A

Giovanni Di Giorgio

Studi sui modelli e sui metodi di analisidegli incidenti aeronautici

Dai risultati della ricerca alle applicazioni

Aracne editrice

www.aracneeditrice.it

Copyright © MMXXGioacchino Onorati editore S.r.l. – unipersonale

www.gioacchinoonoratieditore.itinfo@gioacchinoonoratieditore.it

via Vittorio Veneto, Canterano (RM)

()

----

I diritti di traduzione, di memorizzazione elettronica,di riproduzione e di adattamento anche parziale,

con qualsiasi mezzo, sono riservati per tutti i Paesi.

Non sono assolutamente consentite le fotocopiesenza il permesso scritto dell’Editore.

I edizione: novembre

A mio fratello Francesco

‹‹La probabilità di un successo

è uguale al numero dei casi favorevoli

diviso per il numero di tutti i casi possibili››

(Regola di Laplace, anno 1774)

9

Indice

11 Prefazione

13 Note sull’autore

15 Sigle ed abbreviazioni

17 Capitolo I

Introduzione ai modelli e ai metodi di analisi degli incidenti 1.1. Gli incidenti nei settori complessi ad alta tecnologia, 17 – 1.2. Le funzioni prin-

cipali dei modelli e dei metodi di analisi degli incidenti, 19 – 1.3. L’aviazione civile

internazionale e la definizione di incidente, 21 – Bibliografia, 22

25 Capitolo II

Modelli e metodi di analisi degli incidenti nei settori ad alta

tecnologia 2.1. Evoluzione dei modelli e dei metodi di analisi, 25 – 2.1.1. Il tema della classifi-

cazione dei modelli e dei metodi di analisi degli incidenti, 27 – 2.1.2. Il riconosci-

mento nella pratica di metodi e modelli, 30 – 2.2. Modelli e metodi di analisi degli

incidenti basati sulla Sequenza degli Eventi, 30 – 2.3. Strumenti di analisi degli inci-

denti della classe Epidemiological Models and Methods, 32 – 2.3.1. Origine dei mo-

delli e lo Swiss Cheese Model di Reason, 32 – 2.3.2. Le tecniche basate sullo Swiss

Cheese Model di Reason, 34 – 2.3.3. Il modello Tripod Beta, 35 – 2.4. Modelli di

analisi sistemici, approcci e metodi sistemici, 36 – 2.4.1. Rasmussen’s Socio-

Technical Framework e tecnica di rappresentazione Accimap, 37 – 2.4.2. Il modello

STAMP, 42 – 2.4.3. Il metodo FRAM, 46 – 2.5. Ulteriori approcci applicabili

all’analisi degli incidenti, 49 – 2.6. Considerazioni finali, 50 – 2.6.1. Proprietà dei

metodi di analisi, 51 – Bibliografia, 54

61 Capitolo III

Applicazioni dei modelli e dei metodi di analisi agli incidenti

aeronautici 3.1. Introduzione, 61 –3.2. Il modello SHEL, 63 – 3.2.1. Le interfacce del modello,

65 – 3.3. Il modello “Swiss Cheese” di Reason, 66 – 3.3.1. Sviluppo ed evoluzioni

del modello, 66 – 3.3.2. Un’applicazione del modello di Reason, 71 – 3.4.

Un’applicazione del metodo FRAM, 76 – 3.5. Investigazione del sistema organizza-

tivo mediante il modello SIX “M”, 82 – 3.6. Il metodo HFACS, 85 – 3.7. ATSB in-

10 Indice

vestigation analysis model, 88 – 3.7.1. Alcune differenze rispetto al modello di Rea-

son, 90 – 3.7.2. Le rappresentazioni grafiche adottate dal modello, 91 – 3.7.3. Con-

siderazioni finali, 91 – Bibliografia, 93

97 Capitolo IV

Studi sulle relazioni Causa-Effetto negli incidenti 4.1. Introduzione, 97 – 4.2. Gli aspetti basici delle relazioni causa-effetto, 98 – 4.3.

L’analisi delle barriere nei sistemi complessi, 99 – 4.3.1. Verifiche ed ulteriori clas-

sificazioni delle barriere, 101 – 4.4. Gli elementi basici di costituzione di un model-

lo, 103 – Bibliografia, 105

107 Capitolo V

I fondamenti di Root Cause Analysis in aeronautica 5.1. Introduzione alla RCA, approcci reattivi, proattivi e predittivi, 107 – 5.2. Obiet-

tivi della RCA nel settore aeronautico, 109 – 5.3. Impostazione e sviluppo della

RCA nel settore aeronautico, 110 – 5.3.1. Il contesto di applicazione della RCA nelle

occorrenze rilevanti, 113 – 5.4. Metodo 5-Why’s, 116 – 5.5. Ishikawa o Fishbone

Diagram, 119 – 5.5.1. Applicazione ad un processo di montaggio strutturale, 121 –

5.6. FMEA, 124 – 5.7. Metodologia 8D per la RCA, 127 – 5.7.1, La struttura del

metodo 8D, 127 – 5.8. La tecnica 5M – Checklist, 131 – 5.8.1. Le origini del concet-

to di checklist in aeronautica, 133 – Bibliografia, 135

137 Capitolo VI

Root Cause Analysis in aeronautica. Approfondimenti 6.1. Introduzione, 137 – 6.2. Events and Causal Factor Analysis, 138 – 6.3. Il meto-

do Change Analysis, 141 – 6.4. Fault Tree Analysis, 143 – 6.4.1. Introduzione, 143

– 6.4.2. Costruzione del modello e simbologia, 144 – 6.4.3. Cenni al superamento di

alcuni limiti della FTA mediante la metodologia Markov Analysis, 150 – Bibliogra-

fia, 153

155 Indice delle Figure

157 Indice delle Tabelle

159 Indice Analitico

11

Prefazione

In letteratura scientifica ricorrono frequentemente diversi quesiti rela-

tivi al materiale documentale disponibile per la presentazione e per la

guida alla conoscenza dei modelli e dei metodi di analisi ed investiga-

zione degli incidenti nei settori complessi ad alta tecnologia. Viene al-

tresì posta in evidenza l’importanza della fruibilità pratica degli studi,

dovuta in larga parte alle analisi critiche in merito alle caratteristiche

delle metodologie stesse, ed alle applicazioni significative affrontate

dai ricercatori. Questa mole di lavori contribuisce notevolmente a faci-

litare la proliferazione e l’evoluzione dei modelli, delle tecniche di-

sponibili, e della conoscenza dei relativi molteplici aspetti. Poi, gli

studi che descrivono le condizioni di applicazione, la natura e la quan-

tità delle risorse necessarie per l’utilizzo di ciascuna tecnica, i relativi

benefici applicativi e le limitazioni, le conoscenze preliminari indi-

spensabili all’analista, completano il quadro dell’evoluzione e dello

stato dell’arte della materia.

Questo lavoro si inserisce in tale contesto, con l’obiettivo di racco-

gliere i principi di alcuni dei molteplici contributi fondamentali e di-

sponibili sull’argomento in letteratura scientifica internazionale, e di

facilitare la consultazione, in un unico compendio aggiornato, di mate-

riale derivante da una quantità relativamente vasta di lavori, anche in

arco temporale.

La pretesa di essere esaustivi e completi non appartiene a questo

lavoro, in quanto diverso materiale non ha potuto trovare spazio

all’interno dei percorsi presentati, per efficacia dell’esposizione.

Gli argomenti trattati nel testo sono affrontati mediante un approc-

cio in cui il processo di investigazione di un incidente aeronautico è

concepito come quel processo complesso il cui unico obiettivo è la

prevenzione degli incidenti. Al Capitolo I è affidata l’introduzione agli

strumenti di analisi. Il Capitolo II presenta i fondamenti dei modelli e

dei metodi di analisi degli incidenti nei sistemi complessi, tipici dei

settori ad alta tecnologia, nei quali generalmente il contesto degli

12 Prefazione

eventi e delle condizioni è caratterizzato dalla combinazione e

dall’interazione di molti fattori. Inoltre, gli argomenti affrontati costi-

tuiscono una base di conoscenze propedeutiche ai successivi capitoli,

ed evidenziano le differenze, i punti di forza e gli inevitabili limiti dei

diversi strumenti di analisi. Il Capitolo III introduce alcuni tra i princi-

pali modelli e metodi di analisi degli incidenti di riferimento nel con-

testo internazionale del settore aeronautico, con applicazioni a suppor-

to della parte teorica. La trattazione evidenzia anche il contributo no-

tevolissimo che il settore aeronautico fornisce da decenni

all’evoluzione degli strumenti di analisi degli incidenti e, in termini

generali, degli eventi inattesi significativi. Il Capitolo IV riprende gli

aspetti basici delle relazioni causa-effetto e degli elementi fondamen-

tali che costituiscono la struttura portante di un modello. I Capitoli V e

VI affrontano le metodologie fondamentali di analisi dal punto di vista

dei processi di Root Cause Analysis (o di Analisi delle Cause Profon-

de) del settore aeronautico evidenziando, oltre all’approccio reattivo,

anche le potenzialità di alcune tecniche dal punto di vista degli ap-

procci di tipo proattivo e predittivo.

Giovanni Di Giorgio

Roma, 12 Settembre 2020

13

Note sull’autore

Giovanni Di Giorgio ha conseguito la Laurea in Ingegneria Aeronau-

tica nel 2000 presso l’Università degli Studi di Napoli Federico II;

nello stesso anno, ha conseguito l’abilitazione all’esercizio della pro-

fessione di Ingegnere. Dal 2001 svolge la sua attività di Ingegnere Ae-

ronautico in AgustaWestland, ora Leonardo Helicopters Division,

presso cui è attualmente responsabile dell’area Manufacturing Process

del Manufacturing Engineering dello stabilimento di Frosinone. Ha

acquisito una lunga esperienza professionale attraverso numerosi e ri-

levanti programmi produttivi internazionali e nazionali per elicotteri

per usi civili e governativi, nei sistemi rotori e comandi rotanti, tra-

smissioni e strutture di elicotteri leggeri, intermedi e pesanti (operando

anche sugli elicotteri a doppio rotore in tandem e sul convertiplano tilt

rotor). In particolare, ha acquisito una significativa esperienza profes-

sionale nell’ambito delle costruzioni aeronautiche, delle tecnologie dei

processi speciali e dei materiali aerospaziali metallici ed in composito.

Nel 2012 ha frequentato e superato lo Short Program Data, Models

and Business presso il MIT, Massachusetts Institute of Technology di

Boston MA (USA). Nel 2014, presso il Training Center di Ashburn

VA (USA) del National Transportation Safety Board, ha frequentato e

superato il Corso NTSB Aircraft Accident Investigation. È stato rela-

tore e docente in seminari relativi all’investigazione degli incidenti ae-

ronautici rivolti a Ricercatori universitari e ad Investigatori aeronauti-

ci. Ha partecipato a tavole rotonde operative sulla Root Cause Analy-

sis in contesti internazionali dell’industria aerospaziale. Inoltre, dal

2018 è Docente a contratto presso il corso di Laurea Magistrale in In-

gegneria Aerospaziale dell’Università degli Studi di Napoli Federico

II, con incarico di didattica integrativa nel corso di Aerodinamica

dell’Ala Rotante. È stato relatore, su invito, in numerosi seminari sulle

Prestazioni di volo degli elicotteri per allievi di Ingegneria Aerospa-

ziale dell’Università degli Studi di Napoli Federico II, e di seminari

sull’introduzione all’Aerodinamica e principi del volo degli elicotteri

14 Note sull’autore

rivolti agli allievi Piloti dell’Accademia Aeronautica di Pozzuoli. È

stato relatore in congressi internazionali per le prove di volo di lavori

sull’analisi di missione di volo e sul calcolo delle prestazioni degli eli-

cotteri mediante metodi della classe dell’Intelligenza Artificiale.

Il Dottor Ingegner Di Giorgio è l’autore dei seguenti libri:

— Theory of Helicopter Flight. Aerodynamics - Flight Mechanics.

Editore Aracne, Roma, 2018;

— Fondamenti di fenomenologia della fatica e della tensocorrosione

nelle strutture aeronautiche. Editore Aracne, Roma, 2014;

— Teoria del volo dell’elicottero. Aerodinamica–Meccanica del volo.

Aracne, Roma. Prima Ediz. nel 2007, Seconda Ediz. nel 2009.

È iscritto all’Albo professionale, Sezione A, dell’Ordine degli Inge-

gneri della Provincia di Campobasso, ed è membro di SFTE - Society

of Flight Test Engineers.

15

Sigle ed abbreviazioni

ATSB Australian Transport Safety Bureau

DOE U.S. Department of Energy

ECF Events and Causal Factors

EEC Eurocontrol Experimental Centre

ETTO Efficiency-Thoroughness Trade-Off

FMEA Failure Modes and Effects Analysis

FRAM Functional Resonance Analysis Method (in precedenza

anche Functional Resonance Accident Model)

FTA Fault Tree Analysis

HA Hazard Analysis

HFCAS Human Factor Analysis and Classification System

ICAO International Civil Aviation Organization

MA Markov Analysis

MORT Management Oversight and Risk Tree

RCA Root Cause Analysis

RCCA Root Cause Corrective Action

Sigle ed abbreviazioni 16

SCM Swiss Cheese Model

STAMP Systemic Theoretic Analysis Model and Processes

STPA Systems-Theoretic Processes Analysis

17

Capitolo I

Introduzione ai modelli ed ai metodi

di analisi degli incidenti

1.1. Gli incidenti nei settori complessi ad alta tecnologia

Risale al 1653 la rilevante corrispondenza tra Fermat e Pascal sugli

aspetti matematici della Teoria della probabilità: le modalità logiche

di analisi proposte, i problemi sulla prevedibilità degli eventi formulati

dai due scienziati costituiscono di fatto le fondamenta della Risk Ana-

lysis quantitativa moderna. Per Fermat e Pascal il tentativo notevole

da conseguire è quello di conciliare il rigore proprio delle dimostra-

zioni della scienza con il concetto di “incertezza del caso”. A partire

da tali concezioni fondamentali, Christian Huygens svilupperà i suoi

studi che saranno poi ripresi da altri illustri scienziati (ad esempio

Bernoulli), fino ad arrivare al periodo contemporaneo.

Nella società contemporanea, il concetto di incidente rilevante

coincide, in termini generali, con un evento inatteso e di natura disa-

strosa, caratterizzato da danni che possono riguardare gli esseri umani,

i beni mobili ed immobili, i servizi e l’ambiente.

A partire dalla seconda guerra mondiale, il progresso scientifico e

tecnologico ha portato gli esseri umani ad operare in contesti caratte-

rizzati da sistemi, servizi ed organizzazioni cresciuti rapidamente in

complessità, di pari passo con il relativo progresso delle tecnologie

impiegate. È evidente anche che l’interazione dell’uomo con il conte-

sto circostante (pensiamo ad esempio alle prestazioni richieste agli es-

seri umani) ha dovuto subire inevitabili trasformazioni. In particolare,

i settori aerospaziale, dei trasporti navali, delle telecomunicazioni,

18 Studi sui modelli e sui metodi di analisi degli incidenti aeronautici

dell’energia nucleare, dell’industria chimica e petrolchimica (citando

solo alcuni dei campi interessati) sono chiaramente riconosciuti come

settori complessi ad alta tecnologia, e sono sottoposti a proprie e spe-

cifiche normative, a regole di indagine e norme di prevenzione finaliz-

zate a rispondere alle esigenze naturali ed universalmente condivise di

sicurezza. Con riferimento a tali contesti (per i quali la sicurezza è una

condizione fondamentale di sviluppo ed esistenza), le lessons learned

relative ad eventi non catastrofici e, purtroppo, le esperienze prove-

nienti da incidenti di tipo maggiore (occorsi in uno specifico campo)

hanno fornito nel tempo anche un contributo rilevante allo sviluppo e

all’evoluzione dei cosiddetti modelli e metodi di analisi degli inciden-

ti, accident analysis models and methods, utilizzando una terminolo-

gia largamente riconosciuta [1.15]. Altrettanto importanti risultano es-

sere le forme di condivisione, tra i diversi settori ad alta tecnologia,

delle esperienze e dei risultati conseguiti inizialmente in specifici con-

testi, anche in virtù degli apporti provenienti proprio dai suddetti mo-

delli e metodi e dai relativi risultati prodotti dalla ricerca.

Un esempio interessante sia per gli aspetti tecnico-scientifici sia per

la sua collocazione storica è fornito all’interno del lavoro di Norm W.

Knox e Robert W. Eicher (1992), MORT- Management Oversight and

Risk Tree- User’s manual [1.9], nel quale gli autori ricordano che il

concetto di Fault Tree Analysis (FTA) viene sviluppato in origine dai

Bell Telephone Laboratories nel 1962 come metodologia mediante cui

eseguire le valutazioni di sicurezza del “Minutemen Intercontinental

Ballistic Missile Lauche Control System”. Inoltre gli autori precisano

che, in seguito al Safety Simposium del 1965 presso la University of

Washington, nell’ambito del quale furono presentati diversi papers

sulla FTA, quest’ultima ottenne il riconoscimento della possibilità di

essere estesa proficuamente dal settore della safety aerospaziale a

quello della safety dei reattori nucleari e di altri settori commerciali.

La condivisione delle esperienze provenienti da settori diversi as-

sume pertanto un ruolo molto importante. Da tale punto di vista, gli

incidenti nucleari rilevanti occorsi presso la Three Mile Island (USA,

Marzo 1979) e presso Chernobyl (URSS, Aprile 1986), gli incidenti

occorsi a due aeromobili B747 presso Tenerife (Canary Island, Marzo

1977) ed alla navetta Challenger (USA, Gennaio 1986), nonché

l’incidente occorso presso lo stabilimento chimico Bhopal (India, Di-

cembre 1984) sono alcuni esempi di una nutrita lista spesso citati nella

letteratura tecnica internazionale per aver contribuito a segnare impor-

I. Introduzione ai modelli ed ai metodi di analisi degli incidenti 19

tanti punti di svolta sia nelle concezioni di approccio all’intera dina-

mica degli incidenti complessi, sia per l’introduzione del maggiore pe-

so nel contesto dell’indagine dei concetti delle precondizioni, dei fat-

tori organizzativi e della cultura della sicurezza (safety culture) rispet-

to ai precedenti modelli predominanti, i quali tendevano a focalizzare

in via preponderante l’attenzione sugli errori umani degli operatori fi-

nali (i cosiddetti operatori di front-line) oppure sui cedimenti finali di

impianti e di componenti meccanici [1.2].

Inoltre, gli incidenti rilevanti hanno influito notevolmente sulla

comprensione delle interazioni tra gli esseri umani ed i sistemi con i

quali essi operano.

In ambito aerospaziale, il progresso degli aeromobili e dei relativi

apparati è stato accompagnato da una crescente quantità di dati dispo-

nibili all’investigatore (e poi ai ricercatori), ad esempio attraverso i re-

gistratori di volo (flight data recorders). Di conseguenza, l’incremento

dei dati e dei parametri di volo disponibili ha contribuito notevolmente

al miglioramento della comprensione delle problematiche di interfac-

cia e di interazione tra uomo e sistemi (hardware e software) e delle

dinamiche di prestazione dell’uomo nel proprio contesto operativo.

1.2. Le funzioni principali dei modelli e dei metodi di analisi degli

incidenti

In termini generali e dal punto di vista formale, la funzione principale

che i modelli di analisi degli incidenti (accident models) si propongo-

no di assumere è quella di fornire una rappresentazione o uno schema

concettuale dell’incidente, che supporti l’analista e l’investigatore nel-

la comprensione della complessità dei meccanismi di failure even-

tualmente presenti nei vari livelli del sistema coinvolto, avendo a di-

sposizione un approccio teorico (o in modo maggiormente rigoroso,

una proposta di approccio) per una comprensione razionale degli

eventi, nonché per l’individuazione delle possibili connessioni tra gli

eventi stessi.

In ogni caso, un modello vuole essere una forma di rappresentazio-

ne della realtà, ed avrà, per definizione, dei limiti.

La funzione principale dei metodi di analisi degli incidenti (acci-

dent methods) è quella di fornire un processo pratico e razionale di

analisi basato su una struttura ed un’impostazione definite, tali da gui-

20 Studi sui modelli e sui metodi di analisi degli incidenti aeronautici

dare l’analista e l’investigatore passo dopo passo nella ricostruzione

logica e razionale delle condizioni e degli eventi culminanti

nell’evento finale inatteso, o incidente. Pertanto, un metodo si propone

di pervenire al raggiungimento di specifici risultati coerenti con le

premesse, presentando le relazioni logiche e razionali che intercorrono

tra cause ed effetti; essi sono strumenti o tecniche di approccio chia-

ramente pratici.

Generalmente, i metodi di analisi (quali strumenti o tecniche opera-

tive) sono fondati sull’approccio precedentemente definito da un mo-

dello (quale strumento teorico).

In particolare, in alcuni casi un modello definisce direttamente un

proprio metodo, in altri casi un modello può costituire il fondamento

per diversi metodi.

Tuttavia, un metodo può non avere necessariamente un legame con

determinato modello [1.8].

L’ambito dei processi, metodi e tecniche della Root Cause Analysis

o Analisi delle Cause Profonde (utilizzando la terminologia della

norma CEI EN 62740: 2015) è di natura operativa, ed è rivolto

all’identificazione ed alla classificazione delle cause degli eventi inde-

siderati, mediante la distinzione dei fattori causali in cause dirette,

cause che contribuiscono (o cause concorrenti), e cause alla radice (o

cause profonde), nonché alla definizione di appropriate azioni corret-

tive finalizzate ad evitare che l’evento finale indesiderato possa ripre-

sentarsi nuovamente.

Come sarà evidenziato nei prossimi capitoli, i processi di Root

Cause Analysis si prestano anche alle analisi richieste e conseguenti

alla rilevazione di una condizione di non conformità, dove

l’accertamento di quest’ultima non costituisce, ovviamente, il punto di

arrivo: tale condizione è il punto di partenza per la ricostruzione degli

eventi finalizzata all’individuazione delle cause profonde.

In letterature tecnica si riscontra che un metodo di analisi può esse-

re incluso tanto nelle classificazioni classiche dei metodi di analisi ed

indagine degli incidenti quanto nelle classificazioni classiche delle

tecniche di Root Cause Analysis (in seguito si affronterà anche il tema

delle catalogazioni, della conseguente utilità e delle limitazioni). Le

motivazioni di tali molteplici ed inevitabili classificazioni sono gene-

ralmente dovute sia alle potenzialità ed alle caratteristiche intrinseche

della struttura operativa proposta da una determinata tecnica sia

all’evoluzione ed all’impiego pratico che la tecnica stessa ha avuto nel