Table Of ContentSicurezzadelTrasportoAereo
P.Carlo Cacciabue
Sicurezza del Trasporto Aereo
P.CarloCacciabue
DipartimentodiIngegneriaAerospaziale
CampusBovisaSud
PolitecnicoMilano
Milano
ISBN978-88-470-1453-4 ISBN978-88-470-1454-1(eBook)
DOI10.1007/978-88-470-1454-1
©Springer-VerlagItalia2010
Quest’operaèprotettadallaleggesuldirittod’autoreelasuariproduzioneèammessasoloedesclusivamente
neilimitistabilitidallastessa.Lefotocopieperusopersonalepossonoessereeffettuateneilimitidel15%di
ciascunvolumedietropagamentoallaSIAEdelcompensoprevistodall’art.68.Leriproduzioniperusonon
personalee/ooltreillimitedel15%potrannoavveniresoloaseguitodispecificaautorizzazionerilasciatada
AIDRO,CorsodiPortaRomanan.108,Milano20122,[email protected].
Tuttiidiritti,inparticolarequellirelativiallatraduzione,allaristampa,all’utilizzodiillustrazionietabelle,
allacitazioneorale,allatrasmissioneradiofonicaotelevisiva,allaregistrazionesumicrofilmoindatabase,
oallariproduzioneinqualsiasialtraforma(stampata oelettronica)rimangonoriservatianchenelcasodi
utilizzoparziale.Laviolazionedellenormecomportalesanzioniprevistedallalegge.
L’utilizzoinquestapublicazionedidenominazionigeneriche,nomicommerciali,marchiregistrati,ecc.anche
senonspecificatamente identificati,nonimplicachetalidenominazioni omarchinonsianoprotettidalle
relativeleggieregolamenti.
Layoutcopertina:FrancescaTonon
Impaginazione:PTP-Berlin,ProtagoTEX-ProductionGmbH,Germany(www.ptp-berlin.eu)
Stampa:SignumSrl,Bollate(MI)
StampatoinItalia
Springer-VerlagItaliaS.r.l.,ViaDecembrio28,I-20137Milano
Springer-VerlagfapartediSpringerScience+BusinessMedia(www.springer.com)
Indice
1 Analisi sistemica di sicurezza: concetti e metodi................ 1
1.1 Introduzione ............................................... 1
1.1.1 I concetti di sistema e sicurezza ....................... 1
1.1.2 Il concetto di rischio ................................. 10
1.2 Cenni di metodi statistici.................................... 15
1.2.1 La teoria della probabilita` ............................ 16
1.2.2 Grandezze tipiche in analisistatistica .................. 18
1.2.3 Alberi di probabilita`e distribuzioni discrete e continue ... 22
1.2.4 Cenni di algebra booleana ............................ 28
1.3 Rassegna di metodi per la quantificazione del rischio ............ 30
1.3.1 Fasi e metodologieprincipali quantificare il rischio....... 30
1.3.2 Analisi preliminare dei pericoli ........................ 32
1.3.3 Analisi del rischio del sistema ......................... 33
1.3.4 Implementazione delle misure di sicurezza .............. 35
1.4 Alberi di Evento e Alberi di Guasto........................... 36
1.4.1 Alberi di Evento .................................... 36
1.4.2 Alberi di Guasto .................................... 38
1.5 Sicurezza Funzionale........................................ 43
1.5.1 Definizione e concetto di integrita` dei sistemi
di sicurezza – SIL ................................... 44
1.5.2 SIL e affidabilita` .................................... 45
1.5.3 Calcolo del valore del SIL ............................ 46
1.6 Metodologiaglobale per la valutazione prospettica del rischio .... 57
2 Fattori umani nell’analisi di sicurezza .......................... 63
2.1 Introduzione ............................................... 63
2.2 I Fattori Umani nella tecnologia moderna ..................... 64
2.3 Definizioni ed elementi caratteristici di Sistemi Uomo-Macchina .. 66
2.3.1 Il Sistema Uomo-Macchina ........................... 67
2.3.2 Elementi socio-tecnici di un Sistema Uomo-Macchina .... 69
2.4 Modelli e simulazionidi comportamento umano ................ 72
VI Indice
2.4.1 Il modelloRMC-PIPE ............................... 73
2.4.2 Il modelloSRK ..................................... 75
2.4.3 Modello di “Macchina cognitiva fallibile” ............... 78
2.4.4 Il modello“Contextual Control Model” ................ 79
2.4.5 Il modelloSHELL ................................... 81
2.5 Implementazionidei modelli in simulazioninumeriche ........... 84
2.6 Teorie e modellidi errore umano ............................. 85
2.6.1 Tipologie di errore................................... 86
2.6.2 Modalita` di errore umano ............................ 89
2.6.3 Tassonomie e modelli di errore ........................ 89
2.7 Rassegna di metodi e metodologie classici di affidabilita`umana... 91
2.7.1 La metodologiaSHARP.............................. 94
2.7.2 Il metodo OAT...................................... 96
2.7.3 Il metodo APJ ...................................... 97
2.7.4 Il metodo PC ....................................... 98
2.7.5 Il metodo TESEO ................................... 99
2.7.6 Il metodo SLIM .....................................100
2.7.7 metodo HCR .......................................101
2.7.8 Il metodo THERP...................................103
2.8 Limitie critiche dei metodi classici di affidabilit`aumana ........105
2.8.1 Aspetti cognitivi e socio-tecnici .......................105
2.8.2 Aspetti dinamici ....................................106
2.8.3 Limitidi applicazione dei metodi di prima generazione ...107
2.9 Metodi di affidabilita`umana di seconda generazione ............108
2.9.1 Il metodo ATHEANA................................108
2.9.2 Il metodo CREAM ..................................109
2.9.3 Il metodo DYLAM-HERA............................110
2.10 Technique for Human Error Rate Prediction – THERP..........111
2.10.1 Schema generale tecnica THERP ......................111
2.10.2 THERP in dettaglio .................................113
3 Metodi per analisi retrospettive................................119
3.1 Introduzione all’analisiretrospettiva di occorrenze e incidenti ....119
3.2 Linee guida all’applicazionedi metodi per analisi retrospettive ...121
3.2.1 Metodologia di analisi retrospettiva: i concetti di
occorrenza, evento e dinamica sequenziale ..............121
3.2.2 Procedura di implementazione di studio di incidente ....127
3.3 Modelli,tassonomie e metodi per l’analisidi occorrenze .........129
3.4 Definizione logicaanalitica dell’Occorrenza ....................144
3.4.1 Individuazione degli eventi ...........................145
3.4.2 Event Time Line ...................................146
3.4.3 Eventi positivi ed eventi negativi .....................147
3.5 Metodi per la classificazione e ricerca delle cause primarie .......147
3.5.1 Il modelloorganizzativo di Reason ....................147
Indice VII
3.5.2 Classificazione di informazioni secondo il metodo
ADREP 2000 ......................................149
3.5.3 Metodo specifico ai fattori umani:CREAM ............152
3.5.4 Metodo ISAAC “Integrated Systemic Approach for
Accident Causation” ................................157
4 Il Safety Management System e metodologia integrata per
l’analisi di sicurezza ...........................................163
4.1 Safety Management System .................................163
4.1.1 Componenti principali di un SMS .....................164
4.1.2 Approcci operativi principali di un SMS ...............167
4.2 Analisi di sicurezza retrospettiva in ottica SMS ................169
4.2.1 La raccolta dati e classificazione di Occorrenze .........171
4.2.2 Metodi per l’analisidei dati ..........................172
4.2.3 Valutazione del rischio di Evento ed Occorrenza ........177
4.2.4 Approccio pratico per valutare ilrischio di Evento ......183
4.3 Metodologiaper analisi di sicurezza integrate di sistemi .........186
4.3.1 La metodologiaHERMES ...........................188
Appendice 1 Applicazione del metodo THERP ad un caso reale:
la procedura di avvicinamento all’aeroporto MI-Malpensa .....191
A1.1 Il caso studio ..............................................191
A1.1.1 La procedura ideale .................................192
A1.1.2 Condizioni di ATI ed assenza di raffica ................192
A1.2 Individuazione delle condizioni di successo della procedura ......198
A1.3 Costruzione degli HRA-ET ..................................202
A1.4 Determinazione delle HEP ..................................209
A1.4.1 Estensione degli ipersostentatori alle posizioni 1, 5 e 10 ..209
A1.4.2 Calibrazione dell’altimetrosulla QNH .................211
A1.4.3 Attivazione della procedura di livellamentodel volo .....213
A1.4.4 Lettura dell’approach check list .......................214
A1.5 Probabilita`di successo e fallimentodella procedura ............216
A1.6 Valutazione possibilit`adi recupero degli errori .................216
Appendice 2 Studio retrospettivo e classificazione di incidente:
l’incidente di Zurigo – volo AZ 404, 14 Novembre, 1990........221
A2.1 Il caso studio ..............................................221
A2.2 Resoconto dell’accaduto ....................................223
A2.3 Le conclusioni dell’inchiesta .................................224
A2.3.1 Le evidenze ........................................225
A2.3.2 Le cause ...........................................226
A2.4 Ricostruzione delle ultime fasi del volo ........................226
A2.4.1 La procedura di avvicinamento .......................227
A2.5 Definizione logicaanalitica dell’incidente ......................231
A2.5.1 Individuazione degli Eventi e Event Time Line (ETL) ...231
VIII Indice
A2.6 Analisi dati e definizione cause a mezzo della tecnica ADREP ...232
A2.6.1 Occurence Severity ..................................233
A2.6.2 Occurrence Category ................................233
A2.6.3 Classificazione degli Eventi ...........................233
A2.7 Analisi dati e definizione cause a mezzo della tecnica CREAM ...238
A2.7.1 Individuazione delle sequenze critiche .................238
A2.7.2 Diagrammidi flusso .................................244
A2.7.3 Commento dei risultati ..............................248
A2.8 Analisi dati e definizione cause a mezzo della tecnica ISAAC ....249
Abbreviazioni......................................................255
Glossario ..........................................................259
Bibliografia ........................................................265
Indice Analitico ...................................................271
Indice Analitico Autori ............................................275
Prefazione
Questo testo contiene l’insieme delle lezioni relative al corso accademico per inge-
gneri aerospaziali orientato allo sviluppo di una competenza teorica e applicativa
nella “Sicurezza del Trasporto Aereo”. Particolare attenzione `e dedicata all’ana-
lisi dei rischi associati alle operazioni, attivit`a e gestione di situazioni normali e
di emergenza. I sistemi considerati coprono tutto il dominio del trasporto aereo,
comprendente il volo e trasporto passeggeri, la gestione degli aeroporti e delle
operazioni di terra, il controllo del traffico aereo e la manutenzione.
Ilvolume`e stato sviluppatoper rispondere allanecessita` di raggruppare in un
unicotestoquattroaspettiimportantiesinergiciperlaformazionediuningegnere
di sicurezza. Tali aspetti sono: 1) le nozioni di statistica, necessarie per la valu-
tazione quantitativa del rischio; 2) gli approcci di analisi di sicurezza sistemica,
indispensabili per lo studio e progettazione di impiantibasati su valutazioni pro-
babilistiche di sicurezza; 3) la considerazione dei fattori umani, sia sotto il profilo
modellistico che probabilistico e sistemico, fondamentali per l’inclusione del con-
tributo dell’ “errore umano” alla valutazione quantitativa del rischio globale del
sistemauomo-macchina;ed infine 4)lametodologiaintegrativaditutte taliteorie
e tecniche in una visone piu` ampia di Sistema di Gestione della Sicurezza (“Safe-
ty Management System”), che risponde alle attualiesigenze e richieste normative
delle Autorita` di sicurezza internazionali e nazionali.
Per mantenere uno sviluppo logicodi apprendimento progressivo degli aspetti
teoricieperlaloroinquadraturainunprocessometodologicodianalisidisicurezza
sistemica, sono stati previsti quattro capitoli principali e due appendici. Il primo
capitoloaffronta le problematiche relative agli elementi fondamentalidi statistica
e descrive le tecniche piu` comunemente utilizzate per effettuare analisi probabili-
stica prospettica di rischio. Il secondo capitolo `e interamente dedicato ai modelli
dicomportamentoumano,orientatiall’identificazionedelle cause e modalit`adegli
errori umani, nonch´e alla descrizione delle tecniche principali per la valutazione
probabilistica del contributo dell’errore umano all’analisi del rischio. Il terzo ca-
pitolo affronta il problema dell’analisi di rischio per la valutazione retrospettiva
deipericoliedelle conseguenze che sisonorealmente verificate inun’organizzazio-
ne. Infine, nel quarto capitolo, si inquadra l’analisi di rischio in una prospettiva
X Prefazione
di Sistema di Gestione della Sicurezza con l’obbiettivo di mostrare il contributo
dell’analisidisicurezza inun quadro metodologicopiu` ampioed integrato ditutti
i sistemi del trasporto aereo. Infine, le due appendici sono dedicate a due esempi
applicativi pratici, relativi a sistemi ed eventi reali, delle tecniche e metodologie
descritte nei capitoli precedenti: il primo caso riguarda la valutazione del rischio
associato ad una precisa operazione del volo in relazione ad un sistema aeropor-
tuale e ad un velivoloreali; il secondo caso `e basato sullostudio di dettaglio delle
causediunincidentereale,applicandodiversetecnichedianalisideifattoriumani.
Piu` in dettaglio, il Capitolo 1, intitolato “Analisi sistemica di sicurezza: con-
cetti e metodi”, rappresenta l’elemento portante del teso, in quanto contiene la
rassegna dei metodi statistici ed i concetti fondamentali della teoria della proba-
bilita`che rappresenta la tecnica di base per l’analisiquantitativadi rischio. Sono
poi passati in rassegna i metodi piu` comuni per la valutazione e quantificazione
prospettica del rischio associato alla gestione di sistemi complessi, dai “classici”
Alberi di Guasto ed Alberi di Evento alla piu` recente teoria di analisi funziona-
le dei sistemi. Il Capitolo 2, intitolato “Fattori umani nell’analisi di sicurezza”,
presenta le teorie, modelli di comportamento e metodi per l’implementazione dei
fattori umani in analisi di sicurezza. In particolare, viene discussa in dettaglio
unadelle tecniche classiche piu` comunemente utilizzate per l’inclusionedei fattori
umaniin analisidi rischio, con esempi applicativisemplici. Nel Capitolo3,intito-
lato “Metodi per analisi retrospettive”, sono discussi i componenti fondamentali
per effettuare lo studio di occorrenze ed eventi realmente accaduti. L’obbiettivo`e
quellodimostrare comemetodieteorie dianalisidelrischiovenganoapplicatiper
la valutazione di situazioni reali, e pertanto come questi possano essere applicati
per la raccolta di informazioni, l’implementazione in banche dati, e soprattutto
per l’analisielosviluppodiraccomandazionirelativeadoccorrenze, inconvenienti
gravied incidenti.Infine,nelCapitolo4,intitolato“IlSafetyManagement System
emetodologiaintegrataperl’analisidisicurezza”,vieneaffrontatalaproblematica
della gestione della sicurezza sotto un profilo globale, che copre tutti gli aspetti
di studio ed analisi dei pericoli associati al trasporto aereo ed alla loro gestione.
Ci`o chiude il ciclo di presentazione del processo metodologico di applicazione del
concetto di rischio per analisi di sicurezza integrate retrospettive e prospettiche,
iniziato fin dal capitolo uno, e che rappresenta il filo conduttore del discorso sul-
la sicurezza nel trasporto aereo di questo volume. L’Appendice 1 contiene il caso
studio di affidabilita` umana relativo all’esame della procedura di avvicinamento
all’aeroportodiMi-Malpensaper unvelivoloBoeing747-200,attraversolatecnica
denominata THERP. L’Appendice 2 prende in esame l’incidente di collisione con
ilterreno del voloAZ404avvenuta il14Novembre 1990nei pressi diZurigo,a cui
vengono applicati tre metodi per la classificazione delle cause relative agli errori
umani noti come ADREP, CREAM e ISAAC.
Essendo questo librodedicato aglistudenti di Ingegneria Aerospaziale,`e stato
scritto con intento didattico ed in un’ottica di lettura completa e progressiva.
Pertanto, si consigliata di leggere i capitoli in sequenza, passando alle appendici
qualorasivogliaacquisire familiarita`con l’applicazionepraticadeimetoditeorici.
Per altro, un lettore piu` esperto e conoscitore dei metodi di analisi probabilistica
Prefazione XI
potrebbe concentrarsi sui capitoli 3 e 4 di applicazione metodologicaed utilizzare
le appendici come banco di prova e valutazione di applicazioni pratiche.
Infine,`e doveroso ricordare ilcontributo ricevuto nel corso degli annida parte
dimolticolleghi,amicie collaboratoricon iqualihoavuto ilpiacere diinteragire.
Il pericolo di dimenticarne qualcuno nei ringraziamenti consiglia sempre di non
tentare un elenco di tutte le persone che hanno in diverso modo contribuito allo
sviluppo del testo. Personalmente credo di ricordarle tutte, e chi, tra i lettori di
questo librosi ritrovasse come contributore intellettuale ocoadiutore di unaparte
specifica di esso, sappia che `e stato ricordato nel momento della scrittura e gode
della mia piu` profonda gratitudine.
Tuttavia, mentre nei ringraziamenti che seguono sono menzionati coloro con
i quali ho fattivamente collaborato alla stesura specifica, penso che sia giusto ri-
cordare qui alcune persone che hanno lavorato con me in passato piu` o meno
recente, con risultati eccellenti, tali da essere ripresi in larga misura nel presen-
te testo, data la qualita` e validita` del loro contenuto. Mi riferisco in particolare
all’Ing. M. Pedrali, purtroppo non piu` con noi, e all’Ing. S. Mancini, le cui due
tesi di laurea magistrale sono alla base delle due applicazioni pratiche contenute
nelle appendici, e all’Ing. E. De Grandis, con cui abbiamo iniziato il percorso di
modellisticadel gruppo ed abbiamoformulatole ipotesi dilavorometodologicodi
analisiretrospettiva della sicurezza in termini di rischio.
Ringraziamenti
Ringrazio profondamente Giuseppe Borgna, Stanislao Lancia e Fabio Toti per il
supporto ricevuto e per le molte discussioni proficue avute in seno al Comitato
Italiano Sicurezza Volo (IFSC), soprattutto in merito agli aspetti applicativi e
pratici dei metodi di analisi del rischio. Inoltre, vengono ringraziati gli allievi del
Corso “Sicurezza del Volo”, anno accademico 2008-09, ed in particolare Viviana
Franzetti ed Elisa Parini, per aver effettuato la rilettura e correzione della prima
versione del testo.
P. Carlo Cacciabue