Il fattore umano nella valutazione dei rischio

Il fattore umano
nella valutazione del rischio
Paolo Genovesi, Carlo Domenico Ronzino, Luigi Guerrucci, Agnese Parente
III Convegno Nazionale
SICUREZZA ED ESERCIZIO FERROVIARIO
Tecnologie e Regolamentazione per la Competizione
Roma, 7 giugno 2013
Sommario
 Introduzione: Perché studiare il fattore umano?
 Metodologia di analisi quali – quantitativa del fattore umano:
1. Analisi Gerarchica delle Mansioni;
2.Identificazione delle modalità di errore;
3.Quantificazione della probabilità di errore;
4.Calcolo del Fattore di sicurezza (Fs).
 Conclusioni e sviluppi futuri
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Perché studiare il Fattore Umano?
(1/2)
Le comuni tecniche di valutazione dell’affidabilità dei sistemi analizzano
il sistema dal punto di vista strettamente tecnologico e meccanico, non
sempre tenendo presente l’aspetto legato alla performance umana.
Lo studio approfondito del fattore umano storicamente inizia con l’incidente
di Three Mile Island del 1979.
A partire da questo inizia a palesarsi
la necessità di analizzare e gestire il
rischio che può sorgere non solo a
livello di componentistica tecnica,
ma anche a livello di azioni del
singolo operatore.
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Perché studiare il Fattore Umano?
(2/2)
Nel processo di progettazione normativa
all’interno di Rete Ferroviaria Italiana, la
valutazione del fattore umano è
storicamente basata sui ritorni di
esperienza e sui giudizi di gruppi di esperti.
In un’ottica di razionalizzazione dei
processi, tale approccio, che finora ha
garantito un buon livello di affidabilità,
dovrebbe
essere
superato
con
l’introduzione di un metodo che garantisca
la tracciabilità dell’intero processo attuato.
Malavasi, 2012
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
La progettazione dei documenti normativi – P16
Ingegnerizzazione
del processo di
progettazione
normativa
Analisi
quali-quantitativa
del fattore umano
Ingegnerizzazione
del processo di
valutazione del
fattore umano
Elaborazione
Metodologia di Analisi quali-quantitativa del fattore umano
INPUT
Procedura
METODOLOGIA
Analisi gerarchica
delle mansioni
Identificazione delle
modalità di errore
Quantificazione della
probabilità di errore
OUTPUT
Probabilità di errore
Fattore di sicurezza
ANALISI
Analisi dei rischi
Analisi multicriteria
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Analisi gerarchica delle mansioni (1/3)
La tecnica di Analisi Gerarchica delle Mansioni è utilizzata per
comprendere le interazioni “uomo - macchina” e “uomo – uomo”
esistenti in un sistema e per scomporre ciascuna attività in singoli
passi.
Può essere definita come:
“… lo studio delle azioni richieste ad un operatore o ad un team di
operatori per raggiungere gli obiettivi di sistema, attraverso la raccolta
di
informazioni
sui
compiti
assegnati,
l’analisi
dei
dati,
la
rappresentazione e la preparazione della documentazione”
Kirwan e Ainsworth (1992)
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Analisi gerarchica delle mansioni (2/3)
INIZIO
Stabilire
mansione
Stabilire
prossima
mansione
Stabilire sotto-mansione e operazioni
subordinate
Considerare la
prima/successiva
sub operazione
Pianificazione
FINE
È necessaria
un’ulteriore
descrizione?
No
Sì
Sì
Ci sono altre
mansioni?
No
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Analisi gerarchica delle mansioni (3/3)
Procedura
Analisi gerarchica
delle mansioni
1.
Operazione
0. Mansione
2.
Operazione
1.1 SubOperazione
1.2 SubOperazione
2.1 Suboperazione
1.2.1 SubOperazione
1.2.2 SubOperazione
SubOperazione
2.2 SubOperazione
n.
Operazione
2.3 SubOperazione
n.1. SubOperazione
n.1.1 SubOperazione
n.2 SubOperazione
n.1.2 SubOperazione
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Metodologia di Analisi quali-quantitativa del fattore umano
INPUT
Procedura
METODOLOGIA
Analisi gerarchica
delle mansioni
Identificazione delle
modalità di errore
Quantificazione della
probabilità di errore
OUTPUT
Probabilità di errore
Fattore di sicurezza
ANALISI
Analisi dei rischi
Analisi multicriteria
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Metodi basati sulla tassonomia - Descrizione
SHERPA
(Systematic
Human
Error
Reduction and
Prediction
Approach)
TRACEr
(Technique for
Retrospective
Analysis of
Cognitive Errors
in Air Traffic
Management)
PHEA
(Predictive
Human Error
Analysis
technique)
La
descrizione delle attività è sviluppata
con il metodo HTA, mansione per
mansione, determinando i potenziali
errori. Per ciascuna mansione viene
applicata una tassonomia
dei tipi di errore. Per ciascun
tipo di errore viene fatto l’assessment
della probabilità e conseguenze sulle
prestazioni del sistema. Vengono poi
identificati i potenziali rimedi.
Predice gli errori umani che possono
avvenire in un sistema ATM e per
derivare misure di riduzione
dell’errore. Aiuta ad identificare e
classificare gli aspetti mentali
dell’errore, le opportunità di
recupero e il contesto dell’errore,
includendo quei fattori che
aggravano la situazione.
Comprende una checklist di errori
umani. L’analisi è composta da 4
steps: 1) Identificare per ogni
mansione gli errori che possono
procurare un incidente; 2)Specificare
la natura dell' errore; 3)Identificare
possibili rimedi; 4)Raccomandare
misure preventive.
Estensione dell’HAZOP per il campo
HE-HAZOP
delle procedure performate
(Human Error
dall’operatore umano, in cui oltre
HAzard and
all’identificazione dell’errore si
Operability study)
provvede a capirne la causa per
ottenere più efficacemente una sua
riduzione.
Può
essere applicata in maniera sia
CREAM
prospettiva, per prevedere quale sarà
(Cognitive
l’effetto di un’azione iniziale, che
Reliability
retrospettiva, per ricercare quale è
and Error
stata la causa iniziale. Il metodo va
Analysis
oltre la classificazione binaria
Method)
successo/fallimento, ma permette
anche di evidenziare come il contesto
influenzi le azioni umane.
Serve per identificare significativi
errori umani tipicamente non inclusi
nel PSAs per impianti nucleari, es.
ATHEANA
Errori di commissioni. Vengono
(A Technique
identificate
for
le azioni insicure che potrebbero
Human Error
causare eventi indesiderati. Si cerca
ANAlysis)
poi di spiegare perché tali azioni
avvengono. Una fase chiave è, quindi,
l’assessment.
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Identificazione delle modalità di errore
Tipo di errore
Codice
Modalità di errore
A1
Operazione
troppo lunga/corta
0. Mansione
A2
Operazione eseguita nel momento sbagliato
A3
Operazione inella direzione errata
A4
Operazione
in meno/di troppo
1.
2.
n.
0. Mansione
Operazione
Operazione
Operazione
A5
Disallineare
Errori di azione
A6
Operazione giusta con l'oggetto sbagliato
A7
Operazione errata con l'oggetto giusto
1.1 Sub1.2 Sub2.1 Sub2.2 Sub2.3 Subn.1. Subn.2 SubA8
Operazione
Operazione
Operazione
operazione
Operazione omessa
Operazione
Operazione
Operazione
1.
2.
n.
A9
Operazione incompleta
Operazione
Operazione
Operazione
A10 Operazione errata con l'oggetto
errato
1.2.1 Sub1.2.2 SubSub- C1
n.1.1
Subn.1.2 SubControllo omesso
Operazione
Operazione
Operazione
Operazione
Operazione
C2
Controllo incompleto
C3
Controllo giusto con l'oggetto sbagliato
Errori
di controllo
1.1 Sub1.2 Sub2.1 Sub2.2 Sub2.3
Subn.1.
C4
Controllo errato
conSubl'oggetto giusto n.2 SubOperazione
Operazione
operazione
Operazione
Operazione
Operazione
Operazione
C5
Controllo eseguito nel momento errato
C6
Controllo errato con l'oggetto errato
R1
Informazione non ottenuta
Errori di recupero
R2
Ottenuta informazione
errata
Step Modalità
Conseguenze
1.2.1 Sub1.2.2 Sub- di errore
Sub- Descrizione
n.1.1 Sub-Recupero
n.1.2 SubR3
Recupero
dell'informazione
incompleto
Operazione
Operazione
Operazione
Operazione
Operazione
comunicata
1.1
A/C/R/I/S
…
… I1 Informazione nonstep
i.j
Errori di
I2
Comunicata informazione errata
i.j
A/C/R/I/S
… comunicazione … I3 Comunicazione incompleta
… dell'informazione
S1
Scelta omessa
…
A/C/R/I/S
… Errori di scelta …S2 Scelta errata
…
Tassonomia degli errori ,metodo SHERPA (Embrey, 1986)
Step più basso
della AGM
Identificazione
modalità di errore
Descrizione
Conseguenze
“Recupero”
n.m
A/C/R/I/S
…
…
…
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Metodologia di Analisi quali-quantitativa del fattore umano
INPUT
Procedura
METODOLOGIA
Analisi gerarchica
delle mansioni
Identificazione delle
modalità di errore
Quantificazione della
probabilità di errore
OUTPUT
Probabilità di errore
Fattore di sicurezza
ANALISI
Analisi dei rischi
Analisi multicriteria
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Tecniche di quantificazione - Descrizione
HEART
(Human Error
Assessment
and
Reduction
Technique)
THERP
(Technique for
Human
Error Rate
Prediction )
Quantifica l’errore umano nelle
azioni di un operatore, considerando
il tipo di mansione, l’ergonomia e i
fattori ambientali che possono
influire sulle prestazioni. Viene
quantificato l‘effetto di ogni fattore
sulla prestazione. La probabilità di
errore umano viene quindi calcolata
come funzione del prodotto dei
fattori identificati per una mansione.
Predice la probabilità di errore
umano e valuta il degrado di un
sistema uomo-macchina, causato da
errore umano, malfunzionamento di
componenti, procedure ecc. THERP
provvede a una misura quantitativa
dell’errore umano in un processo ed
è un metodo standard molto
utilizzato in ambito industriale.
SLIM
(Success
Likelihood
Index
Methodology)
APJ
(Absolute
Probability
Judgement)
PC
(Paired
Comparisons)
Stima la probabilità di errore umano.
È costituito da due moduli: MAUD
(Multi-Attribute Utility
Decomposition) per l’analisi di
mansione in cui vi è probabilità di
errore umano; e SARAH (Systematic
Approach to the Reliability
Assessment of Humans) per
trasformare probabilità di successo in
Probabilità di Errore Umano (HEP).
È il metodo più diretto per la
quantificazione della HEP.
Si basa sul giudizio di uno o più esperti
in fattori umani.
Ci sono 4 metodi
principali: metodo individuale
aggregato, metodo Delphi, tecnica a
gruppo nominale e a gruppo di
consenso.
Stima la probabilità di errore umano,
confrontando gli errori a coppie,
chiedendo a esperti quale errore è più
probabile. Viene costruita una
matrice di comparazione per vedere
quale
elemento è più importante e deve
essere migliorato. Ne risulta una
classifica di errori umani con le loro
probabilità.
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Tecniche di quantificazione - Confronto
Humphreys, 1988
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Quantificazione della probabilità di errore
Probabilità di errore
umano
P = P0 *∏i PFi
Probabilità nominale
di errore
Generiche mansioni
P0
A Completamente nuova, eseguita velocemente senza la reale idea delle possibili conseguenze
0,55
Cambiare/riportare il sistema in un nuovo stato/nello stato iniziale con un solo tentativo senza procedure di controllo
B
C Compito complesso che richiede un elevato livello di comprensione e competenza
D Compito abbastanza semplice eseguito rapidamente o con poca attenzione
E Compito routinario che richiede un non elevato livello di competenze
0,26
F
Cambiare/riportare il sistema nello stato iniziale o in un nuovo stato seguendo procedure + controllo
Compito completamente familiare, ben progettato, routinario, che ricorre diverse volte per ora, eseguito secondo i
migliori standard, da persone molto motivate, ben formate e con esperienza, completamente consapevoli delle
G
implicazioni di un esito negativo, con il tempo necessario per correggere un potenziale errore ma senza aiuti
significativi
Rispondere correttamente ad un comando di sistema anche in presenza di un sistema automatizzato di supervisione che
fornisce interpretazione accurata dello stato del sistema
M Compito per il quale non è disponibile alcuna descrizione
H
Generiche mansioni -HEART (Kirwan, 1994)
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
0,16
0,09
0,02
0,003
0,0004
0,000002
0,03
Quantificazione della probabilità di errore
Probabilità di errore
umano
Condizione
favorevole
all’errore
P = P0 *∏i PFi
PFi ={( CFEi -1) * Api +1}
Fattore di
performance
Fattore di peso
Condizioni favorevoli all'errore
Condizioni favorevoli all’errore –
HEART (Kirwan, 1994)
CFE
1 Poca familiarità con una situazione nuova o infrequente, potenzialmente importante
17
2 Mancanza di tempo per il rilevamento o la correzione dell'errore
3 Segnali disturbati o confusi
4 Strumenti di annullamento dell'informazione o per poterla non considerare
11
10
9
5 Nessun mezzo per far arrivare, fisicamente o funzionalmente, l'informazione all'operatore
9
6
7
8
9
10
11
12
13
14
15
16
17
8
8
6
6
5
5
4
4
4
3
3
3
Interfaccia di sistema/utente inadeguata
Nessun chiaro mezzo per recuperare un'azione involontaria
Sovraccarico di informazioni
Tecnica dimenticata
Trasferimento di informazioni da un compito ad un altro
Poca chiarezza negli standard relativi alle performance attese
Discrepanza tra il rischio reale e quello percepito
Feed-back inadeguato, ambiguo o non contestualizzato
Nessuna conferma chiara/diretta/tempestiva dal sistema dell'azione voluta
Inesperienza
Scarse istruzioni o procedure
Controllo o analisi degli output poco o del tutto non oggettivi
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Come tener conto del Recupero?
Gli eventi si considerano stocasticamente indipendenti.
In presenza di Recupero, si calcola la probabilità congiunta dei due
eventi indipendenti, pari al prodotto delle rispettive probabilità.
P(i ∩ j) = Pi x P j
Step
Modalità di
errore
1.1
A/C/R/I/S
…
…
1.2
A/C/R/I/S
…
…
1.3
A/C/R/I/S
…
1.4
A/C/R/I/S
n.m
A/C/R/I/S
Descrizione Conseguenze Recupero
P0
P
Pfinale
i
P01
P1
P1
1
step 1.1
P02
P2
P1 x P2
2
…
…
P03
P3
P3
3
…
…
step 1.3
P04
P4
P3x P4
4
…
…
…
P0n
Pn
Pn
n
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Scelta dell’indicatore (1/2)
Caratteristiche :
Fattore di sicurezza
Fs (Pi ; n)
n
Pi
(Probabilità di errore)
(Numero di attività
affidate all’uomo)
Step
Modalità di
errore
1.1
A/C/R/I/S
…
…
1.2
A/C/R/I/S
…
…
1.3
A/C/R/I/S
…
1.4
A/C/R/I/S
n.m
A/C/R/I/S
Descrizione Conseguenze Recupero
P0
P
Pfinale
i
P01
P1
P1
1
step 1.1
P02
P2
P1 x P2
2
…
…
P03
P3
P3
3
…
…
step 1.3
P04
P4
P3x P4
4
…
…
…
P0n
Pn
Pn
n
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Scelta dell’indicatore (2/2)
Definizione:
Dato il vettore Pfinale, di n elementi Pi, si definisce Fattore di sicurezza,
l’inverso della norma di tale vettore.
Fattore di sicurezza
Step
Modalità di
errore
1.1
A/C/R/I/S
…
…
1.2
A/C/R/I/S
…
…
1.3
A/C/R/I/S
…
1.4
A/C/R/I/S
n.m
A/C/R/I/S
Descrizione Conseguenze Recupero
P0
P
Pfinale
i
P01
P1
P1
1
step 1.1
P02
P2
P1 x P2
2
…
…
P03
P3
P3
3
…
…
step 1.3
P04
P4
P3x P4
4
…
…
…
P0n
Pn
Pn
n
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Fattore di sicurezza (1/2)
L’indicatore è efficace per il confronto tra varianti di una stessa procedura.
E’ possibile analizzare
determinandone il:
nel
dettaglio
le
singole
macro-attività,
• Fattore di sicurezza globale (Fs);
• Fattore di sicurezza specifico (Fs/nattività).
Variante1
Macro-attività
Fsi
nattività
Fsi/nattività
Variante 2
Fsi
nattività
Fsi/nattività
1
2
3
4
n
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Fattore di sicurezza (2/2)
E’, inoltre, possibile introdurre il Fattore di sicurezza all’interno di un’AMC
per indirizzare le scelte progettuali verso soluzioni che massimizzino il
rapporto tra Benefici (Fs) e Impatti.
Beneficio
Variante
Impatto
I0 **

B0*
1
2
n
pesi
X
Y
Z
Fs1
x1**
y1**
Fs2
x2
y2
Fsn
xn
yn
i :
B0i /I0i = max
I0*
B0*/I0*
z1** (x1*X+y1*Y+z1*Z)/S(X+Y+Z) B*1/I*1
B*2/I*2
z2
zn
-
B*n/I*n
*Fattori normalizzati;
** I0 Impatto (es:ritardo treni; durata interruzioni, personale coinvolto, ecc.)
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Conclusioni
 Il lavoro presenta alcuni aspetti di una innovativa metodologia
di analisi del fattore umano a supporto della progettazione
della normativa di sicurezza della circolazione.
 La metodologia si basa su tecniche qualitative e quantitative
opportunamente modificate ed integrate, dedotte dall’analisi
della letteratura tecnica di settore.
 Nel modulo quantitativo si è tenuto conto del Recupero.
 E’ stato introdotto un indicatore sintetico (Fattore di
sicurezza) per il confronto tra varianti di procedura.
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Sviluppi futuri
 Lo studio necessiterà di ulteriori approfondimenti
riguardo alla definizione quantitativa della probabilità
nominale e delle condizioni favorevoli all’errore, a valle
anche di opportune applicazioni a casi concreti.
III Convegno Nazionale SICUREZZA ED ESERCIZIO FERROVIARIO - Roma, 7 giugno 2013
Il fattore umano
nella valutazione del rischio
Paolo Genovesi, Carlo Domenico Ronzino,
Luigi Guerrucci, Agnese Parente
Grazie per l’attenzione.
III Convegno Nazionale
SICUREZZA ED ESERCIZIO FERROVIARIO
Tecnologie e Regolamentazione per la Competizione
Roma, 7 giugno 2013