Nelle linee guida per la stesura dei Manuali delle Operazioni, obbligatori per le operazioni critiche (e quindi non per hobbisti o trecentini), ENAC ed EASA citano come metodologia per la rappresentazione dell’analisi del rischio i BowTie, i cosiddetti “diagrammi a papillon”. Ma come funzionano, e come si creano per lo specifico uso nelle Operazioni Specializzate?
Il bello del BowTie è che visualizza il rischio che si sta affrontando in un’ unica immagine di facile comprensione. Il diagramma ha la forma di un papillon (in inglese Bow Tie, appunto) e visualizza la chiara differenziazione tra gestione del rischio preventiva e reattiva:
Questo sarà quindi il nostro punto d’arrivo, ma come ci siamo arrivati? Per prima cosa, occorre identificare il punto di partenza, il Pericolo:
PERICOLO: Un pericolo è qualcosa all’interno, intorno o parte dell’Operazione SAPR che ha il potenziale di causare danni. Perdere il link radio, uscire dall’Area di terra controllata, avere un guasto in volo, ma anche semplicemente archiviare dati sensibili sono esempi di aspetti pericolosi di una operazione. Lo scopo del diagramma è focalizzare un pericolo e identificare gli aspetti organizzativi e tecnici che potrebbero avere un impatto negativo se si perde il controllo su quell’aspetto. Dovrebbero essere formulati come aspetti normali dell’organizzazione. Il resto del diagramma è dedicato a come impediamo a quell’aspetto normale ma pericoloso di trasformarsi in qualcosa di indesiderato. Per ogni pericolo identificato va fatto un Bow Tie specifico.
TOP EVENT: Una volta scelto il pericolo, il passaggio successivo consiste nel definire l’evento principale (Top Event). Questo è il momento in cui si perde il controllo del pericolo. Non ci sono ancora danni o impatti negativi, ma è imminente che possa succedere un disastro. Ciò significa che l’evento principale viene identificato appena prima che gli eventi inizino a causare danni effettivi. L’evento principale (Top Event) è dunque frutto di una scelta, una risposta alla domanda “qual è il momento esatto in cui si può perdere il controllo?” In larga misura è una scelta soggettiva e pragmatica. Spesso, l’evento principale viene riformulato dopo che il resto del Tie-Bow è finito.
MINACCE Il Top Event, cioè l’evento dannoso che può nascere a seguito del pericolo, si può realizzare solo se ci sono minacce alla sicurezza. ma quali sono queste minacce? Possono esserci più minacce, e di solito ci sono. Occorre evitare formulazioni generiche come “errore umano”, “guasto del SAPR” o “condizioni meteorologiche”. Cosa deve effettivamente succedere per causare l’evento principale? Quale parte del SAPR si guasta? Che tipo di maltempo, e cosa può causare? Che errore, e di chi? Non è corretto neppure essere troppo specifici, ma generalmente le persone tendono ad essere troppo generiche.
A questo punto abbiamo un PERICOLO generico (il fatto di fare una operazione specializzata diurna), un TOP EVENT (in questo caso specifico, la perdita del link radio: ma avremo sicuramente altri TOP EVENT, come per esempio perdere un’elica, che tratteremo in altri BowTie) che può essere scatenato da diverse MINACCE. Tutto ciò sta sulla parte sinistra del nostro bow tie.
Ma che succede se davvero il TOP EVENT si realizza, e perdiamo il link radio? Ci saranno delle CONSEGUENZE, che andremo a posizionare nella parte destra del diagramma.
CONSEGUENZE: Le “conseguenze” sono il risultato dell’evento principale. Può esserci più di una conseguenza per ogni Top event. Come per le minacce, un errore comune è riferirsi a categorie generiche invece di descrivere eventi specifici. Bisogna fare attenzione a categorie generiche come “lesioni / incidenti mortali”, “danno ambientale” o “disastro aereo”. Queste sono categorie troppo ampie di danni e non descrizioni efficaci di eventi di conseguenza specifici. Meglio descrivere eventi come “Collisione in aree potenzialmente abitate”, “Violazione dello spazio aereo” o “Caduta dell’APR”. Oltre a contenere informazioni più specifiche, aiutano il responsabile della Sicurezza a pensare in modo più specifico quando deve progettare le difese. Può essere difficile immaginare come prevenire un generico “danno ambientale”, e molto più semplice affrontare un “Incendio boschivo scatenato dal cortocircuito della batteria di bordo”. Il secondo è uno scenario reale che rende molto più facile trovare difese specifiche: per esempio, un estintore usato tempestivamente.
DIFESE: Una volta che l’operatore ha identificato e disegnato gli scenari indesiderati, dovrà esaminare come la sua organizzazione può controllare questi scenari. Questo viene fatto usando le “difese”, che sono chiamate anche Barriere, Controlli, Misure di Sicurezza o Livelli di Protezione.
Le difese nel Bow Tie appaiono su entrambi i lati del Top Event. Le difese sul lato sinistro (difese preventive) interrompono lo scenario in modo che le minacce non si verifichino e, se lo fanno, non si traducono in una perdita di controllo (l’evento principale). Le difese sul lato destro (difese reattive) assicurano che se si verifica il Top Event, lo scenario non degeneri in un vero incidente (le Conseguenze), e/o ne mitiga gli effetti. Esistono diversi tipi di difese, che sono principalmente una combinazione di comportamento umano, software, hardware e tecnologia. Una volta identificate le difese, si ottiene una comprensione di base di come vengono gestiti i rischi. Su questa base, si può per approfondire la comprensione di dove sono i punti di forza e di debolezza per quel processo continuo di identificazione dei pericoli e gestione del rischio che sta alla base della sicurezza aerea.
ESCALATION FACTOR E DIFESE EF: Le difese non sono mai perfette. Anche la miglior difesa hardware può guastarsi. Ma occorre sapere perché fallisce. Questo viene fatto utilizzando il “fattore di escalation”, che descrive tutto ciò che può far fallire una difesa. Per esempio, un terminatore diverso dal link di controllo può fallire perché la sua batteria è scarica. Occorre fare attenzione nell’usare fattori di escalation: non si descrivono tutte le potenziali modalità di guasto, ma solo i veri punti deboli della struttura di controllo e come possono essere gestiti. Il passaggio logico successivo è creare difese per i fattori di escalation (Difese FE): in questo caso potrebbe bastare un secondo terminatore di backup.
Ora che abbiamo in mano tutti gli elementi, non ci resta che disegnare il BowTie completo: per avere una visione più completa cambiamo TOP EVENT, e vediamo il caso di perdita della rotta non necessariamente dovuta al link radio vicino a un’area non troppo popolata:
