Gestione di incidenti e non conformità · La normativa tecnica mette quindi in risalto l’im-portanza della valorizzazione delle lezioni appre-se da conseguenze non volute quali

Gestionedi incidentie non conformitàmetodologie e strumenti d’indagine

Luca Fiorentini, Rosario Sicari (Tecsa srl)

rivista mensileanno XXXIV

8agosto 2018

ambiente&sicurezza sul lavoro agosto 20182

Root Cause Analysis, Tripod Beta, Barrier Failure Analysis, e BowTie sono strumenti d’indagine a supporto della “learning from experience”,in un approccio integrato alla sicurezza che lega valutazione del rischio e analisi degli incidenti

La UNI ISO 45001:2018 ha portato alcune so-stanziali modifiche all'impalcato della prece-dente e maggiormente diffusa norma in ma-

teria di sistemi di gestione della sicurezza BS OH-SAS 18001:2007.

In particolare, è maggiormente evidenziata la ne-cessità di porre in essere, all'interno delle organiz-zazioni, un sistema di valorizzazione dell'espe-rienza operativa ed in particolare degli accadi-menti negativi. Tra questi figurano certamente gli incidenti ma anche i quasi-incidenti, le non con-formità e le anomalie.Le organizzazioni hanno l'obbligo di porre in es-sere valutazioni adatte a comprendere le cause radice di questi accadimenti al fine di poter svi-luppare le misure preventive e/o protettive volte a minimizzare rispettivamente la probabilità di un nuovo accadimento e/o le conseguenze attese.Questo articolo intende illustrare brevemente al-cune metodologie e strumenti a supporto sia del-

Gestionedi incidentie non conformitàmetodologie e strumenti d’indagine

Luca Fiorentini, Rosario Sicari (Tecsa srl)


Analisi incidenti e non conformità

3

la fase di indagine che di quella successiva della “learning from experience”, fornendo un’introdu-zione all’utilizzo di tecniche quali Root Cause A-nalysis, Tripod Beta, Barrier Failure Analysis, e BowTie.

Sicurezza e Cultura della Sicurezza

La sicurezza è indubbiamente uno degli aspetti più importanti per le organizzazioni, sebbene tale termine sia talvolta utilizzato per indicare in mo-do vago alcune delle declinazioni del concetto che esso rappresenta. Nel corso del tempo, infatti, l’evoluzione dell’approccio alla sicurezza ha com-

portato una parallela evoluzione della sua defini-zione.Con l’affermazione della sicurezza basata sul ri-schio, è possibile oggi definire la sicurezza come quello stato in cui il rischio è ridotto (e mantenu-to) a un livello accettabile attraverso un continuo processo di identificazione dei pericoli e gestione del rischio. È possibile individuare un trend tra i fattori che hanno contribuito, nel tempo, ad incre-mentare le prestazioni delle organizzazioni in ter-mini di sicurezza, riducendo così gli incidenti e, più in generale, le condizioni di inaccettabilità del rischio (sia esso legato alla vita umana, ma anche all’ambiente o al business). Significativa è l’imma-gine di Figura 1, che mostra come solo la recente adozione di sistemi di gestione della sicurezza e la creazione di una cultura della sicurezza siano i principali contributi al miglioramento della sicu-rezza nell’industria di processo (presa ad esempio in Figura 1) negli ultimi anni, mostrando altresì come tale miglioramento non potesse essere rag-giunto dalle sole migliorie tecniche o dalla sola at-tenzione ai fattori umani, che pur hanno determi-nato importanti incrementi tra gli anni ’60 e ’90 circa.Un sistema di gestione della sicurezza (SGS) inclu-de la politica, l’organizzazione, le pratiche di ge-stione, le procedure, il monitoraggio, l’auditing e le revisioni della gestione che permettono di defi-nire il SGS come un documentato e formalizzato sistema di controllo del rischio. Conseguente-mente, il SGS può essere considerato come un ap-proccio olistico volto alla mitigazione del rischio per la sicurezza che integra sistemi tecnici, opera-tivi e risorse umane.Tale approccio alla sicurezza è raggiungibile solo quando l’organizzazione, disponendo delle infor-mazioni necessarie, riesce a raggiungere un buon livello di fiducia e conoscenza.La Figura 2 mostra l’importante relazione tra que-sti fattori, descrivendo cinque diversi approcci alla sicurezza: patologico, reattivo, burocratico, proat-tivo e generativo. Un importante elemento di quest’ultimo approccio è la memoria: invero, le persone hanno memoria, non le organizzazioni.



L’esperienza mostra che investigare un incidente non è sufficiente ad assicurare che le lezioni che ne derivano siano apprese e mantenute nella me-moria collettiva dell’organizzazione. C’è quindi la necessità di raggiungere la convergenza tra la va-lorizzazione dell’esperienza operativa (approccio

reattivo) e il creare nuova conoscenza che può es-sere usata per migliorare la sicurezza (approccio generativo). Si parla quindi di cultura alla sicurez-za, come quell’insieme di valori, comportamenti e norme, ad ogni livello dell’organizzazione, che so-stengono l’approccio generativo.

Figura 1. Contributi al miglioramento del livello di sicurezza nel tempo nell’industria di processo (fonte: Fiorentini e Marmo, 2018)

Figura 2. Differenza tra incidente, quasi-incidente e non conformità (fonte: Fiorentini, 2017)



5

Per creare tale cultura alla sicurezza occorre man-tenere un senso di vulnerabilità, seguire procedu-re rigorose, incoraggiare gli individui a perseguire i propri obiettivi di sicurezza, assicurare comuni-cazioni trasparenti ed efficaci, creare il terreno fer-tile per l’apprendimento, incoraggiare la mutua fi-ducia e consapevolezza, fornire risposte tempesti-ve alle questioni legate alla sicurezza.È bene distinguere tuttavia tra cultura alla sicurez-za (safety culture) e clima di sicurezza (safety cli-mate). Il clima di sicurezza riguarda le attitudini di una organizzazione in termini di pratiche di sicu-rezza e regolamentazioni, e come esse siano per-cepite all’interno della stessa organizzazione. La cultura alla sicurezza, invece, è la configurazione organizzativa che la compagnia segue per creare il clima di sicurezza.La cultura alla sicurezza è quindi cruciale in quan-to aiuta a determinare come gli individui all’inter-no di una organizzazione approccino le proble-matiche legate alla sicurezza. L’implementazione di una cultura alla sicurezza raramente implica un cambiamento nella personalità dell’individuo; piuttosto, il suo obiettivo è di modificare ciò che può effettivamente essere cambiato, come proce-dure e consapevolezza. Ne deriva che la valorizza-

zione dell’esperienza operativa è indubbiamente una grande opportunità per creare una più robu-sta cultura alla sicurezza.

Il nuovo standard internazionale

La UNI ISO 45001:2018 definisce i requisiti per l’a-dozione di un sistema di gestione per la Salute e Sicurezza sul Lavoro (SSL), il cui scopo è la preven-zione delle lesioni e malattie dei lavoratori corre-late al lavoro e la predisposizione di luoghi di la-voro sicuri e salubri.

Figura 3. Differenza tra incidente, quasi-incidente e non conformità(fonte: Fiorentini e Marmo, 2018)

Figura 4. Relazione tra cause immediate e cause radice (fonte: Fiorentini e Marmo, 2018)



In tale contesto, l’analisi del rischio rappresenta lo strumento per il raggiungimento dei risultati atte-si. Un sistema di gestione per la SSL persegue il paradigma del miglioramento continuo solo quando coglie tempestivamente le opportunità per incrementare le proprie prestazioni, svilup-pando raccomandazioni e adottando azioni cor-rettive volte alla prevenzione o mitigazione del ri-schio.

La normativa tecnica mette quindi in risalto l’im-portanza della valorizzazione delle lezioni appre-se da conseguenze non volute quali incidenti, quasi-incidenti e non conformità.È utile fornire le definizioni riportate sulla norma, rifacendosi all’esempio di Figura 3:• Incidente: evento derivante da un lavoro o che

ha origine nel corso di un lavoro e che potreb-be causare o che causa lesioni e malattie, an-che detto “infortunio” (ad es. il ferimento di un lavoratore per la caduta di oggetti da un pon-teggio);

• Quasi-incidente (o near-miss): un incidente che non causa lesione o malattia ma con un potenziale per farlo (ad es. la caduta di oggetti da un ponteggio senza conseguenze, solo perché nessun lavoratore si trova sulla “linea di fuoco”);

• Non conformità: una circostanza indesiderata, il mancato soddisfacimento di un requisito, quale un’esigenza o aspettativa che può esse-re esplicita, generalmente implicita, oppure

Figura 5. I pilastri e gli elementi che costituiscono la RBPS (fonte: CCPS, 2007)

Figura 6. La “conclusion pyramid” (fonte: Fiorentini e Marmo, 2018)



7

obbligatoria (ad es. non è ammesso il deposito incontrollato di oggetti a rischio caduta su un ponteggio).

Quando uno di questi eventi avviene, l’organizza-zione deve stabilire, attuare e mantenere quei processi volti alla loro determinazione e gestione, incluso il reporting, l’investigazione e le azioni correttive da intraprendere. L’obiettivo ultimo del processo di miglioramento, ovvero fare in modo che eventi simili non si ripetano, passa dall’identi-ficazione delle cause radice, ovvero quelle cause solitamente riconducibili all’alta direzione che, come in un effetto domino, si ripercuotono sugli strati più esterni dell’organizzazione: il luogo di la-

voro (l’ambiente, i fattori circostanti, le condizioni al contorno) e la linea di produzione (il lavoratore esposto in prima fila al pericolo).La struttura del problema riflette la stratigrafia di una cipolla (Figura 4). Ai livelli più esterni si posso-no trovare le cause immediate di un incidente (quali fallimenti meccanici o errori operativi): azio-ni correttive sviluppate su di esse non consento-no il perseguimento del miglioramento. Occorre spingere l’investigazione più a fondo, alla ricerca prima delle underlying causes (anche dette pre-conditions) capaci di illustrare le condizioni al contorno che hanno reso il terreno fertile per lo sviluppo dell’incidente (quali elevato carico di la-voro, stress, scarsa ergonomia, scarsa manuten-

Figura 7. Esempio di “timeline” (sviluppato con IncidentXP di CGE-NL)

Figura 8. Esempio di albero “RCA” (sviluppato con IncidentXP di CGE-NL)



zione) e, infine delle cause radice. Solo indivi-duando quest’ultimo livello sarà possibile svilup-pare raccomandazioni efficaci che abbiano un im-patto sicuro sulla sicurezza dell’organizzazione.Per arrivare a tale livello di analisi, servono però metodologie strutturate e strumenti efficaci. L'uti-lizzo di una metodologia univoca consente di “normalizzare” il processo di gestione delle valuta-zioni rispetto alle diverse tipologie di incidenti: la normalizzazione consente quindi di utilizzare la medesima metrica rispetto ad accadimenti diffe-renti, agevolando così le scelte dell’organizzazio-ne in termini di priorità di investimenti e gestione delle risorse.

I pilastridella Risk Based Process Safety

Quanto richiesto dalla UNI ISO 45001:2018 in ter-mini di valorizzazione dell’esperienza operativa è solo uno dei quattro pilastri su cui regge la Risk Ba-

sed Process Safety (RBPS), concettualmente appli-cabili anche ad ambiti diversi dalla Sicurezza di Processo (PS): dedizione alla sicurezza, conoscenza e comprensione di pericoli e rischi, gestione dei ri-schi, e valorizzazione dell’esperienza (Figura 5).Un sistema di gestione RBPS, e quindi un sistema di gestione SSL, fa suoi questi quattro pilastri allo scopo di prevenire gli incidenti. In particolare, uno degli elementi del quarto pilastro è proprio l’investigazione degli incidenti: il processo inclu-de la documentazione e il tracciamento degli inci-denti investigati, allo scopo di identificare even-tuali fattori ricorrenti. Non è quindi sufficiente in-vestigare l’incidente: occorre gestire l’intero pro-cesso di investigazione.

L’esperienza operativa in materia di prevenzione degli incidenti rilevanti

L'Allegato 2 al D.Lgs. 105/2015 contiene le indica-zioni circa i dati e le informazioni minimi che de-

Figura 9Esempio di "TRIO"in Tripod Beta (sviluppato con IncidentXP di CGE-NL)

Figura 10. Esempio di BFA (sviluppato con IncidentXP di CGE-NL)



9

vono figurare nel Rapporto di Sicurezza di cui all'Art. 15.Nell'ambito della identificazione e analisi dei ri-schi di incidenti e metodi di prevenzione deve es-sere effettuato un [...] riesame degli incidenti e de-gli eventi anomali occorsi in passato legati all'uti-lizzo delle stesse sostanze e degli stessi processi utilizzati in stabilimento, tenendo in considerazio-ne insegnamenti tratti da questi e facendo riferi-mento esplicito alle misure adottate per prevenire tali eventi [...]. L'Allegato 3 al D.Lgs. 105/2015 con-

tiene le informazioni relative al sistema di gestio-ne della sicurezza ed alla organizzazione dello sta-bilimento ai fini della prevenzione degli incidenti rilevanti. Ai fini dell'attuazione del sistema di ge-stione della sicurezza elaborato dal Gestore si de-vono necessariamente porre in essere [...] mecca-nismi per la sorveglianza e l'adozione di azioni correttive in caso di inosservanza. Le procedure (da adottare e da applicare, n.d.r.) comprendono il sistema di notifica del Gestore in caso di incidenti rilevanti o di “quasi incidenti” (si può fare riferi-

Figura 11. Esempio di BowTie (sviluppato con BowTieXP di CGE-NL)

Figura 12. Processo di feedback: dalla valutazione del rischio all’analisi degli incidenti e viceversa (fonte: Fiorentini e Marmo, 2018)



mento per la definizione alla norma UNI 10617, n.d.r.), soprattutto se dovuti a carenze delle misu-re di protezione, la loro analisi e le azioni conse-guenti intraprese sulla base dell'esperienza acqui-sita [...].Infatti le linee guida per l'attuazione del sistema di gestione della sicurezza per la prevenzione de-gli incidenti rilevanti (riportate nell'Allegato B), in-dicando che [...] il sistema di gestione della sicu-rezza deve prevedere le procedure per l'identifi-cazione dei pericoli e la valutazione dei rischi di incidente rilevante derivante dall'attività normale o anomala e l'adozione delle misure per la ridu-zione del rischio [...], ricordano che le attività di valutazione [...] devono essere aggiornate perio-dicamente... qualora intervengano nuove cono-scenze tecniche in materia di sicurezza, interne o esterne all'organizzazione, anche derivanti dall'e-sperienza operativa o dall'analisi di incidenti, qua-si-incidenti e anomalie di funzionamento [...]. La valutazione dell'esperienza operativa acquisita, propria o in situazioni similari, diviene uno degli elementi in ingresso del controllo delle prestazio-ni che [...] deve essere effettuato, in termini conti-nuativi, mediante riscontri sull'esercizio corrente mediante apposite procedure [...].

L'analisi di sicurezza, integrata quindi delle risul-tanze dell'analisi della esperienza operativa, costi-tuisce la base per le attività di informazione, for-mazione ed addestramento del personale che la-vora in stabilimento.

Figura 13. Timeline dell’esempio (sviluppata con IncidentXP di CGE-NL)

Figura 14. Possibile RCA dell’esempio(sviluppato con IncidentXP di CGE-NL)



11

L'analisi della esperienza storica incidentale rap-presenta anche il contenuto specifico di un para-grafo del Rapporto di Sicurezza (C.1) nel quale è necessario (C.1.1) sia specificare qualsiasi proble-ma noto di salute e sicurezza generalmente con-nesso con il tipo di installazioni presente nello sta-bilimento, riportando la fonte del dato/informa-zione che (C.1.2) specificare l'esperienza storica e le fonti di informazione relative alla sicurezza di installazioni similari. Viene inoltre specificatamen-te richiesto di evidenziare, tra le altre informazio-ni, le cause e la sintesi dell'analisi di comparazione con il proprio stabilimento, con l'indicazione dei possibili fattori migliorativi impiantistici e gestio-nali precisando quali sono stati effettivamente a-dottati e le relative motivazioni, ovvero individua-re la strategia attuata rispetto la strategia che si è rivelata carente nell'episodio derivato dall'analisi storica, mediante un confronto tra le barriere in un caso e nell'altro, con l'evidente necessità di in-dividuare eventuali misure aggiuntive.Per ogni evento storico considerato nell'analisi e ipotizzabile nello stabilimento in esame devono

essere riportate puntualmente le precauzioni e gli interventi impiantistici e/o gestionali intrapresi al fine di prevenirne l'accadimento nello stabilimen-to in esame ovvero di mitigare le conseguenze di un eventuale accadimento. Nell'ambito della valutazione delle barriere è ne-cessario procedere (C.6) alla descrizione delle pre-cauzioni assunte per prevenire o mitigare gli inci-denti andando a considerare sia le precauzioni dal punto di vista impiantistico sia le precauzioni dal punto di vista gestionale, compresi, soprattutto gli elementi definiti "critici" per la sicurezza. Il Rap-porto di Sicurezza, sviluppato anche a partire da una analisi critica dell'esperienza operativa, rap-presenta il documento attraverso il quale il Gesto-re dimostra (giustifica adeguatamente fornendo idonee evidenze) di aver adottato adeguate misu-re per prevenire, controllare e limitare le conse-guenze di un eventuale incidente rilevante.L'analisi storica e dell'esperienza operativa deve consentire di verificare che l'assetto attuale scelto dal Gestore, sia per gli aspetti impiantistici che per gli aspetti operativi, tiene debitamente conto



di quanto occorso. La capacità di analisi dell'espe-rienza operativa viene verificata anche nell'ambi-to delle ispezioni condotte dalle autorità compe-tenti sul sistema di gestione della sicurezza per la prevenzione degli incidenti rilevanti ai sensi dell'art. 27 del D.Lgs. 105/2015 secondo i criteri definiti nell'Allegato H. Alla commissione ispettiva è infatti richiesto di acquisire le "schede dell'espe-rienza operativa".Le schede dell'esperienza operativa, basate sulla storia almeno decennale degli incidenti, quasi in-cidenti ed anomalie, devono indicare quegli a-spetti che hanno coinvolto, o avrebbero potuto coinvolgere, elementi del sistema di gestione del-la sicurezza. Le risultanze dell'analisi hanno lo sco-po di fornire indicatori significativi per la selezio-ne degli elementi gestionali critici ai fini della si-curezza in aggiunta a quanto desumibile dal rie-same dell'analisi e della valutazione dei rischi. Le schede di sintesi dell'analisi dell'esperienza ope-rativa, condotta secondo metodologie strutturate come quelle descritte nell'ambito di questo arti-

colo, risultano essere un ottimo strumento di sin-tesi delle informazioni in esito ad una valutazione strutturata delle cause radice, indipendentemen-te dalla metodologia impiegata.Ciascuna scheda infatti riporta:• la descrizione dell'evento incidentale oggetto

di analisi (nell'ambito della quale risulta utile inserire le principali cause di tipo tecnico e ge-stionale);

• l'indicazione se nell'evento sono stati coinvolti sistemi tecnici (apparecchiatura, sistema di controllo, sistema di sicurezza, ecc.) individuati come critici ai fini del sistema di gestione della sicurezza attraverso l'analisi di sicurezza;

• il fattore gestionale risultato carente (docu-mentazione, informazione, addestramento, pianificazione della risposta all'emergenza) ovvero non completamente attuati o non ade-guati alla realtà dello stabilimento;

• la descrizione della non adeguatezza del fatto-re gestionale preso a riferimento;

• le azioni intraprese (nella immediatezza);



13

• le azioni previste/programmate ai fini del pre-venire ulteriori accadimenti (anche ai fini della predisposizione di un piano di miglioramento del sistema di gestione della sicurezza).

Per quanto attiene l'analisi degli incidenti e dei quasi incidenti (fattore gestionale 7.ii del sistema di gestione della sicurezza per la prevenzione de-gli incidenti rilevanti), l'attuazione prevede che:• sia verificata l'esistenza di una procedura che

preveda la classificazione degli eventi (inciden-ti, quasi incidenti, anomalie, ecc.), la definizione delle modalità di raccolta, analisi, approfondi-mento e registrazione dei dati sugli eventi, con l'archiviazione delle informazioni relative alle cause e i provvedimenti adottati (azioni corret-tive e preventive);

• sia verificato il fatto che per tutti gli eventi regi-strati siano state individuate le cause ed effetti-

vamente realizzate le misure di intervento se-condo le priorità stabilite;

• sia verificata la presenza di procedimenti per l'interscambio di informazioni sugli incidenti occorsi con stabilimenti che svolgono attività a-naloghe sia nel territorio nazionale che estero;

• sia verificata l'avvenuta comunicazione e diffu-sione ai diversi livelli aziendali delle risultanze derivanti dall'analisi dell'esperienza operativa.

Perché si investiga

La conoscenza delle cause immediate e radice è importante per un duplice aspetto.Da un lato c’è la conoscenza del nesso di causalità tra gli eventi che, a partire da cause iniziatrici, hanno condotto all’incidente: tale aspetto è mol-to utile quando l’incidente è investigato a fini giu-diziari.

Figura 15. Possibile Tripod Beta dell’esempio (sviluppato con IncidentXP di CGE-NL)



Il secondo aspetto, come già anticipato, riguarda la possibilità di mettere in luce, attraverso una a-nalisi strutturata, le carenze organizzative, proce-durali e tecniche che possono essere corrette al fine di evitare il ripetersi di simili accadimenti. In tal senso, l’investigazione è lo strumento principe per il raggiungimento di questo obiettivo, con-sentendo in ultima analisi di individuare le barrie-re di protezione – preventive o mitigative – ag-giuntive o i piani di miglioramento tesi a rendere più efficaci quelle esistenti. Occorre inoltre osser-vare che l’obiettivo non è evitare il ripetersi degli stessi accadimenti, ma, in linea con l’approccio generativo, si intende evitare anche incidenti si-mili, estendendo il campo di applicazione delle le-zioni apprese anche ad altre linee produttive, altri processi, altri impianti, altri siti e, in ultimo, altre organizzazioni.Per garantire questa permeabilità a più livelli della valorizzazione dell’esperienza operativa è neces-sario dotarsi di metodi strutturati non solo per l’a-nalisi degli incidenti, garantendo così metriche u-guali di valutazione, ma anche per la reportistica, lo sviluppo delle raccomandazioni correttive, il si-stema di memoria delle lezioni apprese, e la co-municazione e condivisione delle stesse.

L’investigazione degli incidentie la loro analisi

L’investigazione condivide lo stesso obiettivo dell’analisi del rischio (il miglioramento della sicu-rezza), superando però i limiti dell’approccio pre-dittivo, in primis la difficoltà a identificare eventi

multi-causa, come sono spesso gli incidenti. L’in-vestigazione dovrà partire da una solida base di evidenze fisiche, la cui analisi, secondo lo schema piramidale di Figura 6, condurrà alle conclusioni.

Il flusso di lavoro

Terminata la fase di risposta emergenziale all’inci-dente, inizia l’investigazione, il cui iter si articola nelle seguenti fasi:1. Sopralluogo iniziale;2. Prime valutazioni e formazione della squadra

di investigatori;3. Raccolta delle evidenze;4. Sviluppo della timeline;5. Analisi dell’incidente (ricerca delle cause radice);6. Report e sviluppo raccomandazioni.

Sviluppo della timeline dell’evento incidentale

Uno dei metodi più efficaci per sviluppare una ti-meline prevede la creazione di una matrice con:• Gli istanti temporali riportati sulle colonne;• Gli attori suddivisi sulle righe.

Ad una determinata intersezione “attore-tempo” si inserisce l’evento all’interno della matrice, dan-do così una forma organica e sequenzialmente corretta delle evidenze raccolte nella precedente fase dell’investigazione (Figura 7).Creata la timeline, occorre scegliere una delle tan-te metodologie di analisi degli incidenti a disposi-

Figura 16. Possibile BFA dell’esempio (sviluppato con IncidentXP di CGE-NL)



15

zione e, preferibilmente, anche dell’apposito stru-mento per poterla applicare al meglio.Nel seguito vengono brevemente illustrate tre metodologie.

Root Cause Analysis

L’analisi delle cause radice, o Root Cause Analysis (RCA), è indubbiamente tra le metodologie di a-nalisi degli incidenti più diffuse. In sintesi, essa prevede che l’investigatore, a partire dall’evento incidentale, si chieda iterativamente il “perché” dell’evento, scoprendo così dapprima le cause im-mediate e, in ultimo, quelle radice (Figura 8).Il passaggio da un livello di approfondimento all’altro non è scontato e neppure semplice come può apparire: oltre ad una buona esperienza sul metodo onde evitare inutili ramificazioni dell’al-bero delle cause radice, viene sovente richiesto di ritornare alla fase di raccolta delle evidenze, al fine di scartare le ipotesi non supportate, verificare che quelle avanzate non siano in contrasto con al-tre evidenze, o anche aggiungere eventuali nuo-ve ipotesi che dovranno successivamente essere testate dal confronto con nuove evidenze.Contrariamente a quanto si possa pensare, non e-siste “la” causa radice in quanto un incidente è spesso frutto di più cause radice. Per esse non è più possibile chiedersi il “perché” siano avvenute o semplicemente, in relazione allo scopo e all’ambi-to dell’indagine, non ha senso proseguire oltre con l’analisi. Gli eventi, disposti in un albero RCA come quello di Figura 8, sono collegati dal nesso causa-effetto; il metodo non consente, a rigori,

una collocazione temporale degli eventi. Le cause radice sono individuate negli eventi finali delle ra-mificazioni.

Tripod Beta

Il metodo “Tripod Beta” è interamente basato sulla definizione di “trio” (Figura 9).Un “trio” è l’insieme dei seguenti elementi:1. Agente: è l’elemento con il potenziale di intro-

durre un cambiamento o arrecare un danno all’oggetto su cui agisce;

2. Oggetto: è l’elemento che subisce l’Agente e viene da esso modificato;

3. Evento: è il risultato dell’azione dell’Agente sull’Oggetto. Agente e Oggetto devono essere contemporaneamente presenti affinché si rea-lizzi l’Evento (in altre parole, sono in combina-zione logica AND).

Il metodo introduce il concetto di barriera: si trat-ta di quelle misure atte a prevenire il rilascio in-controllato dell’Agente (barriere preventive) o proteggere l’Oggetto (barriere mitigative).L’analisi Tripod Beta si concentra sui motivi per cui le barriere, poste in essere dall’organizzazione, fal-liscono, individuando, come nello schema di Figu-ra 4 a pag. 5:1. La causa immediata (o active failure): è l’even-

to che ha causato direttamente il fallimento della barriera. Ci può essere un solo evento connesso al fallimento di una barriera (ad es. ignorare una procedura, rifiuto a indossare i DPI, interpretazione errata dei segnali);



2. La precondition: è l’ambiente, lo stato psicolo-gico o situazionale che potrebbe aver promos-so la active failure. Sovente, è impossibile di-mostrare con certezza assoluta il nesso cau-sa-effetto tra precondition e active failure, ec-co perché si usa obbligatoriamente il condizionale e il nesso tra i due è rappresenta-to dalla linea tratteggiata in Figura 9. Possono essere definite più preconditions per una sin-gola active failure.

3. Le cause radice (o latent failures): le deficienze sistemiche e organizzative che hanno creato le condizioni al contorno (preconditions) per il fallimento della barriera.

Possono essere definite più latent failures per una singola precondition.

Barrier Failure Analysis

L’analisi del fallimento delle barriere può essere condotta anche con altre metodologie, quali la BFA. Essa prevede che gli eventi vengano disposti in sequenza secondo il nesso “causa-effetto” e, do-po aver individuato le barriere esistenti affinché sia impedito il raggiungimento di un evento a partire da quello precedente, si analizzano quali barriere hanno fallito (Figura 10). Il metodo conserva l’approccio basato sulle bar-riere, svincolandosi da definizioni formali come quelle fornite dal Tripod Beta, che possono tutta-via essere molto utili nel guidare l’investigazione verso le cause radice.

Un approccio integratoalla sicurezza

Le metodologie elencate sono tutte caratterizzate da notazioni fortemente grafiche che consentono un’immediata visualizzazione degli eventi e delle potenziali relazioni causa-effetto tra questi.Questa qualità è condivisa anche dalla metodolo-gia BowTie (Figura 11), utilizzata tipicamente in fase di valutazione del rischio (e quindi, nell’ottica

degli incidenti e della valutazione dell’esperienza operativa, in fase predittiva e non reattiva). Il metodo BowTie consente di restituire in forma grafica i risultati di un’analisi del rischio che, pren-dendo le mosse dal top event (un evento non vo-luto che si verifica quando si perde il controllo sul pericolo, ad es. una perdita di contenimento di li-quido infiammabile), individui le sue possibili cause e conseguenze, unitamente alle barriere preventive (lato sinistro del BowTie) e protettive (lato destro) poste in essere dall’organizzazione. L’efficacia di tali barriere potrebbe essere minac-ciata dagli escalation factors (ad es. mancanza di energia elettrica o di aria strumenti), a controllo dei quali vengono poste le barriere secondarie.Un sistema di gestione SSL deve tuttavia cogliere le opportunità per favorire il miglioramento conti-nuo della sicurezza: ciò richiede, attraverso un processo di feedback, che le lezioni apprese dalla fase reattiva (analisi degli incidenti) siano valoriz-zate ai fini di una migliore gestione del rischio in fase predittiva, generando così nuova conoscenza (approccio generativo di Figura 2 a pag. 4). Ciò è possibile solo attraverso metodologie e stru-menti idonei, capaci di trasferire informazioni e dati da una fase all’altra. In tal senso, risulta signi-ficativo lo schema di Figura 12. Una valutazione del rischio ben fatta prevede già i possibili scenari incidentali.In altre parole, le cause di un incidente occorso andrebbero ricercate proprio tra quelle ipotizzate durante la fase di valutazione del rischio. Indivi-duato quale sia il percorso sul BowTie che indivi-dua il nesso causale tra causa, top event e conse-guenza finale (cioè l’incidente), lo strumento for-nisce un valido input per l’analisi degli incidenti, da realizzarsi con una delle metodologie sopra e-sposte, fermo restando la necessità di condividere l’approccio alla sicurezza basato sulle barriere.Comprese le cause dell’incidente, sarà quindi pos-sibile aggiornare i dati statistici circa la frequenza di accadimento della specifica causa, o aggiorna-re la probabilità di fallimento su domanda di una barriera, o aggiungere una nuova barriera alla nuova valutazione del rischio. In questo modo,



17

nello spirito della UNI ISO 45001:2018, le lezioni apprese dall’incidente vengono trasferite alla fase di valutazione del rischio, consentendo non solo un continuo aggiornamento delle informazioni e dei dati ad essa connessi, ma anche di perseguire concretamente l’obiettivo del miglioramento del-la sicurezza.

Un esempio

L’esempio proposto nel presente paragrafo è pre-disposto esclusivamente per finalità didattiche.

I fatti

La mattina del giorno 26/06/2018 sono in corso alcuni lavori di manutenzione all’interno di un lo-cale adibito a cella frigorifera di un grossista, volti al ripristino dello strato coibente di alcune pareti del locale. Tale ripristino viene effettuato insuf-flando schiuma poliuretanica espansa nei punti ove la coibentazione si è ritirata. Ad eseguire i la-vori è il datore di lavoro. Dopo una pausa caffè, il Datore di Lavoro chiede all’Operatore A di sostituirlo nel proseguimento delle attività di manutenzione. Alle 12:06 avviene un’esplosione all’interno del locale.Le ustioni riportate dall’Operatore A risulteranno letali, causandone il decesso dopo tre giorni.

Sopralluogo iniziale

Il sopralluogo iniziale degli investigatori rivela che il locale non era dotato di impianto di ventilazio-ne forzata e che, sul posto, era presente un trapa-no elettrico usato per praticare dei fori nelle pareti rivestite da lamiera metallica, allo scopo di insuf-flare la schiuma poliuretanica all’interno.Il sopralluogo rivela inoltre 8 bombolette di schiu-ma poliuretanica già utilizzate e numerose altre ancora non utilizzate. Il locale si presenta privo di finestre e dotato di una sola porta di accesso. Non sono rilevati ulte-riori elementi.

Raccolta delle evidenze

Gli investigatori sequestrano tre bombolette di schiuma poliuretanica, tra quelle ancora non uti-lizzate, allo scopo di farne analizzare in laborato-rio il contenuto.Dalle analisi risulta che il gas propellente è una miscela di gas propano-butano altamente infiam-mabile e, come riporta la scheda di sicurezza del prodotto, capace di generare atmosfere esplosive in ambienti chiusi e non ventilati. Si preleva a re-perto anche il trapano, che presenta alcune leve di comando in plastica parzialmente fuse. Inoltre, viene interrogato il datore di lavoro ed altri operai dell’organizzazione.Le testimonianze rese concordano nel ricostruire i fatti presentati in premessa. Uno degli operai rive-la che il collega deceduto non indossava i DPI pre-visti per la lavorazione eseguita e che, all’atto dell’esplosione, la porta di accesso al locale era chiusa per agevolare il passaggio del personale nel piccolo corridoio all’esterno del locale.

Analisi dell’incidente

Dalle informazioni acquisite è possibile costruire la timeline dell’incidente. Si noti che non necessa-riamente occorre una definizione quantitativa della timeline. Nel caso in esame, infatti, non sono noti gli istanti di tempo degli eventi in essa ripor-tati, ma se ne conosce la sequenza e una stima qualitativa delle durate. Nella timeline è possibile aggiungere eventi che, in questa fase, sono sola-mente ipotizzati al fine di garantire una continuità logico-temporale all’insieme di eventi finora rac-colti, fermo restando la necessità di validare o me-no, tramite le evidenze, tali ipotesi. In altre parole, è comune il caso in cui l’investigatore ritorni più volte a modificare la timeline, sulla base di nuove evidenze o ipotesi. Una possibile timeline è quella sviluppata in Figura 13.È bene osservare come gli “attori” non corrispon-dono necessariamente a persone fisiche, ma an-che a luoghi o oggetti inanimati.Partendo dall’evento incidentale vero e proprio



(decesso dell’Operatore A per gravi ustioni), l’in-vestigatore potrebbe chiedersi iterativamente “perché” è avvenuto tale evento, arrivando a co-struire l’albero RCA di Figura 14. Da esso emerge la necessità di approfondire alcuni eventi, quali la richiesta del datore di lavori di farsi sostituire nei lavori, in assenza di una procedura “permesso di lavoro”, e le motivazioni per cui era del tutto as-sente l’impianto di ventilazione forzata nella cella frigorifera (tali eventi sono contrassegnati da un punto interrogativo).Le cause immediate (segnate dal simbolo “CC”) po-trebbero essere individuate nell’utilizzo di bombo-lette di schiuma poliuretanica e nel fatto che la cel-la frigo fosse chiusa e non ventilata. In realtà, da una analisi più approfondita, si scoprirebbe che le cause radice vanno ricercate nel layout inadeguato della struttura, tale non consentire neppure un ri-cambio d’aria per ventilazione naturale, e nello scarso impegno dell’organizzazione in tema di sicu-rezza (per cui sia l’Operatore A che il Datore di lavo-ro, non essendo formati sui rischi di esplosione, uti-lizzavano il trapano elettrico in un ambiente diven-tato a potenziale rischio di esplosione, senza le ade-guate misure preventive quali indumenti antistatici o l’impiego di un trapano idoneo per l’utilizzo in at-mosfere esplosive). Eventuali azioni correttive andrebbero quindi svi-luppate proprio sugli ultimi eventi delle ramifica-zioni dell’albero RCA individuati come Root Cause (RC), pur potendo intervenire con azioni correttive anche ai livelli di cause immediate (CC), allo scopo di fornire delle raccomandazioni da implementare nel breve termine. La necessità di effettuare lavori di ripristino, ai fini della investigazione, può non ne-cessitare di ulteriori approfondimenti, per cui l’e-vento non è stato ulteriormente investigato ed è stato siglato come Not a Cause (NC).Analizzando lo stesso incidente con la metodolo-gia Tripod Beta, viene richiesta non solo l’identifi-cazione degli eventi, ma anche degli agenti e de-gli oggetti. La metodologia, molto strutturata, ri-chiede che siano anche definite le barriere pre-senti, individuandone il loro stato (efficaci, fallite, assenti).

Una possibile combinazione di trio potrebbe es-sere quella di Figura 15. Per comodità di rappre-sentazione, sono state individuate le cause imme-diate e latenti di una sola delle barriere fallite.Infine, lo stesso incidente potrebbe essere analiz-zato anche con la BFA, come mostrato nel dia-gramma, volutamente semplificato, di Figura 16.

Conclusioni

In conclusione, quanto riportato è un esempio di come sia possibile analizzare, tramite metodolo-gie strutturate, uno stesso incidente.Emerge come, per un dato incidente, non esiste “la” soluzione al processo di analisi, perché le fina-lità, lo scopo e l’ambito di applicazione di una in-vestigazione possono essere molteplici, compor-tando quindi l’esistenza di diversi “punti di vista” dai quali analizzare l’incidente.Una volta note le barriere fallite, inadeguate, o mancanti, le cause immediate, le precondizioni, e le cause radice è possibile sviluppare dei piani di miglioramento della sicurezza.Nel caso in esame, si potrebbe intervenire a livello di cause radice, rafforzando la cultura della sicu-rezza dell’organizzazione, rivedendo per intero il proprio sistema di gestione SSL.La formazione preventiva degli operatori alle mansioni da svolgere e ai rischi più comuni, in particolare quelli legati all’esplosione, deve essere rafforzata, fornendo il supporto necessario affin-ché si raggiunga un livello di maturazione tale da comprendere l’importanza dell’indossare i DPI corretti e l’impiego di attrezzature idonee ai luo-ghi di lavoro. n



19

RIFERIMENTI BIBLIOGRAFICI

1 CCPS (Center for Chemical Process Safety). Guideli-nes for Risk Based Process Safety. Wiley; 2007

2 CCPS (Center for Chemical Process Safety). Guideli-nes for enabling conditions and conditional modi-fiers in layers of protection analysis. Wiley; 2013.

3 CCPS (Center for Chemical Process Safety). Guideli-nes for initiating events and independent pro-tection layers in layer of protection analysis. Wiley; 2015.

4 CCPS (Center for Chemical Process Safety). Guideli-nes for investigating chemical process incidents. 2nd ed. New York: American Institute of Chemical Engineers; 2003.

5 CCPS (Center for Chemical Process Safety). Layer of Protection Analysis: Simplified Process Risk Asses-sment. New York: Wiley; 2011.

6 CCPS (Center for Chemical Process Safety). Process Safety Glossary: Bow Tie Diagram. Available online at www.aiche.org/ccps/resources/glossary/pro-cess-safety-glossary/bow-tie-diagram; last access on April, 30th 2018.

7 CCPS (Center for Chemical Process Safety). Project 237: Guidelines for Barrier Risk Management (Bow Tie Analysis), 2017 (in progress).

8 Fiorentini L, Marmo L. Principles of Forensic Engine-ering Applied to Industrial Accidents. Wiley, Chiche-ster UK; 2018.

9 Fiorentini L, Marmo L. Sound barriers management in process safety: Bow-Tie approach according to the first official AIChE – CCPS guidelines. Chemical Engineering Transactions. Vol. 67. (An AIDIC publi-cation); 2018.

10 Fiorentini L, Pinetti G, Sicari R, Farinella M, Marmo L. “Offshore Directive” on Major Accidents: a bar-rier-based safety management system built on sha-red ontologies and taxonomies. Real applications in Italy. Chemical Engineering Transactions. Vol. 67. (An AIDIC publication); 2018.

11 Fiorentini L. Analisi del rischio di incendio. Presenta-zione tenuta nell'ambito dell'evento SafetyExpo 2017, Bergamo, 20-21 settembre 2017

12 IEC 31010:2009. Risk management – Risk asses-sment techniques; 2009.

13 ISO 17776:2016. Petroleum and natural gas indu-stries – Offshore production installations – Major accident hazard management during the design of new installations; 2016.

14 ISO 31000:2018. Risk management – Guidelines; 2018.

15 Mannan S, Lees F. Lee's loss prevention in the pro-cess industries. 4th ed. Boston: Butterworth-Heine-mann; 2012.

16 Mannan S. Lees' process safety essentials. 1st ed. Ki-dlington, Oxford, U.K.: Butterworth-Heinemann; 2014.

17 Noon R. Forensic engineering investigation. 1st ed. Boca Raton, FL: CRC Press; 2001.

18 UNI EN ISO 45001:2018. Sistemi di gestione per la salute e sicurezza sul lavoro – Requisiti e guida per l’uso

19 Vaughen B. K, Bloch K. Use the Bow Tie Diagram to Help Reduce Process Safety Risks. CEP Magazine (An AIChE Publication); 2016.

TECSA - Tecnologie per la Sicurezza e l'AmbienteVia Figino, 101 - 20016 Pero (Milano) ItalyTel. +39 2 33910.484 - Fax +39 2 33910.737www.tecsasrl.it - [email protected]

Documents

Gestione di incidenti e non conformità · La normativa tecnica mette quindi in risalto l’im-portanza della valorizzazione delle lezioni appre-se da conseguenze non volute quali