SICUREZZA INDUSTRIALE
(App. IV, III, p. 325)
La s.i., oltre a significare letteralmente la condizione o qualità di un sistema produttivo esente da evidenti pericoli, indica più ampiamente un complesso di discipline unite dal comune obiettivo di risparmiare danni a persone e cose coinvolte, più o meno direttamente, in un'attività industriale. Si è, per es., sviluppata l'area della ''sicurezza degli impianti'', tesa verso l'analisi e il miglioramento delle strutture tecnologiche, con lo scopo d'individuare ed eliminare (o almeno controllare) ogni possibile sorgente di pericolo. Un'altra area molto sviluppata è quella della ''sicurezza del lavoro'' che, al fine di salvaguardare l'incolumità dei lavoratori, tende anch'essa a individuare le situazioni pericolose, e, quando non è possibile adottare soluzioni immediate per eliminare queste ultime, definisce specifiche precauzioni atte alla difesa delle persone più direttamente esposte ai pericoli. In quest'ambito si colloca la recente normativa italiana sulla s. delle attività industriali a rischio d'incidenti (d.P.R. n. 175/1988 che recepisce la direttiva 82/501/CEE e d.P.C.M. del 31 marzo 1989). Ogni problema di s.i. è sempre legato a un determinato sistema uomo-macchina-ambiente, per cui non di rado esso presenta aspetti che ricadono contemporaneamente nell'area di competenza della fisica, dell'ingegneria, della medicina, delle scienze sociali, della statistica, ecc.
Analisi dei rischi. - Tutte le discipline tecnologiche sono progredite in misura notevole sulla base degli insegnamenti scaturiti da insuccessi anche spettacolari: basti pensare che certamente ha insegnato più cose l'osservazione di un ponte mentre cadeva che quella di cento altri che rimanevano integri. La s.i., ovviamente, non può fare affidamento su tali opportunità, ma deve tendere a estrapolare l'esperienza scaturita dai piccoli incidenti per prevedere e controllare quelli grandi e potenzialmente disastrosi, nonché impiegare particolari metodologie per valutare la probabilità e l'ampiezza di eventi dannosi che nessuno vorrebbe mai osservare. Pertanto, tutti i vari rami della s.i. si giovano dell'impiego sistematico soprattutto della cosiddetta analisi dei rischi (per rischio s'intende la probabilità che, in un determinato periodo di attività industriale, una situazione di pericolo evolva verso un incidente di definite conseguenze; in pratica è diffusamente utilizzato un indice di rischio costituito dal prodotto della frequenza d'incidente per il livello di danno arrecato, o magnitudo). A sua volta l'analisi dei rischi raccoglie un insieme di tecniche atte a prevedere e valutare le conseguenze dannose di un sistema industriale nell'ambito di una ''ben definita realtà sociale e ambientale''.
Per fissare le idee e comprendere l'origine stessa dei rischi collegati al moderno assetto industriale, poniamo che sia molto bassa, e pari a circa 1 ogni 100.000 anni, la frequenza media di un certo incidente grave che può verificarsi in un determinato tipo d'impianto. Per uno solo di questi impianti la probabilità d'incidente durante i 15 anni della sua vita operativa è ancora relativamente bassa, poiché risulta essere pari a 1-exp[−15/100.000]=0,00015 (ossia lo 0,015%). Se però in una certa nazione funzionassero contemporaneamente (come spesso capita) un numero, poniamo, pari a 200 impianti di questo stesso tipo, la probabilità di almeno un incidente in 15 anni risulterebbe essere invece 1− [1−0,00015]200=0,03 (ossia il 3%). Ciò comporterebbe un rischio inaccettabile se le conseguenze dell'incidente fossero catastrofiche.
Sulla base di considerazioni di questo tipo, l'AEC (Atomic Energy Commission) degli Stati Uniti pubblicò nel 1975 il cosiddetto rapporto Rasmussen che è da molti considerato il primo tentativo di applicazione dell'analisi dei rischi a grandi sistemi tecnologici. Nel rapporto venne applicata ai reattori nucleari la tecnica degli alberi degli eventi per identificare la gamma di incidenti che potenzialmente potevano scaturire da eventi anomali quali guasti di apparati o errori umani. Fu pure applicata la tecnica degli alberi dei guasti che, con un processo logico inverso rispetto a quello adottato dalla tecnica precedente, per ogni stato di guasto del reattore permise di risalire a tutte le possibili cause primarie. Sebbene il rapporto contenesse valutazioni di probabilità d'incidente nucleare vistosamente sottostimate, esso tuttavia ebbe il merito di richiamare, per primo, l'attenzione sulle gravi conseguenze che possono scaturire da eventi originatori di modesta entità, quali piccole perdite di fluido refrigerante o lievi distrazioni degli operatori. Infatti proprio la concomitanza di piccoli guasti provocò poi, nel 1978, l'incidente nella centrale di Three Miles Island. Pertanto fu definitivamente chiaro che l'approccio classico alla s.i., che mirava a premunirsi contro il ''massimo'' evento dannoso, doveva essere abbandonato per il semplice motivo che ''il massimo include tutti gli altri'' solo in termini di ampiezza delle conseguenze dannose, ma non in termini di probabilità di accadimento. Ciò comporta che anche la concomitanza o la successione di ''piccoli'' eventi possono provocare incidenti di proporzioni catastrofiche.
Per es., nel 1988, al primo piano di una centrale telefonica di Chicago si verificò un banale corto circuito elettrico, che innescò un limitato incendio: esso però danneggiò seriamente gran parte delle apparecchiature presenti sullo stesso piano, soprattutto in conseguenza dell'inaspettata formazione di gas particolarmente corrosivi. La concentrazione su quel piano di più apparecchiature ''nodali'' fece sì che un numero superiore a 30.000 utenti saggiasse il disastroso effetto che provocava sulla loro attività lavorativa l'assoluta mancanza del servizio telefonico. La vastità delle conseguenze di questo incidente fu in gran parte imputata alla particolare architettura del sistema, concepito senza tener conto che la sua perfetta ''funzionalità'' nello smistare più di tre milioni di telefonate al giorno non ne garantiva anche la necessaria ''affidabilità''.
Ciò spiega i motivi per cui la s.i. affianca alle discipline orientate a determinare il ''funzionamento'' anche quelle orientate a controllare le conseguenze di eventuali ''guasti''. Tra queste, soprattutto l'affidabilità, oltre a valutare ed eventualmente migliorare la ''stabilità'' globale dei sistemi nei confronti dei guasti, fornisce in particolare le probabilità di guasto sia delle parti dell'impianto che innescano il processo d'incidente, sia di quelle che dovrebbero arrestarlo. Ciò consente di effettuare valutazioni quantitative e dei rischi ''originali'' e di quelli ''ridotti'' proprio in conseguenza all'adozione dei cosiddetti dispositivi di sicurezza. Va comunque osservato che non esiste l'analisi ''assoluta'' dei rischi, essendo essa sempre condizionata, anche involontariamente, dal soggetto che la esegue, se non altro perché ogni soggetto dispone di informazioni, competenze e punti di vista normalmente diversi da quelli posseduti da altri interessati alla stessa analisi.
Progetto e controllo della sicurezza d'impianto. - Nell'affrontare il problema della sicurezza di uno specifico impianto devono essere risolti vari problemi di fondo. Il primo di questi è costituito dalla definizione degli obiettivi (per es., il massimo incidente tollerabile, il numero massimo di anomalie tollerabili per anno di funzionamento, ecc.) corredati dalle relative procedure di verifica e controllo continuo. Infatti, non servono a nulla gli obiettivi mal definiti o per i quali non sono stati previsti una procedura univoca di ''misura'' e un protocollo d'intervento qualora quest'ultima risulti essere oltre i limiti fissati. Inoltre, la progettazione della sicurezza di un impianto richiede la definizione e l'analisi, dal punto di vista dell'affidabilità, della sua ''architettura logica'', cui segue la fase della sua traduzione in realtà operativa. Quest'ultima comporta notevoli sforzi di concretizzazione di funzioni logiche mediante strutture tecnologiche anche molto diverse dalle prime. Valga per tutti il seguente semplice esempio: per aumentare l'affidabilità di un dispositivo di emergenza per l'interruzione di un circuito elettrico si può decidere d'istallarne anche un altro che funzioni logicamente ''in parallelo'' al primo, affinché se uno dei due si guasta ci sia ancora la possibilità che funzioni l'altro. Nella fase realizzativa, invece, i due interruttori devono essere disposti ''in serie'' proprio perché anche il funzionamento di uno solo dei due determini l'interruzione di emergenza richiesta.
L'analisi approfondita delle particolari tecnologie industriali utilizzate consente d'individuare le specifiche sorgenti di rischio, ossia quei punti dell'impianto in cui tra le possibili situazioni alternative che si possono verificare nel processo produttivo ce ne siano alcune incontrollabili, prima di determinare danni a persone o cose. Generalmente la concentrazione di rilevanti potenziali energetici costituisce di per sé una sorgente di rischio caratterizzata dal fatto che l'entità dell'eventuale danno, che ne può scaturire, è una funzione crescente (spesso esponenzialmente) della velocità di rilascio dell'energia accumulata. Così, per es., sono sorgenti di rischio i serbatoi di combustibili liquidi oppure i bacini di raccolta delle centrali elettriche. Sono pure classici esempi di sorgenti di rischio le fasi di un processo di trasformazione catalizzate da un parametro (per es. la temperatura o la pressione) al cui incremento contribuisce la stessa velocità di evoluzione del processo. Un'altra categoria di sorgenti di rischio è costituita da quelle parti di un impianto in cui sono possibili interventi impropri o condizioni anomale tali da determinare lo spostamento di reazioni chimiche verso la formazione di composti, nocivi, normalmente assenti. Per tenere sotto controllo le sorgenti di rischio si tende generalmente a misurare quei parametri di processo che siano proporzionali all'entità delle condizioni critiche, ossia legati a queste mediante coefficienti di amplificazione costanti. Ciò, infatti, pur evitando eccessive reazioni di controllo, lascia ancora un tempo sufficiente per effettuare efficaci interventi di emergenza (in quanto, per es., la velocità di esecuzione deve crescere solo linearmente, invece che esponenzialmente, con l'entità della perturbazione da controllare).
Un altro importante aspetto della progettazione della s.i. è quello della valutazione delle conseguenze ambientali durante ciascuna fase della vita di un impianto. In quest'ambito vengono valutate le probabilità dei danni cui l'ecosistema si trova esposto in seguito a possibili incidenti originati da cause interne (guasti, errori umani, ecc.) o da eventi esterni (terremoti, caduta di aeromobili, ecc.) che possono interessare l'impianto. Nella definizione dei danni viene valutato l'impatto immediato e quello a lungo termine: il primo è espresso, per es., in termini di quantità nocive emesse istantaneamente, distinte per natura fisica, chimica, contenuto energetico, ecc.; il secondo è espresso, per es., in termini di quantità nocive assorbite dall'uomo o dall'ambiente. Anche il costo medio (o ''statisticamente atteso'') di ciascun tipo d'incidente costituisce un'altra importante valutazione che viene effettuata, a livello di progetto d'impianto, sia per stabilire un ordine di priorità d'intervento sia per calcolare il rapporto costo/beneficio di ciascun intervento che venisse effettivamente posto in essere per ridurre un determinato livello di rischio. Naturalmente esprimersi in termini economici in merito a problemi di s.i. non vuol dire valutare brutalmente danni e vite umane, bensì vuol dire impostare soluzioni razionali per problemi che altrimenti rischierebbero di avere solo soluzioni emotive e irrazionali.
Analisi e organizzazione della sicurezza del lavoro. - Sebbene la stragrande maggioranza degli incidenti industriali abbia di regola colpito soltanto i lavoratori direttamente esposti, solo dopo il 1910 e in particolare dopo il 1930, iniziò in tutto il mondo occidentale la promulgazione di specifiche leggi per la salvaguardia del lavoratore e del suo diritto all'indennizzo per danni subiti a seguito di incidenti sul lavoro. Tali leggi crearono i presupposti per lo sviluppo di tecniche che offrissero al datore di lavoro la possibilità di prevenire gli incidenti piuttosto che pagarne gli indennizzi. Fu proprio in questo periodo, precisamente nel 1931, che a New York fu pubblicata la prima edizione del famoso testo di Heinrich Industrial accident prevention.
Un primo approccio alla sicurezza del lavoro parte dal presupposto che gli incidenti che causano danni ai lavoratori sono sempre, più o meno evidentemente, il frutto della seguente ''catena'' di fattori: a) l'ambiente, condizionato dalle tradizioni o dai costumi sociali; b) l'errore umano; c) un'azione o condizione insicura; d) l'accidentalità. L'eliminazione del fattore c costituisce la base essenziale per ogni conseguente politica di gestione dei problemi della sicurezza del lavoro. Un approccio alternativo è quello che considera l'incidente come il frutto della ''concomitanza'' di molti fattori, tutti egualmente importanti. È evidente che, a differenza del primo approccio che tende a rimuovere solo le cause prossime, questo incide maggiormente, tendendo a rimuovere proprio le cause originarie che, come tali, potrebbero in futuro essere alla base di altri tipi d'incidente. Oltre agli interventi tecnologici, anche i metodi organizzativi adottati sono determinanti ai fini della prevenzione degli incidenti. In particolare si sono dimostrati particolarmente efficaci quelli che trattano il parametro ''sicurezza'' allo stesso modo con cui vengono trattati, per es., il ''costo'' e il ''volume'' di produzione. Infatti solo in questa maniera è possibile creare dei significativi, quanto semplici incentivi verso la sicurezza, quali per es.: a) far gravare il costo di un incidente sul budget del reparto in cui esso si è verificato; b) ripartire i costi dei premi assicurativi tra i vari reparti; c) tenere conto anche delle prestazioni in fatto di sicurezza nel compilare il giudizio dei coordinatori di reparto; d) far dipendere lo stipendio di questi ultimi anche dalle mansioni di sicurezza loro affidate.
Qualunque sia la strategia adottata, è di fondamentale importanza risolvere il non banale problema della misura del livello di sicurezza raggiunto. Infatti senza questo punto di riferimento viene a cadere nei responsabili la stessa motivazione della sicurezza. D'altro canto, anche se può sembrare addirittura ovvio ricorrere al semplice conteggio del numero d'incidenti occorsi per effettuare praticamente tale misura, basta poco per convincersi che solo raramente si ha di fronte un reparto così grande da rendere statisticamente significativa questa misura. Infatti, per es., in un reparto di soli 15 operai può ben capitare che il loro responsabile non faccia nulla per la sicurezza e tuttavia non capiti mai un incidente durante tutta la sua permanenza a capo di quel reparto. La soluzione del problema è stata trovata nel misurare la ''presenza'' della sicurezza piuttosto che la sua ''assenza'', adottando vari indici di misura, quali numero di situazioni di pericolo scoperte per tempo o numero di nuove iniziative e correttivi adottati.
Sicurezza e gestione industriale. - In generale ogni obiettivo o attività di sicurezza comporta sempre un costo specifico, per cui un importantissimo problema da risolvere è costituito proprio dalla definizione di tutti gli strumenti organizzativi utili affinché le necessarie risorse siano effettivamente disponibili. Infatti la storia insegna che soprattutto un opportuno programma gestionale, piuttosto che un agguerrito servizio di sicurezza, può garantire effettivamente il programmato controllo dei rischi e che l'analisi dei rischi non può da sola salvarci da responsabili di alto livello decisionale che impongano il funzionamento di un impianto anche quando questo sia divenuto troppo rischioso!
L'incidente verificatosi nel 1984 nello stabilimento della Union Carbide, nel Bhopal, ribadì drammaticamente che la s.i. non può essere garantita solo da un'adeguata progettazione e da una corretta analisi dei rischi che non siano poi accompagnate anche da opportune politiche di gestione e manutenzione d'impianto. Infatti, l'accidentale infiltrazione di acqua che verosimilmente innescò la reazione chimica nel serbatoio di stoccaggio del metilisocianato, pur comportando un notevole aumento di temperatura e di pressione, sarebbe stata certamente controllata dal sistema di refrigerazione esistente se questo non fosse stato disattivato nell'ambito delle iniziative adottate per ridurre le perdite economiche imputabili allo stato di scarsa attività in cui versava l'impianto. Inoltre la conseguente fuoriuscita di vapore di metilisocianato fu di entità tale da provocare la morte di circa 3000 persone perché anche il sistema di neutralizzazione delle fuoriuscite di gas non funzionò la sera del disastro, visto che non era stato riempito della prescritta quantità di soda caustica.
È evidente che la presenza di apparati e strutture di sicurezza può risultare del tutto inutile senza un opportuno controllo teso a valutare, con continuità, il livello di sicurezza dell'impianto nella sua effettiva configurazione. Infatti può capitare, per es., che la configurazione cambi per la disattivazione di alcune parti; oppure possono cambiare significativamente i livelli di affidabilità di alcune parti per effetto di guasti, interventi di manutenzione, sovraccarichi funzionali o innovazioni tecnologiche. Ovviamente il risultato di questi controlli va sempre confrontato con i prefissati obiettivi di sicurezza, per garantirne sempre il rispetto iniziando le necessarie procedure di allertamento nei confronti di eventuali sorgenti di rischio contingentemente ravvivate in conseguenza, per es., dell'attivazione di fasi del processo produttivo che presentano per loro natura aspetti d'instabilità.
Livello accettabile di rischio. - Sebbene sia giusto e legittimo il desiderio dei cittadini di aspirare a una sicurezza ''assoluta'' degli impianti industriali, con i quali sono costretti a convivere, nessun governo la potrà mai realizzare o garantire. Pertanto, ogni volta che si discute per decidere sulle sorti di un impianto pericoloso, ricorre la domanda di quale sia il livello di rischio che debba essere ritenuto accettabile. Se la domanda è posta in questi termini, la risposta dei cittadini interessati non può che essere ''livello zero''.
Tale risposta è confortata dalla statistica che insegna che un incidente, per quanto di bassa probabilità, prima o poi si verifica. Per es., se in un anno la probabilità di esplosione di un impianto (entro il limite energetico non pericoloso per la popolazione circostante) fosse pari allo 0,99, sarebbe ''normale'' dover aspettare un lasso di 100 anni (detto ''periodo di ritorno'') per vederne una di dimensioni superiori e quindi dannosa per la popolazione. Anche se è verosimile pensare che la stessa tecnologia dell'impianto potrebbe essere migliorata oppure che lo stesso impianto potrebbe essere disattivato per obsolescenza prima che ciò dovesse accadere, resta comunque il fatto che nessuno potrà mai garantire che l'esplosione non accadrebbe proprio all'inizio dei 100 anni.
Per quanto paradossale o illogica possa essere ritenuta la domanda riguardante il livello di rischio ''accettabile'', non c'è dubbio che essa abbia comunque un valore. Le più recenti analisi del problema partono dall'osservazione che la domanda sia sostanzialmente ''mal posta'', tant'è che nelle attività più comuni (o volontarie) nessuno assume decisioni solo in base a valutazioni di ''rischio'', bensì tutti, anche se implicitamente, considerano anche i ''benefici'' connessi con la scelta che stanno per adottare, nonché tutte le altre possibili alternative. Se ciò non fosse non si capirebbe come mai siano normalmente sopportate probabilità d'incidente mortale notoriamente non trascurabili (e dell'ordine di qualche milionesimo per ora di esposizione) per attività sportive, uso dell'auto, uso dell'aereo, ecc. Pertanto, pur non potendo fissare un livello ''ufficiale'' di rischio industriale accettabile, è tuttavia possibile tendere a una risposta logica esaminando caso per caso tutte le possibili decisioni alternative e per ognuna di queste il relativo ''costo'', ''beneficio'' e ''danno''. Tra le alternative da considerare è di fondamentale importanza includere anche quella di ''non decidere'' e quella di ''ritardare la decisione''. Il punto cruciale del processo decisionale è quindi costituito dalla definizione di un parametro ''utilità'' che esprima il livello di preferenza da accordare a ciascuna tripletta costo-beneficio-danno. Ovviamente, su quale debba essere la particolare funzione analitica che definisce la suddetta utilità, si apre una nuova discussione, che ha il vantaggio di affrontare il vero problema nel suo effettivo contesto: anche in questo caso, come per tanti altri problemi scientifici, una domanda paradossale trova una risposta razionale solo scegliendo un contesto di analisi più ampio, sebbene ciò comporti nuovi costi e difficoltà.
Bibl.: E.J. Gumbel, Statistics of extremes, New York 1958; K.V. Bury, Statistical models in applied science, ivi 1975; C. Lievens, Securité des systèmes, Tolosa 1976; D.B. Brown, Systems analysis and design for safety, Englewood Cliffs 1976; R.E. Barlow, F. Proschan, Statistical theory of reliability and life testing, New York 1976; J.B. Fussell, G.R. Burdick, Nuclear systems reliability engineering and risk assessment, Filadelfia 1977; D. Peterson, Techniques of safety management, New York 1978; J. Kolb, S.S. Ross, Product safety and liability, ivi 1980; W.G. Johnson, MORT: safety assurance systems, ivi 1980; R.C. Schwing, W.A. Albers, Societal risk assessment, ivi 1980; M.W. Jones-Lee, The value of life and safety, Amsterdam 1982; S. Ragusa, Introduzione all'analisi del rischio nell'industria, Milano 1986; H.J. Wingender, Reliability data collection and use in risk and availability assessment, Berlino 1986; A. Serra, R.E. Barlow, Theory of reliability, Amsterdam 1986; W.A. Thompson, Point process models with applications to safety and reliability, New York 1988; AA.VV., IEEE-SPECTRUM Special report: Designing and operating a minimum-risk system, ivi 1989; D.A. Colling, Industrial safety, Englewood Cliffs 1990; R.W. King, Safety in the process industries, Londra 1990; D.L. Goetsch, Industrial safety and health in the age of high technology, New York 1993; J. CoVan, Safety engineering, ivi 1994.