnologia dell'energia atomica possono qui essere citate come esempi di applicazioni su larga scala.) Il campo collettivo della produzione industriale di massa è stato finora trattato solo in modo molto limitato. Ciò è in parte dovuto al fatto che i rapidi cicli di innovazione caratteristici della progettazione di macchine industriali rendono difficile trasferire, se non in modo molto limitato, le conoscenze che possono essere derivate da progetti di ricerca riguardanti il collaudo finale di sistemi su larga scala dispositivi di sicurezza. Ciò rende auspicabile lo sviluppo di procedure di valutazione rapide ea basso costo (Reinert e Reuss 1991).
Questo articolo esamina innanzitutto le macchine e gli impianti in cui i sistemi informatici svolgono attualmente compiti di sicurezza, utilizzando esempi di incidenti che si verificano prevalentemente nell'area delle protezioni delle macchine per descrivere il ruolo particolare che i computer svolgono nella tecnologia di sicurezza. Questi incidenti danno qualche indicazione su quali precauzioni devono essere prese in modo che i dispositivi di sicurezza controllati da computer che stanno diventando sempre più diffusi non portino ad un aumento del numero di incidenti. La sezione finale dell'articolo delinea una procedura che consentirà di portare anche i piccoli sistemi informatici a un livello adeguato di sicurezza tecnica con spese giustificabili e in un periodo di tempo accettabile. I principi indicati in questa parte finale sono in fase di introduzione nelle procedure internazionali di normazione e avranno implicazioni per tutti gli ambiti della tecnologia della sicurezza in cui i computer trovano applicazione.
Esempi di utilizzo di software e computer nel campo della protezione delle macchine
I quattro esempi che seguono chiariscono che software e computer stanno attualmente entrando sempre di più nelle applicazioni legate alla sicurezza nel dominio commerciale.
Gli impianti di segnalazione personale di emergenza sono costituiti, di regola, da una stazione centrale di ricezione e da una serie di dispositivi di segnalazione personale di emergenza. I dispositivi sono trasportati da persone che lavorano in loco da sole. Se una di queste persone che lavorano da sole si trovasse in una situazione di emergenza, può utilizzare il dispositivo per far scattare un allarme tramite segnale radio nella stazione centrale di ricezione. Tale attivazione dell'allarme dipendente dalla volontà può anche essere integrata da un meccanismo di attivazione indipendente dalla volontà attivato da sensori incorporati nei dispositivi di emergenza personali. Sia i singoli dispositivi che la stazione di ricezione centrale sono spesso controllati da microcomputer. È ipotizzabile che il guasto di specifiche singole funzioni del computer integrato possa portare, in una situazione di emergenza, al mancato intervento dell'allarme. Occorre quindi prendere precauzioni per percepire e riparare nel tempo tale perdita di funzionalità.
Le macchine da stampa utilizzate oggi per stampare le riviste sono macchine di grandi dimensioni. I nastri di carta vengono normalmente preparati da una macchina separata in modo tale da consentire una transizione senza soluzione di continuità a un nuovo rotolo di carta. Le pagine stampate vengono piegate da una piegatrice e successivamente lavorate attraverso una catena di ulteriori macchine. Ciò si traduce in pallet caricati con caricatori completamente cuciti. Sebbene tali impianti siano automatizzati, vi sono due punti in cui è necessario intervenire manualmente: (1) nell'infilatura dei percorsi carta, e (2) nell'eliminazione di ostruzioni causate da strappi di carta in punti pericolosi sui rulli rotanti. Per questo motivo, durante la regolazione delle presse, la tecnologia di controllo deve garantire una velocità di funzionamento ridotta o una modalità di spostamento limitata nel tempo o nel percorso. A causa delle complesse procedure di guida coinvolte, ogni singola stazione di stampa deve essere dotata di un proprio controllore logico programmabile. Qualsiasi guasto che si verifichi nel controllo di un impianto di stampa mentre le griglie di protezione sono aperte deve essere evitato che porti all'avvio imprevisto di una macchina ferma o al funzionamento in eccesso rispetto a velocità opportunamente ridotte.
Nelle grandi fabbriche e nei magazzini, i veicoli robotici a guida automatica senza conducente si muovono su binari appositamente contrassegnati. Tali binari possono essere calpestati in qualsiasi momento da persone, oppure materiali e attrezzature possono essere inavvertitamente lasciati sui binari, in quanto non separati strutturalmente da altre linee di traffico. Per questo motivo, è necessario utilizzare una sorta di dispositivo di prevenzione delle collisioni per garantire che il veicolo venga fermato prima che si verifichi una collisione pericolosa con una persona o un oggetto. Nelle applicazioni più recenti, la prevenzione delle collisioni viene effettuata mediante scanner a ultrasuoni oa luce laser utilizzati in combinazione con un paraurti di sicurezza. Poiché questi sistemi funzionano sotto il controllo del computer, è possibile configurare diverse zone di rilevamento permanenti in modo che un veicolo possa modificare la sua reazione a seconda della zona di rilevamento specifica in cui si trova una persona. I guasti del dispositivo di protezione non devono provocare una collisione pericolosa con una persona.
Le ghigliottine del dispositivo di controllo del taglio della carta vengono utilizzate per pressare e quindi tagliare spesse pile di carta. Sono attivati da un dispositivo di controllo a due mani. L'utente deve raggiungere la zona pericolosa della macchina dopo aver eseguito ogni taglio. Una protezione immateriale, di solito una barriera luminosa, viene utilizzata in combinazione con il dispositivo di controllo a due mani e un sistema di controllo sicuro della macchina per prevenire lesioni quando la carta viene alimentata durante l'operazione di taglio. Quasi tutte le ghigliottine più grandi e moderne in uso oggi sono controllate da sistemi di microcomputer multicanale. Anche il funzionamento a due mani e la barriera fotoelettrica devono essere garantiti per funzionare in sicurezza.
Incidenti con sistemi controllati da computer
In quasi tutti i campi dell'applicazione industriale, vengono segnalati incidenti con software e computer (Neumann 1994). Nella maggior parte dei casi, i guasti del computer non provocano danni alle persone. Tali inadempienze sono comunque rese pubbliche solo quando siano di interesse pubblico generale. Ciò significa che i casi di malfunzionamento o incidente relativi a computer e software in cui sono coinvolti danni alle persone costituiscono una percentuale relativamente elevata di tutti i casi pubblicizzati. Sfortunatamente, gli incidenti che non suscitano molto clamore pubblico non vengono indagati sulle loro cause con la stessa intensità degli incidenti più importanti, tipicamente in impianti di grandi dimensioni. Per questo motivo, gli esempi che seguono si riferiscono a quattro descrizioni di malfunzionamenti o incidenti tipici di sistemi controllati da computer al di fuori del campo delle protezioni delle macchine, che servono a suggerire ciò che deve essere tenuto in considerazione quando si formulano giudizi sulla tecnologia di sicurezza.
Incidenti causati da guasti casuali nell'hardware
Il seguente incidente è stato causato da una concentrazione di guasti casuali nell'hardware combinati con errori di programmazione: un reattore si è surriscaldato in un impianto chimico, dopodiché sono state aperte le valvole di sfiato, consentendo al contenuto del reattore di essere scaricato nell'atmosfera. Questo incidente si è verificato poco dopo che era stato dato un avviso che il livello dell'olio in un cambio era troppo basso. Un'attenta indagine sull'incidente mostrò che poco dopo che il catalizzatore aveva avviato la reazione nel reattore - in conseguenza della quale il reattore avrebbe richiesto un maggiore raffreddamento - il computer, sulla base della segnalazione di bassi livelli di olio nella scatola del cambio, congelò tutto grandezze sotto il suo controllo a un valore fisso. Ciò ha mantenuto il flusso di acqua fredda a un livello troppo basso e di conseguenza il reattore si è surriscaldato. Ulteriori indagini hanno mostrato che l'indicazione di bassi livelli di olio era stata segnalata da un componente difettoso.
Il software aveva risposto secondo le specifiche con l'intervento di un allarme e il fissaggio di tutte le variabili operative. Questa era una conseguenza dello studio HAZOP (hazards and operability analysis) (Knowlton 1986) condotto prima dell'evento, che richiedeva che tutte le variabili controllate non venissero modificate in caso di guasto. Poiché il programmatore non conosceva in dettaglio la procedura, tale requisito è stato interpretato nel senso che gli attuatori comandati (valvole di controllo in questo caso) non dovevano essere modificati; nessuna attenzione è stata prestata alla possibilità di un aumento della temperatura. Il programmatore non ha tenuto conto che dopo aver ricevuto un segnale errato il sistema potrebbe trovarsi in una situazione dinamica tale da richiedere l'intervento attivo del computer per evitare un contrattempo. La situazione che ha portato all'incidente era così improbabile, inoltre, che non era stata analizzata in dettaglio nello studio HAZOP (Levenson 1986). Questo esempio fornisce una transizione a una seconda categoria di cause di incidenti software e informatici. Questi sono i guasti sistematici che sono presenti nel sistema fin dall'inizio, ma che si manifestano solo in determinate situazioni molto specifiche di cui lo sviluppatore non ha tenuto conto.
Incidenti causati da guasti operativi
Durante i test sul campo durante l'ispezione finale dei robot, un tecnico ha preso in prestito la cassetta di un robot vicino e ne ha sostituita un'altra senza informare il suo collega di averlo fatto. Al ritorno al suo posto di lavoro, il collega ha inserito la cassetta sbagliata. Poiché si trovava accanto al robot e si aspettava da esso una particolare sequenza di movimenti - una sequenza che risultava diversa a causa del programma scambiato - si verificò una collisione tra robot e uomo. Questo incidente descrive il classico esempio di guasto operativo. Il ruolo di tali guasti nei malfunzionamenti e negli incidenti è attualmente in aumento a causa della crescente complessità nell'applicazione dei meccanismi di sicurezza controllati dal computer.
Incidenti causati da guasti sistematici nell'hardware o nel software
Un siluro con una testata doveva essere sparato per scopi di addestramento, da una nave da guerra in alto mare. A causa di un difetto nell'apparato propulsore, il siluro è rimasto nel tubo lanciasiluri. Il capitano ha deciso di tornare al porto di origine per salvare il siluro. Poco dopo che la nave aveva iniziato a tornare a casa, il siluro è esploso. Un'analisi dell'incidente ha rivelato che gli sviluppatori del siluro erano stati obbligati a incorporare nel siluro un meccanismo progettato per impedirne il ritorno alla rampa di lancio dopo essere stato sparato e quindi distruggere la nave che lo aveva lanciato. Il meccanismo scelto per questo era il seguente: dopo il lancio del siluro veniva effettuato un controllo, utilizzando il sistema di navigazione inerziale, per vedere se la sua rotta era stata alterata di 180°. Non appena il siluro ha percepito di aver virato di 180°, il siluro è esploso immediatamente, presumibilmente a una distanza di sicurezza dalla rampa di lancio. Questo meccanismo di rilevamento è stato attivato nel caso del siluro non correttamente lanciato, con il risultato che il siluro è esploso dopo che la nave aveva cambiato rotta di 180°. Questo è un tipico esempio di incidente verificatosi a causa di un mancato rispetto delle specifiche. Il requisito nelle specifiche secondo cui il siluro non avrebbe dovuto distruggere la propria nave in caso di cambio di rotta non era stato formulato in modo sufficientemente preciso; la precauzione è stata quindi programmata erroneamente. L'errore si è manifestato solo in una situazione particolare, che il programmatore non aveva preso in considerazione come possibilità.
Il 14 settembre 1993 un Airbus A 320 della Lufthansa si schiantò durante l'atterraggio a Varsavia (figura 1). Un'attenta indagine sull'incidente ha mostrato che le modifiche nella logica di atterraggio del computer di bordo apportate dopo un incidente con un Boeing 767 Lauda Air nel 1991 erano in parte responsabili di questo atterraggio di fortuna. Quello che era successo nell'incidente del 1991 era che la deflessione della spinta, che devia una parte dei gas del motore in modo da frenare l'aereo durante l'atterraggio, si era innestata mentre era ancora in aria, costringendo così la macchina a un'incontrollabile picchiata. Per questo motivo, nelle macchine Airbus era stato integrato un blocco elettronico della deflessione della spinta. Questo meccanismo ha permesso che la deflessione della spinta entrasse in vigore solo dopo che i sensori su entrambi i gruppi di carrello di atterraggio avevano segnalato la compressione degli ammortizzatori sotto la pressione delle ruote che toccavano terra. Sulla base di informazioni errate, i piloti dell'aereo a Varsavia prevedevano un forte vento laterale.
Figura 1. Lufthansa Airbus dopo l'incidente a Varsavia nel 1993
Per questo motivo hanno portato la macchina leggermente inclinata e l'Airbus è atterrato con la sola ruota destra, lasciando la sinistra che sopportava meno del pieno peso. A causa del blocco elettronico della deflessione della spinta, il computer di bordo ha negato al pilota per lo spazio di nove secondi manovre che avrebbero consentito all'aereo di atterrare in sicurezza nonostante le circostanze avverse. Questo incidente dimostra molto chiaramente che le modifiche nei sistemi informatici possono portare a situazioni nuove e pericolose se non si considera in anticipo la gamma delle loro possibili conseguenze.
Il seguente esempio di malfunzionamento dimostra anche gli effetti disastrosi che la modifica di un singolo comando può avere nei sistemi informatici. La gradazione alcolica del sangue viene determinata, in test chimici, utilizzando siero di sangue limpido da cui sono stati preventivamente centrifugati i globuli. Il contenuto alcolico del siero è quindi superiore (di un fattore 1.2) a quello del sangue intero più denso. Per questo motivo i valori alcolici nel siero devono essere divisi per un fattore di 1.2 per stabilire le parti per mille legalmente e medicalmente critiche. Nel test interlaboratorio svoltosi nel 1984, si sarebbero dovuti confrontare tra loro i valori alcolemici accertati in identici test eseguiti presso diversi istituti di ricerca utilizzando il siero. Trattandosi solo di un confronto, il comando di dividere per 1.2 è stato inoltre cancellato dal programma di uno degli istituti per tutta la durata dell'esperimento. Al termine del test interlaboratorio, in questo punto è stato erroneamente introdotto nel programma un comando di moltiplicazione per 1.2. Di conseguenza, tra l'agosto 1,500 e il marzo 1984 sono stati calcolati circa 1985 valori di parti per mille errati. Tale errore è stato determinante per la carriera professionale degli autotrasportatori con valori alcolemici compresi tra 1.0 e 1.3 per mille, poiché una sanzione giudiziaria che comporta il ritiro della patente per un periodo prolungato è conseguenza di un valore dell'1.3 per mille.
Incidenti causati da influssi da sollecitazioni operative o da sollecitazioni ambientali
A seguito di un disturbo causato dalla raccolta di scarti nell'area effettiva di una punzonatrice e roditrice CNC (computer numeric control), l'utente ha posto in essere il “stop programmato”. Mentre cercava di rimuovere i rifiuti con le mani, l'asta di spinta della macchina ha iniziato a muoversi nonostante l'arresto programmato e ha ferito gravemente l'utente. Un'analisi dell'incidente ha rivelato che non si trattava di un errore nel programma. Non è stato possibile riprodurre l'avvio imprevisto. Irregolarità simili erano state osservate in passato su altre macchine dello stesso tipo. Da questi sembra plausibile dedurre che l'incidente debba essere stato causato da interferenze elettromagnetiche. Incidenti simili con robot industriali sono segnalati dal Giappone (Neumann 1987).
Un malfunzionamento della sonda spaziale Voyager 2 il 18 gennaio 1986 rende ancora più chiara l'influenza delle sollecitazioni ambientali sui sistemi controllati dal computer. Sei giorni prima dell'avvicinamento più vicino a Urano, ampi campi di linee bianche e nere coprivano le immagini della Voyager 2. Un'analisi precisa ha mostrato che un singolo bit in una parola di comando del sottosistema dei dati di volo aveva causato il guasto, osservato come le immagini sono state compresse nella sonda. Molto probabilmente questo bit era stato messo fuori posto all'interno della memoria del programma dall'impatto di una particella cosmica. La trasmissione senza errori delle fotografie compresse dalla sonda è stata effettuata solo due giorni dopo, utilizzando un programma sostitutivo in grado di bypassare il punto di memoria guasto (Laeser, McLaughlin e Wolff 1987).
Sintesi degli infortuni presentati
Gli incidenti analizzati mostrano che alcuni rischi che potrebbero essere trascurati in condizioni di semplice tecnologia elettromeccanica, acquistano importanza quando si utilizzano i computer. I computer consentono l'elaborazione di funzioni di sicurezza complesse e specifiche della situazione. Una specifica univoca, priva di errori, completa e verificabile di tutte le funzioni di sicurezza diventa per questo motivo particolarmente importante. Gli errori nelle specifiche sono difficili da scoprire e sono spesso causa di incidenti in sistemi complessi. I controlli liberamente programmabili vengono solitamente introdotti con l'intenzione di poter reagire in modo flessibile e rapido al mercato in evoluzione. Le modifiche, tuttavia, in particolare nei sistemi complessi, hanno effetti collaterali difficili da prevedere. Tutte le modifiche devono quindi essere sottoposte a una procedura di gestione delle modifiche rigorosamente formale in cui una netta separazione delle funzioni di sicurezza dai sistemi parziali non rilevanti per la sicurezza contribuirà a mantenere facilmente rilevabili le conseguenze delle modifiche per la tecnologia di sicurezza.
I computer funzionano con bassi livelli di elettricità. Sono quindi suscettibili di interferenze da sorgenti di radiazioni esterne. Poiché la modifica di un singolo segnale tra milioni può portare a un malfunzionamento, vale la pena prestare particolare attenzione al tema della compatibilità elettromagnetica in connessione con i computer.
La manutenzione dei sistemi controllati da computer sta attualmente diventando sempre più complessa e quindi più poco chiara. L'ergonomia del software dell'utente e del software di configurazione sta quindi diventando sempre più interessante dal punto di vista della tecnologia di sicurezza.
Nessun sistema informatico è testabile al 100%. Un semplice meccanismo di controllo con 32 porte di input binari e 1,000 diversi percorsi software richiede 4.3 × 1012 test per un controllo completo. Ad una velocità di 100 test al secondo eseguiti e valutati, un test completo richiederebbe 1,362 anni.
Procedure e misure per il miglioramento dei dispositivi di sicurezza controllati da computer
Negli ultimi 10 anni sono state sviluppate procedure che consentono di padroneggiare sfide specifiche relative alla sicurezza in relazione ai computer. Queste procedure si rivolgono ai guasti del computer descritti in questa sezione. Gli esempi descritti di software e computer nelle protezioni delle macchine e gli infortuni analizzati, mostrano che l'entità dei danni e quindi anche il rischio insito nelle varie applicazioni sono estremamente variabili. È quindi chiaro che le precauzioni necessarie per il miglioramento dei computer e dei software utilizzati nella tecnologia della sicurezza dovrebbero essere stabilite in relazione al rischio.
La figura 2 mostra una procedura qualitativa attraverso la quale è possibile determinare la necessaria riduzione del rischio ottenibile utilizzando i sistemi di sicurezza indipendentemente dall'entità e dalla frequenza con cui si verifica il danno (Bell e Reinert 1992). Le tipologie di guasti nei sistemi informatici analizzate nella sezione “Infortuni con sistemi controllati da computer” (sopra) possono essere messe in relazione con i cosiddetti Safety Integrity Levels, cioè le strutture tecniche per la riduzione del rischio.
Figura 2. Procedura qualitativa per la determinazione del rischio
La Figura 3 chiarisce che l'efficacia delle misure adottate, in ogni caso, per ridurre gli errori nel software e nei computer deve crescere con l'aumentare del rischio (DIN 1994; IEC 1993).
Figura 3, Efficacia delle precauzioni prese contro gli errori indipendentemente dal rischio
L'analisi degli incidenti sopra abbozzata mostra che il fallimento delle protezioni computerizzate è causato non solo da guasti casuali dei componenti, ma anche da particolari condizioni operative di cui il programmatore non ha tenuto conto. Le conseguenze non immediatamente evidenti delle modifiche apportate al programma durante la manutenzione del sistema costituiscono un'ulteriore fonte di errore. Ne consegue che possono verificarsi guasti nei sistemi di sicurezza controllati da microprocessori che, sebbene realizzati durante lo sviluppo del sistema, possono portare a una situazione di pericolo solo durante il funzionamento. Pertanto, è necessario prendere precauzioni contro tali guasti mentre i sistemi relativi alla sicurezza sono in fase di sviluppo. Queste cosiddette misure di prevenzione dei guasti devono essere prese non solo durante la fase di ideazione, ma anche nel processo di sviluppo, installazione e modifica. Alcuni guasti possono essere evitati se vengono scoperti e corretti durante questo processo (DIN 1990).
Come chiarisce l'ultimo incidente descritto, il guasto di un singolo transistor può portare al guasto tecnico di apparecchiature automatizzate molto complesse. Poiché ogni singolo circuito è composto da molte migliaia di transistor e altri componenti, è necessario adottare numerose misure per evitare i guasti per riconoscere i guasti che si verificano durante il funzionamento e per avviare una reazione appropriata nel sistema informatico. La Figura 4 descrive i tipi di guasti nei sistemi elettronici programmabili, nonché esempi di precauzioni che possono essere prese per evitare e controllare i guasti nei sistemi informatici (DIN 1990; IEC 1992).
Figura 4. Esempi di precauzioni prese per controllare ed evitare errori nei sistemi informatici
Possibilità e prospettive dei sistemi elettronici programmabili nella tecnologia della sicurezza
Le macchine e gli impianti moderni stanno diventando sempre più complessi e devono svolgere compiti sempre più complessi in periodi di tempo sempre più brevi. Per questo motivo, i sistemi informatici hanno conquistato quasi tutti i settori dell'industria dalla metà degli anni '1970. Questo aumento di complessità da solo ha contribuito in modo significativo all'aumento dei costi legati al miglioramento della tecnologia di sicurezza in tali sistemi. Sebbene software e computer rappresentino una grande sfida per la sicurezza sul posto di lavoro, rendono anche possibile l'implementazione di nuovi sistemi a prova di errore nel campo della tecnologia di sicurezza.
Un verso buffo ma istruttivo di Ernst Jandl aiuterà a spiegare cosa si intende con il concetto favorevole agli errori. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. ("Dilection: Many berieve light and reft cannot be intelchanged, what an ellol".) Nonostante lo scambio di lettere r ed l, questa frase è facilmente comprensibile da un normale essere umano adulto. Anche qualcuno con scarsa padronanza della lingua inglese può tradurlo in inglese. Il compito è, tuttavia, quasi impossibile per un computer che traduce da solo.
Questo esempio mostra che un essere umano può reagire in modo molto più favorevole agli errori rispetto a un computer linguistico. Ciò significa che gli esseri umani, come tutte le altre creature viventi, possono tollerare i fallimenti riferendoli all'esperienza. Se si guardano le macchine oggi in uso, si vede che la maggior parte delle macchine penalizza i guasti degli utenti non con un infortunio, ma con un calo della produzione. Questa proprietà porta alla manipolazione o all'elusione delle garanzie. La moderna tecnologia informatica mette a disposizione della sicurezza sul lavoro sistemi in grado di reagire in modo intelligente, cioè in modo modificato. Tali sistemi rendono quindi possibile una modalità di comportamento favorevole agli errori nelle nuove macchine. Avvertono prima di tutto gli utenti durante un'operazione errata e spengono la macchina solo quando questo è l'unico modo per evitare un incidente. L'analisi degli infortuni mostra che esiste in questo settore un notevole potenziale di riduzione degli infortuni (Reinert e Reuss 1991).
Un sistema automatizzato ibrido (HAS) mira a integrare le capacità delle macchine artificialmente intelligenti (basate sulla tecnologia informatica) con le capacità delle persone che interagiscono con queste macchine nel corso delle loro attività lavorative. Le principali preoccupazioni dell'utilizzo degli HAS riguardano il modo in cui i sottosistemi uomo e macchina dovrebbero essere progettati al fine di sfruttare al meglio le conoscenze e le capacità di entrambe le parti del sistema ibrido e come gli operatori umani e i componenti della macchina dovrebbero interagire tra loro per garantire che le loro funzioni si completino a vicenda. Molti sistemi automatizzati ibridi si sono evoluti come prodotti di applicazioni di moderne metodologie basate sull'informazione e sul controllo per automatizzare e integrare diverse funzioni di sistemi tecnologici spesso complessi. HAS è stato originariamente identificato con l'introduzione di sistemi basati su computer utilizzati nella progettazione e nel funzionamento di sistemi di controllo in tempo reale per reattori nucleari, per impianti di lavorazione chimica e per la tecnologia di produzione di componenti discreti. Gli HAS possono ora essere trovati anche in molte industrie di servizi, come il controllo del traffico aereo e le procedure di navigazione aerea nell'area dell'aviazione civile, e nella progettazione e nell'uso di veicoli intelligenti e sistemi di navigazione autostradale nel trasporto su strada.
Con i continui progressi nell'automazione basata su computer, la natura dei compiti umani nei moderni sistemi tecnologici si sposta da quelli che richiedono abilità percettivo-motorie a quelli che richiedono attività cognitive, necessarie per la risoluzione dei problemi, per il processo decisionale nel monitoraggio del sistema e per compiti di controllo di vigilanza. Ad esempio, gli operatori umani nei sistemi di produzione integrati da computer agiscono principalmente come monitor di sistema, risolutori di problemi e decisori. Le attività cognitive del supervisore umano in qualsiasi ambiente HAS sono (1) pianificare cosa dovrebbe essere fatto per un dato periodo di tempo, (2) ideare procedure (o passaggi) per raggiungere l'insieme di obiettivi pianificati, (3) monitorare i progressi dei processi (tecnologici), (4) "insegnare" al sistema attraverso un computer umano-interattivo, (5) intervenire se il sistema si comporta in modo anomalo o se le priorità di controllo cambiano e (6) apprendere attraverso il feedback del sistema sull'impatto dei azioni di supervisione (Sheridan 1987).
Progettazione di sistemi ibridi
Le interazioni uomo-macchina in un HAS comportano l'utilizzo di circuiti di comunicazione dinamici tra gli operatori umani e le macchine intelligenti, un processo che include il rilevamento e l'elaborazione delle informazioni e l'avvio e l'esecuzione di attività di controllo e processo decisionale, all'interno di una data struttura di allocazione delle funzioni tra uomini e macchine. Come minimo, le interazioni tra le persone e l'automazione dovrebbero riflettere l'elevata complessità dei sistemi automatizzati ibridi, nonché le caratteristiche rilevanti degli operatori umani e i requisiti delle attività. Pertanto, l'automazione ibrida può essere formalmente definita come quintupla nella seguente formula:
HA = (T, U, C, E, I)
where T = requisiti del compito (fisici e cognitivi); U = caratteristiche dell'utente (fisiche e cognitive); C = le caratteristiche di automazione (hardware e software, comprese le interfacce informatiche); E = l'ambiente del sistema; I = un insieme di interazioni tra gli elementi di cui sopra.
L'insieme delle interazioni I incarna tutte le possibili interazioni tra T, U ed C in E indipendentemente dalla loro natura o forza associativa. Ad esempio, una delle possibili interazioni potrebbe comportare la relazione dei dati immagazzinati nella memoria del computer con la corrispondente conoscenza, se presente, dell'operatore umano. Le interazioni I può essere elementare (cioè limitato a un'associazione uno a uno) o complesso, come comportare interazioni tra l'operatore umano, il particolare software utilizzato per raggiungere l'attività desiderata e l'interfaccia fisica disponibile con il computer.
I progettisti di molti sistemi automatizzati ibridi si concentrano principalmente sull'integrazione assistita da computer di macchine sofisticate e altre apparecchiature come parti della tecnologia basata su computer, prestando raramente molta attenzione alla necessità fondamentale di un'effettiva integrazione umana all'interno di tali sistemi. Pertanto, allo stato attuale, molti dei sistemi informatici integrati (tecnologici) non sono pienamente compatibili con le capacità intrinseche degli operatori umani espresse dalle competenze e dalle conoscenze necessarie per l'efficace controllo e monitoraggio di tali sistemi. Tale incompatibilità sorge a tutti i livelli del funzionamento umano, macchina e uomo-macchina e può essere definita all'interno di un quadro dell'individuo e dell'intera organizzazione o struttura. Ad esempio, i problemi di integrazione di persone e tecnologia nelle imprese manifatturiere avanzate si verificano all'inizio della fase di progettazione HAS. Questi problemi possono essere concettualizzati utilizzando il seguente modello di integrazione del sistema della complessità delle interazioni, I, tra i progettisti di sistema, D, operatori umani, H, o potenziali utenti del sistema e tecnologia, T:
io (H, T) = FA [ MI (LA, RE), MI (RE, MI)]
where I sta per le interazioni rilevanti che si svolgono in una data struttura di HAS, mentre F indica le relazioni funzionali tra progettisti, operatori umani e tecnologia.
Il modello di integrazione del sistema di cui sopra evidenzia il fatto che le interazioni tra gli utenti e la tecnologia sono determinate dal risultato dell'integrazione delle due interazioni precedenti, vale a dire (1) quelle tra i progettisti HAS e i potenziali utenti e (2) quelle tra i progettisti e la tecnologia HAS (a livello di macchine e loro integrazione). Va notato che anche se tipicamente esistono forti interazioni tra designer e tecnologia, si possono trovare solo pochissimi esempi di interrelazioni altrettanto forti tra designer e operatori umani.
Si può sostenere che anche nei sistemi più automatizzati, il ruolo umano rimane fondamentale per il successo delle prestazioni del sistema a livello operativo. Bainbridge (1983) ha identificato una serie di problemi relativi al funzionamento dell'HAS che sono dovuti alla natura dell'automazione stessa, come segue:
Assegnazione dei compiti
Una delle questioni importanti per la progettazione HAS è determinare quante e quali funzioni o responsabilità dovrebbero essere assegnate agli operatori umani e quali e quante ai computer. In generale, ci sono tre classi fondamentali di problemi di allocazione dei compiti che dovrebbero essere considerati: (1) l'allocazione dei compiti umano-supervisore-computer, (2) l'allocazione dei compiti umano-umano e (3) l'allocazione dei compiti di supervisione computer-computer. Idealmente, le decisioni di allocazione dovrebbero essere prese attraverso una procedura di allocazione strutturata prima che inizi la progettazione di base del sistema. Sfortunatamente un tale processo sistematico è raramente possibile, poiché le funzioni da allocare possono richiedere un ulteriore esame o devono essere eseguite in modo interattivo tra i componenti del sistema uomo e macchina, ovvero attraverso l'applicazione del paradigma del controllo di supervisione. L'assegnazione dei compiti nei sistemi automatizzati ibridi dovrebbe concentrarsi sull'estensione delle responsabilità di supervisione umana e informatica e dovrebbe considerare la natura delle interazioni tra l'operatore umano e i sistemi computerizzati di supporto alle decisioni. Dovrebbero essere considerati anche i mezzi di trasferimento delle informazioni tra le macchine e le interfacce umane di input-output e la compatibilità del software con le capacità cognitive umane di risoluzione dei problemi.
Negli approcci tradizionali alla progettazione e alla gestione di sistemi automatizzati ibridi, i lavoratori erano considerati come sistemi di input-output deterministici e si tendeva a ignorare la natura teleologica del comportamento umano, ovvero il comportamento orientato all'obiettivo che si basa sull'acquisizione di informazioni rilevanti e la selezione degli obiettivi (Goodstein et al. 1988). Per avere successo, la progettazione e la gestione di sistemi automatizzati ibridi avanzati devono basarsi su una descrizione delle funzioni mentali umane necessarie per un compito specifico. L'approccio di "ingegneria cognitiva" (descritto più avanti) propone che i sistemi uomo-macchina (ibridi) debbano essere concepiti, progettati, analizzati e valutati in termini di processi mentali umani (vale a dire, il modello mentale dell'operatore dei sistemi adattivi viene preso in considerazione account). I seguenti sono i requisiti dell'approccio incentrato sull'uomo alla progettazione e al funzionamento degli HAS come formulato da Corbett (1988):
Ingegneria cognitiva dei fattori umani
L'ingegneria cognitiva dei fattori umani si concentra su come gli operatori umani prendono decisioni sul posto di lavoro, risolvono problemi, formulano piani e apprendono nuove abilità (Hollnagel e Woods 1983). I ruoli degli operatori umani che operano in qualsiasi HAS possono essere classificati utilizzando lo schema di Rasmussen (1983) in tre categorie principali:
Nella progettazione e gestione di un HAS, si dovrebbero considerare le caratteristiche cognitive dei lavoratori al fine di assicurare la compatibilità del funzionamento del sistema con il modello interno del lavoratore che ne descrive le funzioni. Di conseguenza, il livello di descrizione del sistema dovrebbe essere spostato dagli aspetti del funzionamento umano basati sulle abilità a quelli basati sulle regole e sulla conoscenza, e dovrebbero essere usati metodi appropriati di analisi dei compiti cognitivi per identificare il modello dell'operatore di un sistema. Un problema correlato nello sviluppo di un HAS è la progettazione di mezzi di trasmissione delle informazioni tra l'operatore umano e i componenti del sistema automatizzato, sia a livello fisico che cognitivo. Tale trasferimento di informazioni dovrebbe essere compatibile con le modalità di informazione utilizzate a diversi livelli di funzionamento del sistema, cioè visivo, verbale, tattile o ibrido. Questa compatibilità informativa garantisce che le diverse forme di trasferimento delle informazioni richiedano un'incompatibilità minima tra il mezzo e la natura delle informazioni. Ad esempio, un display visivo è il migliore per la trasmissione di informazioni spaziali, mentre l'input uditivo può essere utilizzato per trasmettere informazioni testuali.
Molto spesso l'operatore umano sviluppa un modello interno che descrive il funzionamento e la funzione del sistema in base alla sua esperienza, formazione e istruzioni in relazione al tipo dato di interfaccia uomo-macchina. Alla luce di questa realtà, i progettisti di un HAS dovrebbero tentare di integrare nelle macchine (o altri sistemi artificiali) un modello delle caratteristiche fisiche e cognitive dell'operatore umano, ovvero l'immagine dell'operatore da parte del sistema (Hollnagel e Woods 1983) . I progettisti di un HAS devono anche prendere in considerazione il livello di astrazione nella descrizione del sistema così come varie categorie rilevanti del comportamento dell'operatore umano. Questi livelli di astrazione per modellare il funzionamento umano nell'ambiente di lavoro sono i seguenti (Rasmussen 1983): (1) forma fisica (struttura anatomica), (2) funzioni fisiche (funzioni fisiologiche), (3) funzioni generalizzate (meccanismi psicologici e e processi affettivi), (4) funzioni astratte (elaborazione delle informazioni) e (5) scopo funzionale (strutture di valori, miti, religioni, interazioni umane). Questi cinque livelli devono essere considerati simultaneamente dai progettisti al fine di garantire prestazioni HAS efficaci.
Progettazione del software di sistema
Poiché il software del computer è un componente primario di qualsiasi ambiente HAS, lo sviluppo del software, inclusi progettazione, test, funzionamento e modifica, e i problemi di affidabilità del software devono essere considerati anche nelle prime fasi dello sviluppo HAS. In questo modo, si dovrebbe essere in grado di ridurre il costo del rilevamento e dell'eliminazione degli errori del software. È difficile, tuttavia, stimare l'affidabilità dei componenti umani di un HAS, a causa delle limitazioni nella nostra capacità di modellare le prestazioni delle attività umane, il relativo carico di lavoro e potenziali errori. Un carico di lavoro mentale eccessivo o insufficiente può portare rispettivamente a sovraccarico di informazioni e noia e può comportare prestazioni umane degradate, con conseguenti errori e aumento della probabilità di incidenti. I progettisti di un HAS dovrebbero impiegare interfacce adattive, che utilizzano tecniche di intelligenza artificiale, per risolvere questi problemi. Oltre alla compatibilità uomo-macchina, deve essere considerato il problema dell'adattabilità reciproca uomo-macchina al fine di ridurre i livelli di stress che si verificano quando le capacità umane possono essere superate.
A causa dell'elevato livello di complessità di molti sistemi automatizzati ibridi, l'identificazione di qualsiasi potenziale pericolo correlato all'hardware, al software, alle procedure operative e alle interazioni uomo-macchina di questi sistemi diventa fondamentale per il successo degli sforzi volti alla riduzione degli infortuni e dei danni alle apparecchiature . I rischi per la sicurezza e la salute associati a complessi sistemi automatizzati ibridi, come la tecnologia di produzione integrata da computer (CIM), sono chiaramente uno degli aspetti più critici della progettazione e del funzionamento del sistema.
Problemi di sicurezza del sistema
Gli ambienti automatizzati ibridi, con il loro significativo potenziale di comportamento irregolare del software di controllo in condizioni di disturbo del sistema, creano una nuova generazione di rischi di incidente. Man mano che i sistemi automatizzati ibridi diventano più versatili e complessi, i disturbi del sistema, compresi i problemi di avvio e arresto e le deviazioni nel controllo del sistema, possono aumentare significativamente la possibilità di un serio pericolo per gli operatori umani. Ironia della sorte, in molte situazioni anomale, gli operatori di solito fanno affidamento sul corretto funzionamento dei sottosistemi di sicurezza automatizzati, una pratica che può aumentare il rischio di lesioni gravi. Ad esempio, uno studio sugli incidenti relativi a malfunzionamenti dei sistemi di controllo tecnico ha mostrato che circa un terzo delle sequenze di incidenti includeva l'intervento umano nel circuito di controllo del sistema disturbato.
Poiché le misure di sicurezza tradizionali non possono essere facilmente adattate alle esigenze degli ambienti HAS, le strategie di controllo degli infortuni e di prevenzione degli incidenti devono essere riconsiderate alla luce delle caratteristiche intrinseche di questi sistemi. Ad esempio, nell'area della tecnologia di produzione avanzata, molti processi sono caratterizzati dall'esistenza di notevoli quantità di flussi di energia che non possono essere facilmente previsti dagli operatori umani. Inoltre, i problemi di sicurezza emergono tipicamente alle interfacce tra i sottosistemi o quando i disturbi del sistema passano da un sottosistema all'altro. Secondo l'Organizzazione internazionale per la standardizzazione (ISO 1991), i rischi associati ai pericoli dovuti all'automazione industriale variano con i tipi di macchine industriali incorporate nello specifico sistema di produzione e con le modalità con cui il sistema è installato, programmato, utilizzato, mantenuto e riparato. Ad esempio, un confronto tra gli incidenti relativi ai robot in Svezia e altri tipi di incidenti ha mostrato che i robot possono essere le macchine industriali più pericolose utilizzate nell'industria manifatturiera avanzata. Il tasso di incidenti stimato per i robot industriali è stato di un incidente grave ogni 45 anni-robot, un tasso superiore a quello delle presse industriali, che è stato riportato essere un incidente ogni 50 anni-macchina. Va notato qui che le presse industriali negli Stati Uniti hanno rappresentato circa il 23% di tutti gli incidenti mortali correlati alle macchine per la lavorazione dei metalli per il periodo 1980-1985, con le presse elettriche al primo posto rispetto al prodotto gravità-frequenza per infortuni non mortali.
Nel campo della tecnologia di produzione avanzata, ci sono molte parti mobili che sono pericolose per i lavoratori poiché cambiano la loro posizione in modo complesso al di fuori del campo visivo degli operatori umani. I rapidi sviluppi tecnologici nella produzione integrata da computer hanno creato un'esigenza critica per studiare gli effetti della tecnologia di produzione avanzata sui lavoratori. Per identificare i pericoli causati dai vari componenti di un tale ambiente HAS, è necessario analizzare attentamente gli incidenti passati. Sfortunatamente, gli incidenti che coinvolgono l'uso di robot sono difficili da isolare dalle segnalazioni di incidenti relativi a macchine operate dall'uomo e, pertanto, potrebbe esserci un'alta percentuale di incidenti non registrati. Le norme sulla salute e sicurezza sul lavoro del Giappone affermano che "i robot industriali non dispongono attualmente di mezzi affidabili di sicurezza e i lavoratori non possono essere protetti da essi a meno che il loro uso non sia regolamentato". Ad esempio, i risultati dell'indagine condotta dal Ministero del lavoro del Giappone (Sugimoto 1987) sugli incidenti relativi ai robot industriali nelle 190 fabbriche esaminate (con 4,341 robot funzionanti) hanno mostrato che si sono verificati 300 disturbi correlati ai robot, di cui 37 casi degli atti non sicuri ha provocato alcuni quasi incidenti, 9 sono stati incidenti con lesioni e 2 sono stati incidenti mortali. I risultati di altri studi indicano che l'automazione basata su computer non aumenta necessariamente il livello generale di sicurezza, poiché l'hardware del sistema non può essere reso sicuro dalle sole funzioni di sicurezza nel software del computer e i controller di sistema non sono sempre altamente affidabili. Inoltre, in un HAS complesso, non si può fare affidamento esclusivamente sui dispositivi di rilevamento della sicurezza per rilevare condizioni di pericolo e intraprendere strategie appropriate per evitare i rischi.
Effetti dell'automazione sulla salute umana
Come discusso in precedenza, le attività dei lavoratori in molti ambienti HAS sono fondamentalmente quelle di controllo di supervisione, monitoraggio, supporto del sistema e manutenzione. Queste attività possono anche essere classificate in quattro gruppi di base come segue: (1) attività di programmazione, ovvero codifica delle informazioni che guidano e dirigono il funzionamento dei macchinari, (2) monitoraggio della produzione HAS e componenti di controllo, (3) manutenzione dei componenti HAS per prevenire o alleviare i malfunzionamenti dei macchinari e (4) svolgere una varietà di attività di supporto, ecc. Molte revisioni recenti dell'impatto dell'HAS sul benessere dei lavoratori hanno concluso che sebbene l'utilizzo di un HAS nell'area di produzione possa eliminare compiti pesanti e pericolosi , lavorare in un ambiente HAS può essere insoddisfacente e stressante per i lavoratori. Le fonti di stress includevano il monitoraggio costante richiesto in molte applicazioni HAS, l'ambito limitato delle attività assegnate, il basso livello di interazione tra i lavoratori consentito dalla progettazione del sistema e i rischi per la sicurezza associati alla natura imprevedibile e incontrollabile dell'apparecchiatura. Anche se alcuni lavoratori coinvolti nelle attività di programmazione e manutenzione avvertono gli elementi di sfida, che possono avere effetti positivi sul loro benessere, questi effetti sono spesso controbilanciati dalla natura complessa e impegnativa di queste attività, nonché dalla pressione esercitato dalla direzione per completare rapidamente queste attività.
Sebbene in alcuni ambienti HAS gli operatori umani siano rimossi dalle tradizionali fonti di energia (il flusso di lavoro e il movimento della macchina) durante le normali condizioni operative, molte attività nei sistemi automatizzati devono ancora essere svolte a diretto contatto con altre fonti di energia. Poiché il numero di diversi componenti HAS è in continuo aumento, occorre porre particolare enfasi sul comfort e sulla sicurezza dei lavoratori e sullo sviluppo di efficaci disposizioni per il controllo degli infortuni, soprattutto in considerazione del fatto che i lavoratori non sono più in grado di tenere il passo con il sofisticazione e complessità di tali sistemi.
Al fine di soddisfare le attuali esigenze di controllo degli infortuni e sicurezza dei lavoratori nei sistemi di produzione integrati da computer, il Comitato ISO sui sistemi di automazione industriale ha proposto un nuovo standard di sicurezza intitolato "Sicurezza dei sistemi di produzione integrati" (1991). Questo nuovo standard internazionale, che è stato sviluppato in riconoscimento dei rischi particolari che esistono nei sistemi di produzione integrati che incorporano macchine industriali e attrezzature associate, mira a ridurre al minimo le possibilità di lesioni al personale mentre si lavora su o in prossimità di un sistema di produzione integrato. Le principali fonti di potenziali pericoli per gli operatori umani in CIM identificate da questo standard sono mostrate in figura 1.
Figura 1. Principale fonte di pericoli nella produzione integrata da computer (CIM) (dopo ISO 1991)
Errori umani e di sistema
In generale, i pericoli in un HAS possono derivare dal sistema stesso, dalla sua associazione con altre apparecchiature presenti nell'ambiente fisico o dalle interazioni del personale umano con il sistema. Un incidente è solo uno dei numerosi esiti delle interazioni uomo-macchina che possono emergere in condizioni pericolose; la maggior parte degli incidenti e dei danni è molto più comune (Zimolong e Duda 1992). Il verificarsi di un errore può portare a una delle seguenti conseguenze: (1) l'errore passa inosservato, (2) il sistema può compensare l'errore, (3) l'errore porta a un guasto della macchina e/o all'arresto del sistema o (4 ) l'errore provoca un incidente.
Poiché non tutti gli errori umani che si traducono in un incidente critico causeranno un incidente effettivo, è opportuno distinguere ulteriormente tra le seguenti categorie di risultati: (1) un incidente non sicuro (ovvero, qualsiasi evento non intenzionale indipendentemente dal fatto che provochi lesioni, danni o perdita), (2) un incidente (vale a dire, un evento pericoloso che provoca lesioni, danni o perdite), (3) un incidente con danno (vale a dire, un evento pericoloso che provoca solo un qualche tipo di danno materiale), (4) un quasi incidente o "mancato incidente" (ossia, un evento non sicuro in cui lesioni, danni o perdite sono stati fortuitamente evitati con un margine ristretto) e (5) l'esistenza di un potenziale incidente (ossia, eventi non sicuri che avrebbero potuto provocare lesioni, danni , o perdita, ma, a causa delle circostanze, non ha provocato nemmeno un quasi incidente).
Si possono distinguere tre tipi fondamentali di errore umano in un HAS:
Questa tassonomia, ideata da Reason (1990), si basa su una modifica della classificazione abilità-regola-conoscenza delle prestazioni umane di Rasmussen come descritto sopra. A livello basato sull'abilità, le prestazioni umane sono governate da modelli memorizzati di istruzioni pre-programmate rappresentate come strutture analogiche in un dominio spazio-temporale. Il livello basato su regole è applicabile per affrontare problemi familiari in cui le soluzioni sono governate da regole memorizzate (chiamate "produzioni", poiché vi si accede, o si producono, quando necessario). Queste regole richiedono che vengano fatte determinate diagnosi (o giudizi), o che vengano intraprese determinate azioni correttive, dato che si sono verificate determinate condizioni che richiedono una risposta adeguata. A questo livello, gli errori umani sono tipicamente associati all'errata classificazione delle situazioni, che porta all'applicazione della regola sbagliata o al richiamo errato di sentenze o procedure conseguenti. Gli errori basati sulla conoscenza si verificano in nuove situazioni per le quali le azioni devono essere pianificate "on-line" (in un dato momento), utilizzando processi analitici consapevoli e conoscenza immagazzinata. Gli errori a questo livello derivano da limitazioni delle risorse e conoscenze incomplete o errate.
I sistemi generici di modellazione degli errori (GEMS) proposti da Reason (1990), che tenta di individuare le origini dei tipi di errore umano di base, possono essere utilizzati per derivare la tassonomia complessiva del comportamento umano in un HAS. GEMS cerca di integrare due aree distinte di ricerca sugli errori: (1) errori e errori, in cui le azioni si discostano dall'intenzione attuale a causa di errori di esecuzione e/o errori di archiviazione e (2) errori, in cui le azioni possono essere eseguite secondo il piano, ma il piano è inadeguato per raggiungere il risultato desiderato.
Valutazione e Prevenzione del Rischio in CIM
Secondo l'ISO (1991), la valutazione del rischio in CIM dovrebbe essere eseguita in modo da minimizzare tutti i rischi e servire come base per determinare gli obiettivi e le misure di sicurezza nello sviluppo di programmi o piani sia per creare un ambiente di lavoro sicuro sia per garantire anche la sicurezza e la salute del personale. Ad esempio, i rischi sul lavoro negli ambienti HAS basati sulla produzione possono essere caratterizzati come segue: (1) l'operatore umano potrebbe dover entrare nella zona di pericolo durante le attività di ripristino, assistenza e manutenzione, (2) la zona di pericolo è difficile da determinare, percepire e controllare, (3) il lavoro può essere monotono e (4) gli incidenti che si verificano all'interno di sistemi di produzione integrati da computer sono spesso gravi. Ogni pericolo identificato dovrebbe essere valutato per il suo rischio e dovrebbero essere determinate e implementate adeguate misure di sicurezza per ridurre al minimo tale rischio. I pericoli dovrebbero essere accertati anche rispetto a tutti i seguenti aspetti di un dato processo: la singola unità stessa; l'interazione tra le singole unità; le sezioni operative del sistema; e il funzionamento del sistema completo per tutte le modalità e condizioni operative previste, comprese le condizioni in cui i normali mezzi di protezione sono sospesi per operazioni quali programmazione, verifica, risoluzione dei problemi, manutenzione o riparazione.
La fase di progettazione della strategia di sicurezza ISO (1991) per CIM comprende:
La specifica di sicurezza del sistema dovrebbe includere:
In conformità con l'ISO (1991), tutti i requisiti necessari per garantire un funzionamento sicuro del sistema CIM devono essere considerati nella progettazione di procedure sistematiche di pianificazione della sicurezza. Ciò include tutte le misure protettive per ridurre efficacemente i pericoli e richiede:
La procedura di pianificazione della sicurezza dovrebbe affrontare, tra gli altri, i seguenti problemi di sicurezza del CIM:
Controllo dei disturbi del sistema
In molte installazioni HAS utilizzate nell'area di produzione integrata da computer, gli operatori umani sono generalmente necessari allo scopo di attività di controllo, programmazione, manutenzione, preimpostazione, assistenza o risoluzione dei problemi. I disturbi nel sistema portano a situazioni che rendono necessario l'ingresso dei lavoratori nelle aree pericolose. A questo proposito, si può presumere che i disturbi rimangano la ragione più importante dell'interferenza umana nel CIM, perché i sistemi saranno programmati il più delle volte dall'esterno delle aree riservate. Uno degli aspetti più importanti per la sicurezza del CIM è la prevenzione dei disturbi, poiché la maggior parte dei rischi si verifica nella fase di risoluzione dei problemi del sistema. La prevenzione delle perturbazioni è l'obiettivo comune per quanto riguarda sia la sicurezza che l'efficacia in termini di costi.
Un disturbo in un sistema CIM è uno stato o una funzione di un sistema che devia dallo stato pianificato o desiderato. Oltre alla produttività, i disturbi durante il funzionamento di un CIM hanno un effetto diretto sulla sicurezza delle persone coinvolte nel funzionamento del sistema. Uno studio finlandese (Kuivanen 1990) ha dimostrato che circa la metà dei disturbi nella produzione automatizzata riduce la sicurezza dei lavoratori. Le principali cause di disturbo sono state gli errori nella progettazione del sistema (34%), i guasti dei componenti del sistema (31%), l'errore umano (20%) e fattori esterni (15%). La maggior parte dei guasti alle macchine è stata causata dal sistema di controllo e, nel sistema di controllo, la maggior parte dei guasti si è verificata nei sensori. Un modo efficace per aumentare il livello di sicurezza degli impianti CIM è ridurre il numero di disturbi. Sebbene le azioni umane nei sistemi disturbati prevengano il verificarsi di incidenti nell'ambiente HAS, vi contribuiscono anche. Ad esempio, uno studio sugli incidenti relativi a malfunzionamenti dei sistemi di controllo tecnico ha mostrato che circa un terzo delle sequenze di incidenti includeva l'intervento umano nel circuito di controllo del sistema disturbato.
I principali temi di ricerca nella prevenzione dei disturbi CIM riguardano (1) principali cause di disturbi, (2) componenti e funzioni inaffidabili, (3) l'impatto dei disturbi sulla sicurezza, (4) l'impatto dei disturbi sulla funzione del sistema, ( 5) danni materiali e (6) riparazioni. La sicurezza degli HAS dovrebbe essere pianificata all'inizio della fase di progettazione del sistema, con la dovuta considerazione della tecnologia, delle persone e dell'organizzazione, ed essere parte integrante dell'intero processo di pianificazione tecnica degli HAS.
HAS Design: sfide future
Per garantire il massimo vantaggio dai sistemi automatizzati ibridi come discusso in precedenza, è necessaria una visione molto più ampia dello sviluppo del sistema, basata sull'integrazione di persone, organizzazione e tecnologia. Tre tipi principali di integrazione di sistema dovrebbero essere applicati qui:
I requisiti minimi di progettazione per i sistemi automatizzati ibridi dovrebbero includere quanto segue: (1) flessibilità, (2) adattamento dinamico, (3) migliore reattività e (4) necessità di motivare le persone e fare un uso migliore delle loro capacità, giudizio ed esperienza . Quanto sopra richiede anche che le strutture organizzative, le pratiche di lavoro e le tecnologie HAS siano sviluppate per consentire alle persone a tutti i livelli del sistema di adattare le proprie strategie di lavoro alla varietà delle situazioni di controllo dei sistemi. Pertanto, le organizzazioni, le pratiche di lavoro e le tecnologie di HAS dovranno essere progettate e sviluppate come sistemi aperti (Kidd 1994).
Un sistema automatizzato ibrido aperto (OHAS) è un sistema che riceve input e invia output al suo ambiente. L'idea di un sistema aperto può essere applicata non solo alle architetture di sistema e alle strutture organizzative, ma anche alle pratiche di lavoro, alle interfacce uomo-macchina, al rapporto tra persone e tecnologie: si possono citare, ad esempio, i sistemi di schedulazione, i sistemi di controllo e Sistema di Supporto Decisionale. Un sistema aperto è anche adattivo quando consente alle persone un ampio grado di libertà di definire la modalità di funzionamento del sistema. Ad esempio, nell'area della produzione avanzata, i requisiti di un sistema automatizzato ibrido aperto possono essere realizzati attraverso il concetto di manifattura umana e computerizzata (HCIM). In questa prospettiva, la progettazione della tecnologia dovrebbe affrontare l'architettura complessiva del sistema HCIM, inclusi i seguenti: (1) considerazioni sulla rete di gruppi, (2) la struttura di ciascun gruppo, (3) l'interazione tra i gruppi, (4) la natura del software di supporto e (5) le esigenze tecniche di comunicazione e integrazione tra i moduli software di supporto.
Il sistema automatizzato ibrido adattivo, al contrario del sistema chiuso, non limita ciò che gli operatori umani possono fare. Il ruolo del progettista di un HAS è quello di creare un sistema che soddisfi le preferenze personali dell'utente e consenta ai suoi utenti di lavorare nel modo che ritengono più appropriato. Un prerequisito per consentire l'input dell'utente è lo sviluppo di una metodologia di progettazione adattiva, ovvero un OHAS che consenta l'abilitazione della tecnologia supportata dal computer per la sua implementazione nel processo di progettazione. La necessità di sviluppare una metodologia per la progettazione adattiva è uno dei requisiti immediati per realizzare nella pratica il concetto di OHAS. È inoltre necessario sviluppare un nuovo livello di tecnologia di controllo della supervisione umana adattiva. Tale tecnologia dovrebbe consentire all'operatore umano di "vedere attraverso" il sistema di controllo altrimenti invisibile del funzionamento dell'HAS, ad esempio mediante l'applicazione di un sistema video interattivo ad alta velocità in ogni punto di controllo e funzionamento del sistema. Infine, è assolutamente necessaria anche una metodologia per lo sviluppo di un supporto computerizzato intelligente e altamente adattivo dei ruoli umani e del funzionamento umano nei sistemi automatizzati ibridi.
" DISCLAIMER: L'ILO non si assume alcuna responsabilità per i contenuti presentati su questo portale Web presentati in una lingua diversa dall'inglese, che è la lingua utilizzata per la produzione iniziale e la revisione tra pari del contenuto originale. Alcune statistiche non sono state aggiornate da allora la produzione della 4a edizione dell'Enciclopedia (1998)."