Il fattore umano nella valutazione del rischio Paolo Genovesi, Carlo Domenico Ronzino, Luigi Guerrucci, Agnese Parente III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO Tecnologie e Regolamentazione per la Competizione Roma, 7 giugno 2013 Sommario Introduzione: Perché studiare il fattore umano? Metodologia di analisi quali – quantitativa del fattore umano: 1. Analisi Gerarchica delle Mansioni; 2.Identificazione delle modalità di errore; 3.Quantificazione della probabilità di errore; 4.Calcolo del Fattore di sicurezza (Fs). Conclusioni e sviluppi futuri III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Perché studiare il Fattore Umano? (1/2) Le comuni tecniche di valutazione dell’affidabilità dei sistemi analizzano il sistema dal punto di vista strettamente tecnologico e meccanico, non sempre tenendo presente l’aspetto legato alla performance umana. Lo studio approfondito del fattore umano storicamente inizia con l’incidente di Three Mile Island del 1979. A partire da questo inizia a palesarsi la necessità di analizzare e gestire il rischio che può sorgere non solo a livello di componentistica tecnica, ma anche a livello di azioni del singolo operatore. III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Perché studiare il Fattore Umano? (2/2) Nel processo di progettazione normativa all’interno di Rete Ferroviaria Italiana, la valutazione del fattore umano è storicamente basata sui ritorni di esperienza e sui giudizi di gruppi di esperti. In un’ottica di razionalizzazione dei processi, tale approccio, che finora ha garantito un buon livello di affidabilità, dovrebbe essere superato con l’introduzione di un metodo che garantisca la tracciabilità dell’intero processo attuato. Malavasi, 2012 III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 La progettazione dei documenti normativi – P16 Ingegnerizzazione del processo di progettazione normativa Analisi quali-quantitativa del fattore umano Ingegnerizzazione del processo di valutazione del fattore umano Elaborazione Metodologia di Analisi quali-quantitativa del fattore umano INPUT Procedura METODOLOGIA Analisi gerarchica delle mansioni Identificazione delle modalità di errore Quantificazione della probabilità di errore OUTPUT Probabilità di errore Fattore di sicurezza ANALISI Analisi dei rischi Analisi multicriteria III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Analisi gerarchica delle mansioni (1/3) La tecnica di Analisi Gerarchica delle Mansioni è utilizzata per comprendere le interazioni “uomo - macchina” e “uomo – uomo” esistenti in un sistema e per scomporre ciascuna attività in singoli passi. Può essere definita come: “… lo studio delle azioni richieste ad un operatore o ad un team di operatori per raggiungere gli obiettivi di sistema, attraverso la raccolta di informazioni sui compiti assegnati, l’analisi dei dati, la rappresentazione e la preparazione della documentazione” Kirwan e Ainsworth (1992) III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Analisi gerarchica delle mansioni (2/3) INIZIO Stabilire mansione Stabilire prossima mansione Stabilire sotto-mansione e operazioni subordinate Considerare la prima/successiva sub operazione Pianificazione FINE È necessaria un’ulteriore descrizione? No Sì Sì Ci sono altre mansioni? No III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Analisi gerarchica delle mansioni (3/3) Procedura Analisi gerarchica delle mansioni 1. Operazione 0. Mansione 2. Operazione 1.1 SubOperazione 1.2 SubOperazione 2.1 Suboperazione 1.2.1 SubOperazione 1.2.2 SubOperazione SubOperazione 2.2 SubOperazione n. Operazione 2.3 SubOperazione n.1. SubOperazione n.1.1 SubOperazione n.2 SubOperazione n.1.2 SubOperazione III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Metodologia di Analisi quali-quantitativa del fattore umano INPUT Procedura METODOLOGIA Analisi gerarchica delle mansioni Identificazione delle modalità di errore Quantificazione della probabilità di errore OUTPUT Probabilità di errore Fattore di sicurezza ANALISI Analisi dei rischi Analisi multicriteria III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Metodi basati sulla tassonomia - Descrizione SHERPA (Systematic Human Error Reduction and Prediction Approach) TRACEr (Technique for Retrospective Analysis of Cognitive Errors in Air Traffic Management) PHEA (Predictive Human Error Analysis technique) La descrizione delle attività è sviluppata con il metodo HTA, mansione per mansione, determinando i potenziali errori. Per ciascuna mansione viene applicata una tassonomia dei tipi di errore. Per ciascun tipo di errore viene fatto l’assessment della probabilità e conseguenze sulle prestazioni del sistema. Vengono poi identificati i potenziali rimedi. Predice gli errori umani che possono avvenire in un sistema ATM e per derivare misure di riduzione dell’errore. Aiuta ad identificare e classificare gli aspetti mentali dell’errore, le opportunità di recupero e il contesto dell’errore, includendo quei fattori che aggravano la situazione. Comprende una checklist di errori umani. L’analisi è composta da 4 steps: 1) Identificare per ogni mansione gli errori che possono procurare un incidente; 2)Specificare la natura dell' errore; 3)Identificare possibili rimedi; 4)Raccomandare misure preventive. Estensione dell’HAZOP per il campo HE-HAZOP delle procedure performate (Human Error dall’operatore umano, in cui oltre HAzard and all’identificazione dell’errore si Operability study) provvede a capirne la causa per ottenere più efficacemente una sua riduzione. Può essere applicata in maniera sia CREAM prospettiva, per prevedere quale sarà (Cognitive l’effetto di un’azione iniziale, che Reliability retrospettiva, per ricercare quale è and Error stata la causa iniziale. Il metodo va Analysis oltre la classificazione binaria Method) successo/fallimento, ma permette anche di evidenziare come il contesto influenzi le azioni umane. Serve per identificare significativi errori umani tipicamente non inclusi nel PSAs per impianti nucleari, es. ATHEANA Errori di commissioni. Vengono (A Technique identificate for le azioni insicure che potrebbero Human Error causare eventi indesiderati. Si cerca ANAlysis) poi di spiegare perché tali azioni avvengono. Una fase chiave è, quindi, l’assessment. III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Identificazione delle modalità di errore Tipo di errore Codice Modalità di errore A1 Operazione troppo lunga/corta 0. Mansione A2 Operazione eseguita nel momento sbagliato A3 Operazione inella direzione errata A4 Operazione in meno/di troppo 1. 2. n. 0. Mansione Operazione Operazione Operazione A5 Disallineare Errori di azione A6 Operazione giusta con l'oggetto sbagliato A7 Operazione errata con l'oggetto giusto 1.1 Sub1.2 Sub2.1 Sub2.2 Sub2.3 Subn.1. Subn.2 SubA8 Operazione Operazione Operazione operazione Operazione omessa Operazione Operazione Operazione 1. 2. n. A9 Operazione incompleta Operazione Operazione Operazione A10 Operazione errata con l'oggetto errato 1.2.1 Sub1.2.2 SubSub- C1 n.1.1 Subn.1.2 SubControllo omesso Operazione Operazione Operazione Operazione Operazione C2 Controllo incompleto C3 Controllo giusto con l'oggetto sbagliato Errori di controllo 1.1 Sub1.2 Sub2.1 Sub2.2 Sub2.3 Subn.1. C4 Controllo errato conSubl'oggetto giusto n.2 SubOperazione Operazione operazione Operazione Operazione Operazione Operazione C5 Controllo eseguito nel momento errato C6 Controllo errato con l'oggetto errato R1 Informazione non ottenuta Errori di recupero R2 Ottenuta informazione errata Step Modalità Conseguenze 1.2.1 Sub1.2.2 Sub- di errore Sub- Descrizione n.1.1 Sub-Recupero n.1.2 SubR3 Recupero dell'informazione incompleto Operazione Operazione Operazione Operazione Operazione comunicata 1.1 A/C/R/I/S … … I1 Informazione nonstep i.j Errori di I2 Comunicata informazione errata i.j A/C/R/I/S … comunicazione … I3 Comunicazione incompleta … dell'informazione S1 Scelta omessa … A/C/R/I/S … Errori di scelta …S2 Scelta errata … Tassonomia degli errori ,metodo SHERPA (Embrey, 1986) Step più basso della AGM Identificazione modalità di errore Descrizione Conseguenze “Recupero” n.m A/C/R/I/S … … … III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Metodologia di Analisi quali-quantitativa del fattore umano INPUT Procedura METODOLOGIA Analisi gerarchica delle mansioni Identificazione delle modalità di errore Quantificazione della probabilità di errore OUTPUT Probabilità di errore Fattore di sicurezza ANALISI Analisi dei rischi Analisi multicriteria III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Tecniche di quantificazione - Descrizione HEART (Human Error Assessment and Reduction Technique) THERP (Technique for Human Error Rate Prediction ) Quantifica l’errore umano nelle azioni di un operatore, considerando il tipo di mansione, l’ergonomia e i fattori ambientali che possono influire sulle prestazioni. Viene quantificato l‘effetto di ogni fattore sulla prestazione. La probabilità di errore umano viene quindi calcolata come funzione del prodotto dei fattori identificati per una mansione. Predice la probabilità di errore umano e valuta il degrado di un sistema uomo-macchina, causato da errore umano, malfunzionamento di componenti, procedure ecc. THERP provvede a una misura quantitativa dell’errore umano in un processo ed è un metodo standard molto utilizzato in ambito industriale. SLIM (Success Likelihood Index Methodology) APJ (Absolute Probability Judgement) PC (Paired Comparisons) Stima la probabilità di errore umano. È costituito da due moduli: MAUD (Multi-Attribute Utility Decomposition) per l’analisi di mansione in cui vi è probabilità di errore umano; e SARAH (Systematic Approach to the Reliability Assessment of Humans) per trasformare probabilità di successo in Probabilità di Errore Umano (HEP). È il metodo più diretto per la quantificazione della HEP. Si basa sul giudizio di uno o più esperti in fattori umani. Ci sono 4 metodi principali: metodo individuale aggregato, metodo Delphi, tecnica a gruppo nominale e a gruppo di consenso. Stima la probabilità di errore umano, confrontando gli errori a coppie, chiedendo a esperti quale errore è più probabile. Viene costruita una matrice di comparazione per vedere quale elemento è più importante e deve essere migliorato. Ne risulta una classifica di errori umani con le loro probabilità. III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Tecniche di quantificazione - Confronto Humphreys, 1988 III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Quantificazione della probabilità di errore Probabilità di errore umano P = P0 *∏i PFi Probabilità nominale di errore Generiche mansioni P0 A Completamente nuova, eseguita velocemente senza la reale idea delle possibili conseguenze 0,55 Cambiare/riportare il sistema in un nuovo stato/nello stato iniziale con un solo tentativo senza procedure di controllo B C Compito complesso che richiede un elevato livello di comprensione e competenza D Compito abbastanza semplice eseguito rapidamente o con poca attenzione E Compito routinario che richiede un non elevato livello di competenze 0,26 F Cambiare/riportare il sistema nello stato iniziale o in un nuovo stato seguendo procedure + controllo Compito completamente familiare, ben progettato, routinario, che ricorre diverse volte per ora, eseguito secondo i migliori standard, da persone molto motivate, ben formate e con esperienza, completamente consapevoli delle G implicazioni di un esito negativo, con il tempo necessario per correggere un potenziale errore ma senza aiuti significativi Rispondere correttamente ad un comando di sistema anche in presenza di un sistema automatizzato di supervisione che fornisce interpretazione accurata dello stato del sistema M Compito per il quale non è disponibile alcuna descrizione H Generiche mansioni -HEART (Kirwan, 1994) III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 0,16 0,09 0,02 0,003 0,0004 0,000002 0,03 Quantificazione della probabilità di errore Probabilità di errore umano Condizione favorevole all’errore P = P0 *∏i PFi PFi ={( CFEi -1) * Api +1} Fattore di performance Fattore di peso Condizioni favorevoli all'errore Condizioni favorevoli all’errore – HEART (Kirwan, 1994) CFE 1 Poca familiarità con una situazione nuova o infrequente, potenzialmente importante 17 2 Mancanza di tempo per il rilevamento o la correzione dell'errore 3 Segnali disturbati o confusi 4 Strumenti di annullamento dell'informazione o per poterla non considerare 11 10 9 5 Nessun mezzo per far arrivare, fisicamente o funzionalmente, l'informazione all'operatore 9 6 7 8 9 10 11 12 13 14 15 16 17 8 8 6 6 5 5 4 4 4 3 3 3 Interfaccia di sistema/utente inadeguata Nessun chiaro mezzo per recuperare un'azione involontaria Sovraccarico di informazioni Tecnica dimenticata Trasferimento di informazioni da un compito ad un altro Poca chiarezza negli standard relativi alle performance attese Discrepanza tra il rischio reale e quello percepito Feed-back inadeguato, ambiguo o non contestualizzato Nessuna conferma chiara/diretta/tempestiva dal sistema dell'azione voluta Inesperienza Scarse istruzioni o procedure Controllo o analisi degli output poco o del tutto non oggettivi III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Come tener conto del Recupero? Gli eventi si considerano stocasticamente indipendenti. In presenza di Recupero, si calcola la probabilità congiunta dei due eventi indipendenti, pari al prodotto delle rispettive probabilità. P(i ∩ j) = Pi x P j Step Modalità di errore 1.1 A/C/R/I/S … … 1.2 A/C/R/I/S … … 1.3 A/C/R/I/S … 1.4 A/C/R/I/S n.m A/C/R/I/S Descrizione Conseguenze Recupero P0 P Pfinale i P01 P1 P1 1 step 1.1 P02 P2 P1 x P2 2 … … P03 P3 P3 3 … … step 1.3 P04 P4 P3x P4 4 … … … P0n Pn Pn n III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Scelta dell’indicatore (1/2) Caratteristiche : Fattore di sicurezza Fs (Pi ; n) n Pi (Probabilità di errore) (Numero di attività affidate all’uomo) Step Modalità di errore 1.1 A/C/R/I/S … … 1.2 A/C/R/I/S … … 1.3 A/C/R/I/S … 1.4 A/C/R/I/S n.m A/C/R/I/S Descrizione Conseguenze Recupero P0 P Pfinale i P01 P1 P1 1 step 1.1 P02 P2 P1 x P2 2 … … P03 P3 P3 3 … … step 1.3 P04 P4 P3x P4 4 … … … P0n Pn Pn n III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Scelta dell’indicatore (2/2) Definizione: Dato il vettore Pfinale, di n elementi Pi, si definisce Fattore di sicurezza, l’inverso della norma di tale vettore. Fattore di sicurezza Step Modalità di errore 1.1 A/C/R/I/S … … 1.2 A/C/R/I/S … … 1.3 A/C/R/I/S … 1.4 A/C/R/I/S n.m A/C/R/I/S Descrizione Conseguenze Recupero P0 P Pfinale i P01 P1 P1 1 step 1.1 P02 P2 P1 x P2 2 … … P03 P3 P3 3 … … step 1.3 P04 P4 P3x P4 4 … … … P0n Pn Pn n III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Fattore di sicurezza (1/2) L’indicatore è efficace per il confronto tra varianti di una stessa procedura. E’ possibile analizzare determinandone il: nel dettaglio le singole macro-attività, • Fattore di sicurezza globale (Fs); • Fattore di sicurezza specifico (Fs/nattività). Variante1 Macro-attività Fsi nattività Fsi/nattività Variante 2 Fsi nattività Fsi/nattività 1 2 3 4 n III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Fattore di sicurezza (2/2) E’, inoltre, possibile introdurre il Fattore di sicurezza all’interno di un’AMC per indirizzare le scelte progettuali verso soluzioni che massimizzino il rapporto tra Benefici (Fs) e Impatti. Beneficio Variante Impatto I0 ** B0* 1 2 n pesi X Y Z Fs1 x1** y1** Fs2 x2 y2 Fsn xn yn i : B0i /I0i = max I0* B0*/I0* z1** (x1*X+y1*Y+z1*Z)/S(X+Y+Z) B*1/I*1 B*2/I*2 z2 zn - B*n/I*n *Fattori normalizzati; ** I0 Impatto (es:ritardo treni; durata interruzioni, personale coinvolto, ecc.) III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Conclusioni Il lavoro presenta alcuni aspetti di una innovativa metodologia di analisi del fattore umano a supporto della progettazione della normativa di sicurezza della circolazione. La metodologia si basa su tecniche qualitative e quantitative opportunamente modificate ed integrate, dedotte dall’analisi della letteratura tecnica di settore. Nel modulo quantitativo si è tenuto conto del Recupero. E’ stato introdotto un indicatore sintetico (Fattore di sicurezza) per il confronto tra varianti di procedura. III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Sviluppi futuri Lo studio necessiterà di ulteriori approfondimenti riguardo alla definizione quantitativa della probabilità nominale e delle condizioni favorevoli all’errore, a valle anche di opportune applicazioni a casi concreti. III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013 Il fattore umano nella valutazione del rischio Paolo Genovesi, Carlo Domenico Ronzino, Luigi Guerrucci, Agnese Parente Grazie per l’attenzione. III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO Tecnologie e Regolamentazione per la Competizione Roma, 7 giugno 2013