7
condizione deve sussistere perché l’incidente si sviluppi fino alle
conseguenze finali.
La valutazione del rischio si fonda sulla formulazione di giudizi, i quali
possono essere corroborati da metodi qualitativi o quantitativi. Tuttavia,
l’uso dei metodi quantitativi è vincolato alla quantità di dati utili disponibili.
In molti casi è possibile solo una valutazione qualitativa del rischio.
I metodi principali di analisi dei pericoli e di stima dei rischi sono i seguenti:
• metodo storico-statistico
• metodo dell’albero dei guasti (FTA, Fault Tree Analysis);
• il Preliminary Hazard Analysis (PHA),
• metodo "WHAT-IF" (cosa succede se…?);
• Il Failure Modes and Effects Analysis (FMEA)
• metodo MOSAR (Method Organised for a Systematic Analysis
of Risks);
• l’ Hazard and Operability Study (HAZOP)
La tecnica utilizzata in questo lavoro prende spunto dal metodo dell’albero
dei guasti (FTA). Con questa tecnica, fissata l’attenzione su di un
particolare evento incidentale precedentemente individuato (Top event),
vengono prese in considerazione tutte le possibili condizioni che possono
causare l’evento. Il limite del metodo è dato dal fatto che comunque
bisogna fornire una stima degli eventi iniziali
In presenza di dati storici certi in quantità elevata si possono raggiungere
risultati accurati, ma la loro mancanza o inaffidabilità ne rende impossibile
8
l’utilizzo nel caso di valutazione dei rischi nelle imprese. La teoria della
probabilità non è in grado di misurare l’imprecisione o l’incertezza che
nasce dal comportamento umano. La logica fuzzy permette di superare
questo inconveniente perché ha a che fare con i principi formali del
pensiero “approssimato” e considera il ragionamento preciso come caso
limite.
La caratteristica fondamentale dell’approccio fuzzy è la ridefinizione del
concetto di appartenenza ad un insieme, o meglio la generalizzazione del
criterio di definizione di un insieme.
Spesso in natura non ci si trova di fronte a insiemi nettamente separati cui
si possono applicare i principi dell’insiemistica classica come quello della
non contraddizione o quello del terzo escluso. Esistono moltissimi casi in cui
sussistono intrinsecamente ambiguità e gli insiemi non sono quindi definibili
in modo strettamente matematico.
La generalizzazione del concetto di insieme viene effettuata ridefinendo in
maniera quantitativa il concetto di appartenenza, associando ad ogni
insieme una coppia: l’ elemento ed il grado di appartenenza a quell’insieme.
Strumenti basilari sono le variabili linguistiche, cioè quelle variabili i cui
valori non sono rappresentati da numeri, ma da parole o frasi espresse in
linguaggio naturale.
Gli insiemi fuzzy, i numeri fuzzy e le variabili linguistiche sono ottimi
strumenti per manipolare quella che risulta essere la maggior fonte di
imprecisione nei processi decisionali.
9
La probabilità di accadimento di un evento viene sostituita dalla possibilità
di accadimento dello stesso facendo uso degli insiemi fuzzy.
Il rischio elettrico è solo uno dei tanti presenti in un’azienda.
La valutazione della sua possibilità di accadimento può essere trattata come
il top event di un albero di guasto.
La metodologia proposta può inoltre essere estesa ad ogni tipo di rischio,
realizzando un sistema di gestione aziendale del rischio.
La riduzione del rischio e l’ottimizzazione delle risorse disponibili
rappresentano il passo successivo da affrontare.
L'obiettivo non può essere l’annullamento totale del rischio ma la riduzione
ad un livello accettabile.
Di qui il problema di stabilire il livello di sicurezza accettabile, quale
equilibrio tra economia ed esigenze di sicurezza.
La strada più corretta sembra quella di mettere a confronto la maggiore
sicurezza conseguibile per ogni unità di costo relativo; considerare cioè la
sicurezza incrementale.
La realizzazione di un software che automatizzi tutti i processi fin qui
descritti permette, infine, di semplificare il lavoro di chi compie il processo
di analisi.
10
1 RISK ASSESSMENT
1.1 Definizione di sicurezza
Sicurezza è una parola dai molti significati; occorre precisare chi, o che
cosa si vuole rendere sicuro e contro quale evento.
Si consideri una popolazione di N oggetti, nominalmente identici,
funzionanti in condizioni prestabilite per il tempo t ed un guasto che possa
generare un evento sfavorevole.
Si definisce sicurezza S(t) di uno qualunque degli N oggetti, riferita al
tempo t, nei riguardi dell’evento sfavorevole prodotto da quel guasto, il
rapporto tra il numero n(t) degli oggetti non affetti da quel guasto dopo il
tempo t ed il numero totale N degli oggetti:
N
tn
tS
)(
)( =
La sicurezza, nei riguardi di un determinato evento sfavorevole è espressa
da un numero, compreso tra zero e uno. La sicurezza contro un evento
11
sfavorevole costituisce la probabilità che in condizioni prestabilite e in un
determinato tempo, non si verifichi quell’evento. Il tempo è un tempo
cumulativo cioè un tempo durante il quale l’oggetto ha esplicato la funzione
richiesta, denominato tempo di esposizione al rischio.
Una ulteriore definizione di sicurezza si può formulare introducendo il tasso
di guasto; questo è definito come il rapporto tra il numero di oggetti
guastatisi nell'unità di tempo e il numero di quelli sopravvissuti. Se si
suppone il tasso di guasto costante nel tempo e lo si indica con λ, si può
scrivere:
S(t) = e
- λ t
La sicurezza diminuisce all'aumentare del tempo di esposizione al rischio.
Essa tende a zero per t—>∞: ciò è intuitivo, perché qualsiasi attività in cui
sia λ ≠ 0, protratta all'infinito, determina prima o poi l'evento sfavorevole
che si teme.
Si è in presenza di sicurezza zero tutte le volte che non occorra un guasto
per avere una condizione sfavorevole per le persone (λ—>∞).
Per contro, la sicurezza può assumere il valore unitario (sicurezza
assoluta) per t=0, cioè quando non ha avuto ancora inizio l'attività, o per
λ=0 nell'impossibilità del guasto.
Quest'ultima ipotesi non è reale, in quanto nulla è perfetto e possono
sempre verificarsi circostanze tali da rendere possibile un guasto che
determini l'evento sfavorevole. La sicurezza va riferita sempre ad un
12
evento sfavorevole. Se questo non esiste, il concetto di sicurezza, come
sopra definito, perde di significato.
Quel certo apparecchio a pila è definibile come intrinsecamente sicuro nei
confronti dell’evento considerato.
Le condizioni, cui la sicurezza si riferisce, possono essere così
raggruppate:
• condizioni d'impiego e d'installazione
• condizioni di manutenzione.
Condizioni d'impiego e d'installazione: ogni impianto, apparecchio o
componente deve essere installato e utilizzato in conformità alle norme e
alle indicazioni fomite dal costruttore, sia riguardo alle condizioni ambientali
sia alle misure complementari di protezione.
Condizioni di manutenzione: gli apparecchi ed i componenti, per i quali
è prevista una manutenzione, devono essere oggetto di una idonea
manutenzione.
Il mancato rispetto anche di una sola delle condizioni suddette comporta in
generale un decadimento del livello di sicurezza. Nella scelta delle misure di
sicurezza si tiene conto del venire meno di una o più condizioni, entro
determinati limiti (condizioni prestabilite): questi limiti tengono anche conto
se l'apparecchio è destinalo a persone addestrate o profane.
13
1.2 L’incidente
L'incidente può sopraggiungere qualche volta per causa di forza maggiore
o per caso fortuito.
• Causa di forza maggiore. La causa dell'incidente è di natura
completamente sconosciuta alla scienza ed alla tecnica.
• Caso fortuito. Si possono presentare due situazioni:
i. la causa dell'incidente è di natura nota e storicamente
prevedibile, ma il rischio (naturale) è ritenuto, a livello
normativo, accettabile e quindi non è richiesta alcuna
misura di protezione:
ii. la causa è ancora di natura nota e storicamente
prevedibile: il rischio naturale è ritenuto non accettabile e
sono quindi prescritte, a livello normativo, adeguate
misure di protezione ma questa misure, anche se
correttamente applicate, hanno fallito (rischio residuo)
La causa di forza maggiore trova una sua giustificazione nella realtà delle
cose, ma non deve essere invocata per coprire negligenza, imprudenza o
imperizia.
Nel caso fortuito si tiene conto del fatto che nessuna norma o procedura,
per quanto accuratamente studiata, può garantire in modo assoluto
l'immunità delle persone. L'applicazione delle disposizioni contenute nelle
14
norme può diminuire le occasioni di pericolo, ma non evitare che
circostanze accidentali possano determinare situazioni pericolose per le
persone o per le cose.Gli infortuni conseguenti a causa di forza maggiore o
a caso fortuito sono ammessi dalla società: risultano trattati infatti in tutti e
quattro i codici e sono motivo di non punibilità.
1.3 L'errore umano
Spesso è l'uomo, con il suo comportamento la causa di un infortunio,
perché:
• compie un errore (persona addestrata);
• travalica la misura di protezione predisposta (persona profana),
uscendo così dalle condizioni prestabilite cui la sicurezza si riferisce.
Per persona addestrata, o qualificata, si intende una persona che abbia una
preparazione tecnica adeguata al compito che deve svolgere. La
qualificazione è particolarmente importante tutte le volte che il pericolo è
ineliminabile in quanto strettamente connesso alle funzioni dell'apparecchio
(apparecchio non proteggibile). E il caso del pericolo di tagliarsi con un
coltello: ogni misura di protezione impedirebbe al coltello di tagliare.
La misura di protezione in questi casi è costituita dalla qualificazione
dell'operatore.
• Il profano è il beneficiario delle misure di sicurezza ma può, con la sua
condotta imprudente o negligente, superare tali misure, uscendo dalle
15
condizioni prestabilite cui la sicurezza è riferita. Di qui la necessità di
intervenire sull'uomo quale destinatario delle misure di sicurezza o quale
misura di sicurezza egli stesso, mediante:
• una opportuna informazione nel caso dei profani;
• una opportuna selezione e formazione per gli operatori qualificati.
L'uomo ha una affidabilità alquanto scarsa.
In particolare, il profano va informato che ogni misura di sicurezza
comporta un rischio residuo, nei confronti del quale egli deve tenere una
condotta prudente; diversamente la misura di protezione potrebbe avere un
effetto controproducente, esaltando l'imprudenza del profano.
Analogamente nella persona qualificata è da combattere la tendenza
all'assuefazione al pericolo che la porta a trascurare o a ridurre le misure di
protezione.
L'intervento in tal senso verso il profano e verso la persona qualificata,
presenta tutte le difficoltà tipiche di ogni azione tendente a guidare il
comportamento dell'uomo.
16
1.4 Definizioni di rischio e pericolo
I termini pericolo (hazard) e rischio (risk), sebbene siano sinonimi nel
linguaggio comune, hanno nel linguaggio tecnico differenti significati. Da un
punto di vista strettamente matematico, il pericolo è pari alla quantità [1 -
S(t)]. Può essere inteso come una caratteristica intrinseca di un materiale,
di un sistema, di una attività, rappresentante la sua potenzialità a dare atto
ad incidenti con conseguenze indesiderabili.
Ad esempio una cisterna contenente aria pressurizzata ha la potenzialità di
causare danni alle persone in seguito ai frammenti rilasciati da una
eventuale rottura del contenitore, oppure una cisterna contenente un
materiale tossico ha la potenzialità di causare danni in seguito ad un
eventuale rilascio di materiale. Il rischio è invece la combinazione della
probabilità e delle conseguenze di uno specifico incidente che si verifica.
Da un punto di vista quantitativo il rischio è una funzione matematica
dipendente dalla frequenza (o dalla probabilità) che si verifichi un certo
avvenimento e che esso comporti conseguenze negative, cioè:
R = f ( F , M )
dove:
R = indice di rischio
F = frequenza o probabilità
M = magnitudo delle conseguenze.
17
La frequenza è il rateo con cui un evento si verifica e viene spesso espressa
in termini di numero di eventi/anno. La probabilità è invece un numero
compreso tra zero e uno che esprime il grado di credibilità riguardante il
possibile verificarsi di un evento.
Le conseguenze sono l’effetto, diretto e indiretto, in genere indesiderabile,
dell’evento incidentale: le conseguenze si possono misurare in termini di
effetti sulla salute degli esseri umani e sull’integrità dell’ambiente, oppure
come danni economici.
Nella sua accezione più semplice il rischio è dato dal prodotto della
frequenza per la magnitudo delle conseguenze:
R = F × M
Questa definizione non è altro che una semplificazione di quella data in
precedenza; in questo caso un evento che causa un morto e avviene dieci
volte l’anno ha lo stesso rischio matematico di un evento che causa mille
morti ma avviene solo una volta ogni cento anni. Esprimendo quindi il
rischio come semplice prodotto di frequenza per conseguenza si perdono
un gran numero di informazioni.
Un’altra definizione quantitativa del rischio è basata sull’analisi dei guasti:
se si considera la sicurezza di un qualunque sistema costituito da N oggetti,
nell’intervallo di tempo t, come il rapporto tra il numero n degli oggetti che
hanno manifestato il guasto e il numero totale N
18
N
tn
tS
)(
)( =
e si indica con k il fattore che rappresenta la probabilità che il guasto
produca un evento con conseguenze dannose, allora il rischio R può essere
espresso per mezzo di una relazione matematica legata funzionalmente alla
frequenza di guasto S(t), alla probabilità di evento dannoso e alla
magnitudo delle conseguenze M :
R = f (S(t), k, M)
19
1.5 Forme di presentazione del
rischio
La connotazione da dare alla espressione del rischio deve rispecchiare la
particolare caratterizzazione del possibile soggetto del rischio stesso. In
questo senso sono individuabili essenzialmente tre categorie diverse:
l’individuo, la società e l’istituzione responsabile dell’attività.
1.5.1 Rischio individuale
Un individuo che sia soggetto ad un rischio pone il problema in termini
relativamente semplici:
• qual è la probabilità di rimanere vittima o di ricevere danno a causa
di un incidente dovuto a quella determinata attività?
• Il rischio comunque corso ogni giorno, di quanto aumenta a causa di
quella determinata attività?
Per rispondere a queste domande l’analisi deve giungere a valutare quello
che è chiamato il “rischio individuale”, definito come la probabilità che un
determinato individuo subisca un danno nell’arco di un certo tempo. Tale
rischio può essere espresso, con riferimento all’attività lavorativa, come
numero atteso di vittime causate dall’attività in esame ogni 10
8
ore di
esposizione al pericolo; questo valore viene denominato con il termine
inglese FAFR (Fatal Accident Frequency Rate). In pratica
20
FAFR rappresenta 1 vittima ogni 1000 lavoratori esposti al rischio per
l’intera vita lavorativa (1000 × 40 ore/settimana × 50 settimane/anno × 50
anni di lavoro = 10
8
ore).
Questa modalità espressiva ha il pregio di permettere un confronto diretto,
in termini estremamente semplici e facilmente comprensibili, dei rischi
derivanti da attività diverse.
Un altro modo di presentare il rischio individuale è attraverso le curve di
iso-rischio, che individuano sulla carta topografica l’esatta delimitazione
delle aree correlate ad un determinato livello di rischio.
1.5.2 Rischio sociale
Oltre ad essere interessata a garantire che ogni suo membro sia sottoposto
al minor rischio possibile, la società e per essa le autorità sono preoccupate
anche dell’esposizione al pericolo della collettività nel suo complesso, intesa
come somma articolata di individui. Essa è pertanto orientata a limitare i
possibili danni di carattere sociale, economico e politico che deriverebbero
da un evento incidentale. Poiché l’entità di tali danni è in qualche modo
proporzionale alla gravità dell’incidente ed in particolare al numero di
vittime, è utile esprimere i risultati dell’analisi in termini di rischio sociale,
inteso come numero di vittime atteso in un anno oppure come probabilità
che in un anno avvenga un incidente comportante un numero di vittime
uguale o superiore ad un certo valore.