In una grande azienda dell’industria chimica si constatò, in effetti, che l’85% dei nuovi operai non erano in grado, dopo un anno di pratica aziendale, di leggere correttamente gli strumenti di misura. Grazie a un corso tecnologico, la quota fu portata dall’85% al 20%; non si potè ottenere di più.

Dai suddetti dati si rileva che la sicurezza nell’eseguire un’operazione puramente manuale, come la chiusura di viti, è d’un ordine di grandezza differente da quello della sicurezza nell’assolvere compiti che richiedono la percezione di un’informazione ottica e la sua elaborazione intellettuale. In considerazione dell’alta affidabilità offerta dai guardiani dei passaggi a livello, ci si può domandare se un’informazione acustica si lascia percepire ed elaborare meglio di una ottica.

In via generale, a questa domanda non si può affatto rispondere in modo positivo. Essenziale è l’esistenza di un legame inequivocabile fra l’informazione e l’azione da eseguire. Questa condizione è adempiuta, ad esempio, nel caso del guardiano, dal suono della campanella che annuncia l’avvicinarsi del treno. Tuttavia la chiarezza dell’informazione e il coordinamento chiaro con l’operazione da eseguire lasciano a desiderare negli strumenti di molti impianti e nei rispettivi schemi e istruzioni d’uso.

Evidente, quindi, appare la necessità di un’analisi della sicurezza nel lavoro.

Essa non deve, però, limitarsi unicamente ai momenti di pericolo tecnici; bisogna altresì studiare il modo di adattare il lavoro all’uomo. L’esempio del traffico aereo di linea mostra in maniera particolarmente chiara come bisogna procedere nei casi in cui esistono rischi eccezionalmente alti di catastrofe.

Il manuale di servizio dei velivoli di linea è un documento che costituisce una parte integrante dei certificati ufficiali. Dal punto di vista della precisione e dell’esattezza, tale documento è pressoché impeccabile; esso è però troppo poco adatto all’uso pratico ed è insufficientemente suddiviso secondo i compiti che ogni membro dell’equipaggio deve assolvere. Ogni compagnia aerea allestisce perciò un proprio manuale che contiene un estratto del manuale di servizio del rispettivo tipo di velivolo e meglio s’adatta alle particolari condizioni d’esercizio. A tal riguardo vengono modificate anche le tabelle e i diagrammi, che devono contenere solo le informazioni necessarie all’equipaggio.

Importante è che esse siano leggibili rapidamente e preparate in modo da ridurre al minimo il pericolo di grossolani errori di lettura.

Il fatto di tenere in considerazione le speciali richieste aziendali nell’allestire i manuali è un’esigenza che deve valere non solo per il traffico aereo, ma anche in generale. Il costruttore non deve perciò partire dal suo modo di vedere personale nella stesura di istruzioni per l’esercizio di un impianto o di una macchina. Talune cose, che per il costruttore sono, ad esempio, importanti, non lo sono invece per l’utente. Altre possono risultare normali al costruttore, ma non all’utente che deve senz’altro trovarle nel manuale, perché la loro mancanza potrebbe provocare errori grossolani.

Il costruttore deve domandarsi già allo stadio della progettazione, se le informazioni che l’utente riceve dagli strumenti indicatori risultano sufficienti e inequivocabili.

Un esempio estremo, in questo campo, lo offre di nuovo il traffico aereo. Errori nel leggere l’altimetro furono, a suo tempo, ripetutamente causa di infortuni che furono ascritti a deficienze umane. Fu necessaria un’inchiesta ergonomica per convincere i costruttori di velivoli che gli altimetri a 3 lancette, usati in generale, sono leggibili con difficoltà.

Piloti esperti impiegavano, in condizioni quasi simili a quelle reali, in media 7,1 secondi e commettevano l’11,7% di errori grossolani nel leggere altimetri a 3 lancette. Per gli altimetri a indicazione numerica, il tempo di lettura risulta inferiore a un decimo di secondo e la probabilità di errori di lettura è solo un centesimo dei valori corrispondenti per lo strumento a 3 lancette.

La figura riprodotta qui sotto dimostra che anche nei normali strumenti indicatori esiste una grande differenza per la lettura.

Un pericolo di gravi errori è dato dalla lettura dello strumento a sinistra in condizioni difficili. Può capitare facilmente di leggere il valore 65 invece di 0 oppure 45 al posto di 50. Queste due possibilità di errori non esistono nello strumento a destra. Ambedue gli strumenti hanno però l’inconveniente che la lancetta copre, secondo la sua posizione, una delle cifre della scala.

Quanto più complicati diventano i compiti, tanto più è importante saperli ripartire ottimamente fra l’uomo e gli apparecchi. Per i preparativi della partenza di un’astronave Apollo, bisogna controllare, fra l’altro, 42000 numeri di otto cifre e la loro concordanza con i valori teorici.

Per afferrare il quadro complessivo, l’uomo è oggi ancora nettamente superiore all’elaboratore elettronico; ecco perché ottima si presenta qui la citata ripartizione dei compiti.

Anche una volta esaurite tutte le possibilità dell’ergonomia, bisogna prevedere probabilità di errori dell’ordine di grandezza di 10 ^–4 durante l’esercizio di impianti da parte dell’uomo. Appare evidente che in vasti settori della tecnica, l’affidabilità dovrebbe essere, rispetto all’odierna, superiore di alcune potenze di 10, se si vuol garantire una sufficiente sicurezza. L’industria chimica fu la prima a riconoscere questa situazione di fatto. Per i lavori di revisione, essa ha introdotto la conferma scritta di sicurezza che deve essere rilasciata dall’ingegnere addetto al controllo dell’impianto. In Inghilterra, questo metodo prese forza di legge già nell’anno 1922 con il "Chemical work regulation". Esso fu ulteriormente sviluppato in seguito per la manutenzione di velivoli e il traffico aereo, e prese forma di elenchi di controllo "Checklist".

Si analizza innanzi tutto, punto per punto, l’esatta procedura e si descrive cronologicamente, in poche parole, ciò che va fatto. Una persona esegue indi i lavori richiesti, sulla base del rispettivo elenco di controllo. Un’altra persona, generalmente il superiore diretto, controlla i punti critici enumerati nell’elenco di controllo. Il lavoro e il suo controllo devono essere eseguiti indipendentemente uno dall’altro. In questo caso, si può applicare la regola della moltiplicazione del calcolo delle probabilità. Data un’eguale probabilità di errori sia nel lavoro sia nel controllo

P_A = P_K = 10 ^{- 4}

La probabilità di errori risultante è

P_R = P_A . P_K = 10 ^{- 8}

Il guadagno di sicurezza è perciò enorme con il procedimento basato sull’analisi della sicurezza del lavoro e sulle check-list.

I sistemi che incontriamo nella tecnica sono formati sempre delle seguenti tre componenti:

• Macchine e apparecchi: l’ingegnere meccanico è responsabile del loro funzionamento sicuro e fidato.

• Comando elettrico ed elettronico: ne assume la responsabilità l’elettroingegnere.

• Comando neuronico: ossia il servizio dell’impianto da parte dell’uomo, compresa anche l’organizzazione dell’azienda, nonché l’istruzione e il controllo del personale. Ne è responsabile la direzione dell’azienda.

L’ingegnere meccanico è sempre stato consapevole dei problemi di sicurezza che si pongono rispetto alle macchine e ai comandi elettrici. Ben diverso è il compito dell’essere umano. Le centrali termiche e idriche costituiscono sicuramente i più complicati sistemi della tecnica tradizionale. Il compito dell’uomo non presenta quasi nessun problema neppure di fronte a sistemi di questo genere, poiché il personale dirigente delle centrali viene impiegato, generalmente, già durante i lavori di installazione e conosce perciò l’impianto a fondo. Questi specialisti sono informati del funzionamento delle singole parti e del complesso.

Quanto più complicato risulta un sistema, tanto più bisogna ripartire le operazioni di manutenzione e servizio fra diversi gruppi di specialisti e tanto più il compito dell’essere umano pone problemi. Le statistiche degli infortuni dell’Organizzazione internazionale del traffico aereo civile danno indicazioni numeriche sull’importanza di questi problemi. Sulle normali linee del traffico aereo, circa il 50% degli infortuni aerei è dovuto a errori da parte dei piloti e più del 25% a errori umani commessi da altre persone, e ciò nonostante enormi sforzi nella selezione, nell’istruzione e nell’assistenza medica dei piloti.

Di fronte a sistemi complessi, il costruttore si sforza naturalmente di limitare le conseguenze degli errori umani mediante installazioni tecniche di sicurezza; tuttavia gli sono imposti limiti relativamente ristretti. Gli è praticamente impossibile incorporare tutte le installazioni di sicurezza desiderabili. Quasi sempre sono motivi di limitazione del costo e del peso che lo costringono a limitarsi solo alle installazioni di sicurezza strettamente necessarie. D’altra parte egli può distinguere ciò che è desiderabile da ciò che è indispensabile solo una volta che possiede almeno dati qualitativi sulla probabilità e sulla conseguenza di un difetto.

Dati del genere possono essere accertati con l’analisi della sicurezza del sistema. Si tratta di un metodo di inchiesta applicabile a problemi della sicurezza che non si limitano a un determinato posto di lavoro. L’analisi della sicurezza del sistema detta "Failure Mode and Effect" venne ideata negli Stati Uniti d’America, allorquando la corsa all’armamento con la Russia costrinse a ridurre al minimo il tempo per la messa a punto di nuovi sistemi d’armamento. Si dovette rinunciare alla costruzione e al collaudo di prototipi. Ne risultò la necessità di far studiare da specialisti gli elementi chiamati "Quality Assurance Elements" già durante i lavori di costruzione. Uno di questi elementi è la sicurezza del sistema. Con l’analisi "Failure Mode and Effect" si parte dalle singole componenti del sistema e si esamina il modo in cui potrebbe subentrare un difetto. Indi, per ogni genere di difetto di ciascuna delle componenti, si analizzano le conseguenze sulle altre componenti del sistema e sul funzionamento del sistema nel suo complesso. I rischi per l’insieme del sistema sono ripartiti nelle seguenti quattro classi:

• Catastrofico: il sistema viene distrutto.

• Critico: si arrischi una distruzione se non si interviene immediatamente a correggere il difetto.

• Non critico: il funzionamento del sistema è pregiudicato senza che esista un pericolo di distruzione.

• Sicuro: nessuna conseguenza sul funzionamento del sistema.

Si valuta poi la probabilità di ogni genere di difetto di ciascuna delle componenti, formando parimenti quattro classi. Infine si esamina in che modo è possibile scoprire i difetti e quali possibilità di correzione si hanno a disposizione.

Questo metodo può sembrare primitivo, ma è però oltremodo efficace. La necessità di valutare le conseguenze e le probabilità di difetti mette a nudo tutti i punti deboli del sistema. Le modifiche da apportare a questi punti nevralgici danno un massimo di sicurezza con una spesa minima.

Di fronte a sistemi complessi, l’analisi "Failure Mode and Effect" ha tuttavia il campo d’azione limitato: impossibile risulta appunto poter abbracciare tutte le combinazioni e permutazioni dei difetti delle componenti.

Qui può essere d’aiuto solo la "Fault Tree Analysis" ideata nel 1961.

Quale punto di partenza per questo metodo è un difetto grave del sistema nel suo complesso. Si esamina, retrocedendo nelle azioni, ogni causa che potrebbe provocare tale difetto. Il comportamento errato del sistema, della parte del sistema e delle componenti è rappresentato in uno schema, chiamato l’albero degli errori. Esso è ricavato dallo schema di un circuito logico. Nell’allestire l’albero degli errori si inizia dall’alto con l’avvenimento indesiderato F, che va chiarito. Come simbolo si usa un rettangolo.

Si esamina ora quale parte del sistema o quali componenti hanno causato con il loro difetto l’avvenimento indesiderato F. Qualora quest’ultimo fosse provocato dal mancato funzionamento di una parte del sistema o di una componente qualsiasi, essa sarà da collegare graficamente con un elemento<oppure>.

Nel succitato esempio, l’avvenimento F sopravviene per il mancato funzionamento del sistema parziale AB o della componente C. Il mancato funzionamento del sistema parziale AB viene simboleggiato con un rettangolo, poiché si tratta di un avvenimento indesiderato che va ulteriormente analizzato.

Il circolo è il simbolo del mancato funzionamento di una componente.

Nel nostro esempio supponiamo che il sistema parziale AB sia composto delle componenti A e B in un circuito ridondante, ossia che l’avvenimento indesiderato AB accada solo per il mancato funzionamento simultaneo di A e B. Questi due elementi sono quindi da collegare con l’elemento <e>. L’albero completo degli errori per il sistema composto delle tre componenti A, B e C può essere schizzato ora nel modo seguente:

Ciò che è determinante con il metodo dell’albero degli errori, è che il problema può essere impostato matematicamente. La probabilità di un avvenimento indesiderato secondo un elemento <oppure> corrisponde alla somma delle probabilità degli errori. Per il caso dell’elemento <e>, si tratta del prodotto delle probabilità degli errori. Dall’esempio portato sopra, la formula per F è quindi:

F = A · B + C

Quando si conosce la probabilità d’errore delle singole componenti, è possibile stabilire il loro cosiddetto percorso critico. Nel sistema esaminato, le componenti A e B sono elementi costruttivi relativamente dubbi con la probabilità d’errori

X_A = X_B = 2 · 10 ^-4

La componente C è invece un elemento costruttivo sicuro con la probabilità d’errori

X_C = 4 · 10^-6

Da queste differenti probabilità è possibile calcolare la probabilità per un difetto dell’insieme del sistema F

X_F = X_A · X_B+X_C

nel modo seguente:

X_F = 4 · 10^-8 + 4 · 10^-6.

La probabilità d’errori critica è evidentemente quella della componente C. Nel caso concreto è quindi necessario migliorare ulteriormente la componente fidata. Nessun miglioramento importante della sicurezza del sistema si avrebbe adottando misure per le componenti A e B.

Questo metodo, descritto sulla base di un esempio molto semplice, è stato molto affinato negli Stati Uniti. Per aerei e veicoli spaziali, dei quali non esiste nemmeno il prototipo, è attualmente possibile esaminare la sicurezza del sistema per un equivalente a 500 milioni di ore di volo con un accettabile periodo di lavoro dell’elaboratore elettronico. Analisi della sicurezza del sistema di queste dimensioni sono la conseguenza logica dei progetti dell’ordine di grandezza di una realizzazione di veicoli di linea con velocità di Mach 3 o del programma d’esplorazione spaziale Apollo al quale lavorano pressoché 300 000 persone.

Per finire cerchiamo di trovare il denominatore comune che può essere applicabile ai compiti della prevenzione degli infortuni. A questo punto torna sicuramente opportuno menzionare alcune parole scritte da Karl Jaspers nel suo libro "Della verità".

"Solo chi effettivamente possiede il sapere ed il potere, ed è perciò in grado di rispondere senza limitazioni a tutte le domande, ha il diritto all’autorità come specialista. Come persona che subisce l’azione ha però il diritto al sapere solo chi, nel sapere, sa discernere il senso e le possibilità dello scibile".