POLITECNICO DI MILANO
Anno accademico 2011- 12
Corso di Laurea in Ingegneria Aerospaziale
“Metodi per analisi retrospettive:
Concetti di base e Tassonomie”
Docente:
P. Carlo Cacciabue
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 1
CONCETTI DI BASE
POLITECNICO DI MILANO
Anno accademico 2011- 12
Metodologie
I.
Raccolta ed strutturazione dati
 Tassonomie
 Database
II.
Studio dell’organizzazione coinvolta
 Incidenti precedenti
 Osservazioni sul campo
 Analisi dei compiti e procedure
 Tassonomie
III. Analisi dei dati
 Event Time Line (ETL)
 Root Cause Analysis (RCA)
IV. Valutazione delle efficacia delle Difese/Barriere/Salvaguardie
V.
Salvataggio dei dati
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 2
POLITECNICO DI MILANO
Anno accademico 2011- 12
Accident
Metodologie
Collect and organise data
about accident
Study Organisation
Data on previous
accidents/incidents
Ethnographic
studies
CTA
Models &
Taxonomies
E1
E2 E3
En
E-1
E-2
Event Time Line - ETL
Analyse Data
Ei
PCe
Primary
PCk PCl
Evaluate effectiveness of DBS
Develop Recommendations
P. Carlo Cacciabue
RCA
Databases
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 3
POLITECNICO DI MILANO
Anno accademico 2011- 12
Procedura di implementazione di uno studio di Incidente
1. Identify main objectives of Accident Investigation
2. Select model to be used in Accident Investigation
• Taxonomy of system failures, error types and modes
• Logical and sequential connection between errors and cognitive functions, systemic failure modes
and effects.
3. Perform the analysis of organisation and attitudes of personnel
•
• Ethnographic Studies, i.e., visits and observation at workplaces, etc.;
• Examination of tasks and procedures by Cognitive Task Analysis;
• Review of past experience of system, and, in particular, analysis of incidents and accidents previously
occurred.
Iterate with Step 2.
4. Collect and structure data about accident in association.
•
If necessary, iterate with Step 3.
5. Define/select model for accident analysis and root cases evaluation.
6. Define specific root causes and basic factors
7. Recommendations and communication to Authorities
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 4
Step 1
Specify goals of accident
investigation
Accident
POLITECNICO DI MILANO
Anno accademico 2011- 12
Investigation
Procedura
Step 2
Select Models of Organisation
and HMI
Step 3
Evaluate Organisation by
ethnographic studies and CTA
Step 4
Collect and Organise data about
specific accident
Step 5
Select model for accident analysis
Step 6
Analyse data and define Accident Causes
Step 7
Develop Recommendations
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Communicate with
authorities
Page 5
POLITECNICO DI MILANO
Anno accademico 2011- 12
Definizione logica analitica dell’occorrenza
1. Event Time Line.
2. Eventi scatenanti ed eventi conseguenza.
3. Eventi positivi ed eventi negativi.
Per evento si intende
 fatto o un’azione determinanti un cambiamento di
stato del sistema .
 un evento implicante fattori umani si identifica solo
con l’esecuzione di un’azione che determina un
cambiamento di stato del sistema.
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 6
POLITECNICO DI MILANO
Anno accademico 2011- 12
Definizione logica analitica dell’occorrenza
Per occorrenza si intende
 Un’occorrenza in aviazione è definita come un’interruzione di operazioni,
difetto, fallimento, o altra circostanza non regolare che ha o può avere
influenza sulla sicurezza del volo, che non ha necessariamente dato origine
ad un incidente severo, che soddisfa la necessità di archiviare i fatti
accaduti secondo una modalità standard in un sistema di raccolta dati, tale
da permettere valutazioni di carattere retrospettivo e prospettico associate
alla sicurezza stessa.
Per evento si intende
 Evento Tecnologico
Fatto o azione determinanti un cambiamento di stato del sistema.
 Evento Fattori Umani
Evento implicante fattori umani si identifica solo con l’esecuzione (o non
esecuzione) di un’azione che determina un cambiamento di stato del sistema.
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 7
Metodologia
POLITECNICO DI MILANO
Anno accademico 2011- 12
Conoscenze/competen
ze necessarie
Occorrenza
1. dominio tecnologico
Studio Organizzazione
Scelta metodi e modelli
Raccolta e strutturazione logicatemporale dei dati
2. fattori umani e di
interazione uomomacchina
3. strutture informatizzate
di basi di dati
Analisi dei dati
Definizione cause
Valutazione efficacia difese
Sviluppo raccomandazioni
P. Carlo Cacciabue
 Un solo esperto non riesce
a concentrare tante
competenze e conoscenze
Banca Dati
 Analisi di incidenti è un
lavoro di team.
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 8
TASSONOMIE
POLITECNICO DI MILANO
Anno accademico 2011- 12
ADREP (“Accident/Incident Data Reporting”) - ICAO (1993, 1997 …. 2000)
“Cognitive Reliability and Error Analysis Method” (Hollnagel, 1998)
“Fallible Machine Model” (Reason, 1990)
Human Factors Analysis and Classification System (HFACS) – US Naval
Safety Center – DOD (2003)
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 9
POLITECNICO DI MILANO
Anno accademico 2011- 12
ADREP
• Modelli e Tassonomie : La Tassonomia ADREP
ADREP (“Accident/Incident Data Reporting”) - ICAO (1993, 1997 …. 2000)
Modello SHELL
E
La natura generale e la dimensione globale del
modello SHELL ha permesso di proporre l’uso dello
stesso modello per “osservare” e catalogare la
totalità degli eventi associati ad un’occorrenza, cioè
sia puramente tecnici e meccanici sia quelli
correlati a fattori umani.
La completezza cui si tende nella tassonomia
ADREP, che contiene riferimenti anche ai codici
classificazioni ATA porta alla definizione di un
numero molto rilevante di classi, termini e voci, tali
da coprire tutto il dominio dell’aviazione e le aree
collegate.
P. Carlo Cacciabue
L
S
H
E
L
Software
Hardware
Environment
Liveware
Modulo 3 – STA: Metodi per Analisi Retrospettive
L
H
S
Page 10
ADREP
POLITECNICO DI MILANO
Anno accademico 2011- 12
•
In conseguenza di ciò la tassonomia ADREP:
•
si è sviluppata nel tempo e rimane una struttura “viva” che viene costantemente
aggiornata;
•
è costituita da un numero molto rilevante tabelle piuttosto complesse di classi
diverse, che afferiscono ad aspetti peculiari di un processo di classificazione.
•
In essenza esistono pertanto tabelle per:

classificazione strutture, organizzazioni, componenti, macchine e persone
coinvolte.

regolamenti e le norme in vigore.

La classificazione di attributi e peculiarità associate a tali elementi.

Le fasi del volo e le operazioni di terra coinvolte.

Le interazioni tra i vari componenti
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 11
POLITECNICO DI MILANO
Anno accademico 2011- 12
ADREP
ATM Rating and endorsement
Reporting forms
Aviation operations
S
Recommendations
Aircraft ATM by Designator
Organisation and person
Aircraft make/model
L
Operators
Engines
H
L
Fuels
Propellers
Pilot licence type
Aircraft ATM by Manufacturer
Air navigation services
Location by state
E
Event phase
OTHER TABLES
 Attributes
 Entities
 Descriptive factors
P. Carlo Cacciabue




Explanatory factors
Modifiers
Occurrence classes
Events
State
Location by indicator
ICAO-TAssonomia-ADREP:
http://www.icao.int/anb/aig/Taxonomy/
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 12
POLITECNICO DI MILANO
Anno accademico 2011- 12
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 13
POLITECNICO DI MILANO
Anno accademico 2011- 12
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 14
ADREP
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
POLITECNICO DI MILANO
Anno accademico 2011- 12
Page 15
POLITECNICO DI MILANO
Anno accademico 2011- 12
ADREP
Commenti su ADREP
 completezza e vastità di dettaglio
 complessità intrinseca
 Considerazione di tutti gli aspetti
sistemici, umani, tecnici ecc
 grandissima competenza del
dominio, SHELL e teorie
 Classificazione corretta =>
enorme ricchezza di informazioni
trasmesse per analisi future
 Classificazione errata:
 Errata interpretazione delle
cause e delle possibili
contromisure da adottare
 inquinamento dei dati globali
contenuti nella banca dati
 effetto negativo su tutte le
analisi future che potrebbero
essere fatte a livello
aggregativo dei dati.
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 16
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
Modelli e Tassonomie : La Tassonomia CREAM
“Cognitive Reliability and Error Analysis Method” (Hollnagel, 1998)
Memory \
Knowledge Base
Modello COCOM/SMoC
Focalizzata su:
1. Fattori Umani e sulle quattro funzioni cognitive
del modello COCOM, parte del controllo, vale a
dire percezione, interpretazione, pianificazione
e esecuzione.
Interpretation
Planning
Perception
Execution
Data \
Measurements
Actions
Modello
Modellodel
delcontrollo
controllo
2. Collegare con attenzione le cause, gli effetti e le
manifestazioni di comportamento umano, in una
interazione dinamica circolare.
Strategic
Control
Tactical
Control
Opportunistic
Control
Scrambled
Control
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 17
CREAM
POLITECNICO DI MILANO
Anno accademico 2011- 12
 Le cause di un comportamento errato, anche chiamate "genotipi", sono le
radici di alcuni comportamenti inappropriati.
 Questi possono essere ulteriormente suddivise in cause interne, che
dipendono dalle caratteristiche individuali (personalità, atteggiamenti, ecc),
e cause esterne, che dipendono dal contesto e dal sistema.
 Gli effetti e le manifestazioni di comportamento erroneo, anche chiamati
"fenotipi", consistono nelle forme che l'intero processo cognitivo prende,
cioè le azioni umane.
 "Cause Generiche", che consistono in un elenco di cause legate alla funzione cognitiva
immediatamente collegata a quella in esame, in entrambe le direzioni del processo
cognitivo.
 "Cause Specifiche", che sono essenzialmente costituite da fattori ambientali e
contestuali che possono influenzare il comportamento. Si tratta di una serie di fattori
costanti per tutte le funzioni cognitive, che dipendono principalmente da settori specifici e
ambienti di lavoro. Anche se un elenco generale di questi fattori può essere sviluppato,
essi devono essere individuati in relazione a ciascun dominio di applicazione.
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 18
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
Execuzione
Fenotipi
Cause
generiches
Pianificazione
Interpretazione
Effetti
Percezione
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Cause
specifiche
Page 19
ESECUZIONE
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
Effetti Generali
Effetti Specifici
Cause Generali
Azione fuori tempo
Ritardo
Omissione
Azione prematura
Salto in avanti
Salto indietro
Ripetizione
Scambio di azione
Cambiamento
Cattura cognitiva
Intrusione
Deviazione
Troppo
Troppo poco
Troppo lungo
Troppo cOrto
Troppo lontano
Troppo Corto
Movimento scorretto
Direzione errata
Prossimità
Oggetto simile
Oggetto non correlato
Scelta errata di
alternativa (PIAN)
Nessuna Scelta (PIAN)
Azione non in
sequenza
Azione non corretta
Forza non corretta
Durata non corretta
Direzione non corretta
Oggetto non corretto
P. Carlo Cacciabue
Cause Specifiche
Evento Casuale
(Evento Esterno)
Scelta errata di
alternativa (PIAN)
Evento Casuale
(Evento Esterno)
Scelta errata di
alternativa (PIAN)
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 20
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
PIANIFICAZIONE
Effetti Generali
Effetti Specifici
Cause Generali
Nessuna Scelta
Paralisi di decisone
(Chock, Paura, ...)
Compiacimento
Scelta limitata
Identificazione errata
(INT)
Diagnosi errata (INT)
Scelta errata di
alternativa
Uso di regole
decisionali errate
Alternative mal
definite
Uso di criteri errati
Obbiettivi
secondari non
considerati
Effetti collaterali
non considerati
Orizzonte di
pianificazione
troppo limitato
P. Carlo Cacciabue
Cause Specifiche
Assenza dal posto
Carezza di attenzione
Errore di memoria
Modo di operazione
errato
Incorretto /incompleto Cattivo giudizio
riconoscimento di stato Carenze psicologiche
(INT)
Errori recenti
Tempo improprio
Carico di lavoro
Errore di deduzione
Conoscenza
inadeguata
Errore di induzione
Lunga assenza di
addestramento
Carenza di
addestramento
SovraGeneralizzazione
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 21
INTERPRETAZIONE
Effetti Generali
Effetti Specifici
Identificazione errata
Assunzione non
corretta.
Incompleto o parziale
ricordo.
Incompleto o parziale
ricordo (carenza di
conoscenza).
Ricostruzione non
corretta.
Errato richiamo di
conoscenza.
Identificazione
prematura.
Sintomi male
interpretati.
Situazione non
familiare
Informazione
soggettiva ambigua
Ricordo parziale o
incompleto.
Incompleto o parziale Riconoscimento di
ricordo (carenza di
valore non corretto
conoscenza).
o incompleto (OSS)
Ricostruzione non
Mancato
corretta.
riconoscimento di
Conoscenza errata.
segnale/allarme
Sintomi mal
(OSS)
Modulo 3 – STA: Metodi per Analisi Retrospettive
interpretati.
Diagnosi errata
Incorretto /incompleto
riconoscimento di
stato
P. Carlo Cacciabue
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
Cause Generali
Cause Specifiche
Assenza dal posto
Carezza di attenzione
Errore di memoria
Modo di operazione
errato
Errori recenti
Tempo improprio
Carico di lavoro
Errore di deduzione
Conoscenza
inadeguata
Lunga assenza di
addestramento
Carenza di
addestramento
SovraGeneralizzazione
Page 22
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
PERCEZIONE
Effetti Generali
Effetti Specifici
Cause Generali
Mancato
riconoscimento di
segnale/allarme
Riconoscimento di
valore non corretto o
incompleto
P. Carlo Cacciabue
Lettura errata del
valore
Lettura di indicatore
errato
Modulo 3 – STA: Metodi per Analisi Retrospettive
Cause Specifiche
Assenza dal posto
Carezza di attenzione
Errore di memoria
Modo di operazione errato
Errori recenti
Tempo improprio
Carico di lavoro
Errore di deduzione
Conoscenza inadeguata
Lunga assenza di
addestramento
Carenza di addestramento
Sovra-Generalizzazione
Page 23
SYSTEM RELATED CAUSES
Comunicazione
Attuatori e interfacce
(temporanei)
Interferenze
Procedure
Posto di lavoro /
Interfacce
(permanenti)
P. Carlo Cacciabue
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
Colleghi
Conflitti di priorità
Distrazione
Management
Rumore
Difficoltà di accesso/ostruzioni
Attuatore guasto
Rottura
Segnali in conflitto
Strumento non disponibile
Componente bloccato
Funzionamento eccessivo
Segnali nascosti
Funzionamento inadeguato
Segnali o indicatori mancanti
Operazione spuria
Sistema non ristabilito
Attività/priorità conflittuali
Disturbi generali (Rumore, caldo, ..)
Disturbi specifici
Testo ambiguo
Logica confusa
Discrepanza componente/manuali
Testo non corretto
Passi mancanti nella procedura
Indicazioni ambigue
Convenzioni conflittuali
Distanza
Posizione
Ergonomia del sistema tecnico
Telefono
(Spray, Fuoco, vuoto, Lock)
Scollegato
Duro da operare
Informazione inadeguata.
Contrasto inadeguato
Descrizione errata
Parallasse
Simboli e lettere troppo
piccoli
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 24
POLITECNICO DI MILANO
Anno accademico 2011- 12
CREAM
Commenti su CREAM
 Completezza e vastità di dettaglio
nei fattori umani
 Incapacità di trattare sistemi
tecnici e guasti di impianto
 Può essere combinata con metodi
diversi di guasti meccanici
 Richiede metodi dettagliati (e
dati) di dettaglio di uguale
livello
 Considerazione di tutti gli aspetti
umani cognitivi e comportamentali
 Classificazione corretta della
dinamica del comportamento
 Classificazione di dettaglio delle
“Cause Generiche”
 Intrinseca difficoltà e
necessaria competenza del
modello COCOM
 Carenza di analisi dinamica del
sistema
 Necessita la tassonomia delle
“Cause Specifiche”
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 25
Tassonomia Reason
POLITECNICO DI MILANO
Anno accademico 2011- 12
Modelli e Tassonomie : La Tassonomia - “Fallible Machine”
“Fallible Machine Model” (Reason, 1990)
Modello Fallible Machine
Sensory Inputs
Focal Working
Memory
Focalizzata su:
1. La distinzione tra errori latenti ed errori
attivi mira esattamente a catturare queste
differenze ed ad offrire all’analista uno
strumento per identificare gli errori commessi
ad alto livello in una organizzazione e che
rappresentano gli elementi “patogeni” di errori
commessi a livello più basso ed in prima linea.
Peripheral Working Memory
Similarity Matching
Frequency Gambling
Direct Search
Knowledge Base
Outputs
2. Modello del “Formaggio Svizzero” di
Reason (1997)
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 26
Tassonomia Reason
POLITECNICO DI MILANO
Anno accademico 2011- 12
Modello del “Formaggio Svizzero” – J. Reason (1997)
L’errore umano e’ definito come la mancanza del raggiungimento
dell’obbiettivo desiderato di azioni pianificate, senza l’intervento di eventi
esterni imprevisti.
Slips:
sono associati a mancanza di attenzione o percezione e risultano in azioni
osservabili non appropriate
Lapses: sono eventi cognitivi che normalmente coinvolgono una mancanza di memoria
Mistakes: sono errori commessi ad alto livello cognitivo, che coinvolgono un processo
che dipende dalle informazioni percepite, dalla pianificazione, giudizio e
formulazione di intenzioni..
Violazioni: sono deviazioni dalle pratiche operative, da standards e regole di sicurezza
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 27
Tassonomia Reason
POLITECNICO DI MILANO
Anno accademico 2011- 12
Modello del “Formaggio Svizzero” – J. Reason (1997)
planning
Shift
manuali
job cards Supervisor
Tecnologia Meccanici,
e
Tecnici,
Strumentazione Squadra
Incidente
grave
Incidente
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 28
Tassonomia Reason
POLITECNICO DI MILANO
Anno accademico 2011- 12
Commenti su Tassonomia Fallible Machine
 Abbastanza nei fattori umani
 Considerazione molti aspetti
umani cognitivi e
comportamentali
 Conoscenza del modello
Reason
 Limitata alla considerazione
dei fattori umani
 Classificazione corretta della
dinamica del comportamento
 Carenza di analisi dinamica del
sistema
 Classificazione generica di “tipi”
di errore ma non di “modi“
 Necessita la conoscenza dei
modelli e del dominio specifico
 Può essere combinata con
metodi di guasti meccanici
 Non richiede specifiche
definizioni di dettaglio
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 29
POLITECNICO DI MILANO
Anno accademico 2011- 12
HFACS
Human Factor Analysis and Classification System
“Fallible Machine Model” (Reason, 1990)
P. Carlo Cacciabue
Modello Fallible Machine
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 30
POLITECNICO DI MILANO
Anno accademico 2011- 12
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 31
HFACS
POLITECNICO DI MILANO
Anno accademico 2011- 12
Acts= Errors (Errori) e/o Violations (Violazioni).
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 32
HFACS
POLITECNICO DI MILANO
Anno accademico 2011- 12
Preconditions = condizioni a monte, che hanno permesso
il verificarsi dell'errore attivo
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 33
HFACS
POLITECNICO DI MILANO
Anno accademico 2011- 12
Supervision = Cause derivanti da livelli decisionali intermedi
(i “supervisori”). Per dare un riferimento agli
aspetti manageriali di primo livello e di errori
latenti relativi
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 34
HFACS
POLITECNICO DI MILANO
Anno accademico 2011- 12
Organizational Influences = Cause derivanti da livelli
decisionali più alti.
Decisioni erronee del top-management di un'organizzazione
hanno effetto sia sull'operato sia della supervisione, sia sulle
che condizioni e sulle azioni degli operatori
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 35
POLITECNICO DI MILANO
Anno accademico 2011- 12
Grazie per la Vostra attenzione
P. Carlo Cacciabue
Modulo 3 – STA: Metodi per Analisi Retrospettive
Page 36