Un approccio alla gestione del rischio in aree di lavoro

Facolt`

a

di Ingegneria

Corso di Laurea Specialistica in Ingegneria Informatica

Dipartimento di Elettronica e Informazione

UN APPROCCIO ALLA GESTIONE DEL

RISCHIO IN AREE DI LAVORO

Relatore:

Prof.ssa Mariagrazia Fugini

Gianluca Tomasino

Matricola 674017

Indice

1 Introduzione 1

1.1 La Gestione del Rischio . . . 2

1.2 Un Quadro Normativo . . . 4

1.3 I Dispositivi di Protezione Individuale . . . 5

1.4 Obiettivo della tesi . . . 6

2 Un Approccio alla Gestione del Rischio 9 2.1 Caratteristiche Generali del Sistema di Gestione del Rischio . 9 2.2 _{Architettura Generale: il Ciclo mape . . . 10}

2.2.1 _{Le Fasi del Ciclo mape . . . 12}

2.2.2 Monitoring . . . 13

2.2.3 Analyzing . . . 14

2.2.4 Planning . . . 14

2.2.5 Executing . . . 15

2.3 Modello delle Entit`a . . . 15

2.3.1 L’entit`a Entity . . . 16

2.3.2 L’entit`a Environment . . . 16

2.3.3 L’entit`a Person . . . 18 i

2.3.4 L’entit`a Tool . . . 19

2.3.5 L’entit`a Machinery . . . 20

2.3.6 L’entit`a InformativeDevice . . . 21

2.3.7 L’entit`a ProtectionElement . . . 21

3 Modello Computazionale del Rischio 23 3.1 Definizione di Rischio . . . 23

3.2 Determinazione del Rischio d’Ambiente . . . 24

3.2.1 La Funzione di Rischio . . . 25

3.2.2 La Generazione del Rischio . . . 30

3.2.3 La Protezione dal Rischio con Dispositivi d’Ambiente . 32 3.2.4 La Mappa del Rischio Ambientale . . . 33

3.3 Determinazione del Rischio Individuale . . . 34

3.3.1 Il Rischio Individuale . . . 34

3.3.2 La Protezione Individuale . . . 35

3.3.3 Il Livello di Rischio Individuale . . . 36

3.4 Strategie . . . 36

4 Architettura del prototipo 40 4.1 Funzionalit`a del Prototipo . . . 40

4.2 Struttura del Prototipo . . . 41

4.3 Parte Server . . . 44

4.3.1 Architettura del Modello delle Entit`a . . . 45

4.3.2 Architettura della Fase di Monitoring . . . 49

4.3.4 _{Architettura del Parser xml per la Definizione}

del-l’Ambiente . . . 54

4.4 Parte Client . . . 56

4.4.1 Struttura dei Package dell’Interfaccia Grafica . . . 57

4.4.2 Struttura delle Classi dell’Interfaccia Grafica . . . 58

4.5 Environment . . . 60

4.5.1 Struttura delle Servlet di Comunicazione con i Sensori 61 4.5.2 Simulatore . . . 62

4.6 Sequence Diagram . . . 62

4.6.1 Fase Monitoring: Lettura di un Parametro Ambientale 63 4.6.2 Fase Analyzing: Verifica Situazioni di Rischio . . . 64

4.6.3 Fase di Planning: Scelta della Strategia . . . 65

4.6.4 Calcolo della Mappa di Rischio . . . 66

4.6.5 Aggiornamento dell’Interfaccia Grafica . . . 67

5 Esempi 70 5.1 Monitoring dell’Ambiente . . . 70

5.2 Simulazione: Una Fuga di Gas . . . 73

5.2.1 Strategia . . . 75

6 Conclusioni 77 6.1 Sviluppi Futuri . . . 78

A Librerie utilizzate 80 A.1 Google Web Toolkit . . . 80

A.2 Smart gwt . . . 82 A.3 Apache Digester - Commons . . . 82

Elenco delle figure

2.1 Architettura del Sistema di Gestione del Rischio [Fugini et al., 2011] 11

2.2 Modello delle Entit`a per il Sistema di Gestione del Rischio . . 17

3.1 Curva della distribuzione gaussiana, con il massimo in (0,1) . . 27

3.2 Somma di elementi di rischio. La linea verde `e data dalla somma delle altre curve gaussiane . . . 29

4.1 _{Diagramma uml dei componenti del sistema . . . 43}

4.2 Diagramma delle classi del modello del modello delle entit`a . . 46

4.3 Diagramma delle classi necessarie alla realizzazione della fase di monitoring . . . 50

4.4 Diagramma delle classi della fase di analyzing e planning . . . 53

4.5 _{Diagramma delle classi per il parser del file xml di definizione} dell’ambiente . . . 55

4.6 Diagramma dei Package dell’interfaccia utente . . . 58

4.7 Diagramma delle classi dell’interfaccia utente . . . 59

4.8 Diagramma delle classi dell’area Environment . . . 61 4.9 Sequence Diagram della lettura di un parametro ambientale . 63 4.10 Sequence Diagram per il riconoscimento di situazioni di rischio 64

4.11 Sequence Diagram per la scelta della strategia . . . 65 4.12 Sequence Diagram per il calcolo della mappa di rischio . . . . 67 4.13 Sequence Diagram per l’aggiornamento dell’interfaccia grafica 68 5.1 Interfaccia grafica del prototipo . . . 71 5.2 Mappa dell’ambiente e scheda del lavoratore . . . 71 5.3 Evoluzione della mappa del rischio . . . 72 5.4 Situazione iniziale nella simulazione di una fuga di gas . . . . 73 5.5 Evoluzione della mappa del rischio nella simulazione di una

fuga di gas . . . 74 5.6 Situazione finale per la simulazione di una fuga di gas . . . 74 5.7 Scheda del lavoratore “Mario Rossi” . . . 75 5.8 Finestra della strategia mostrata dal prototipo nella

simula-zione di una fuga di gas . . . 76 A.1 Architettura delle classi per la comunicazione con il server . . 81 A.2 Esempio di una lista di dati creata con la libreria SmartGWT 82

Elenco delle tabelle

1.1 _{Il bilancio infortunistico 2009 (Fonte: INAIL Osservatorio} Statistico Infortuni) . . . 4 3.1 Propriet`a degli elementi del rischio . . . 24 3.2 Esempi di combinazioni tra situazioni di rischio, strategie

ap-plicabili e condizioni di selezione che il sistema pu`o gestire . . 37 3.3 Esempio di strategie applicabili, in base al contesto . . . 38

Riassunto

Ogni anno in Italia pi`u di mille persone perdono la vita durante lo svolgimento dell’attivit`a lavorativa e ben maggiore `e il numero di coloro che rimangono invalidi pi`u o meno gravemente. L’alto numero di incidenti sul luogo di lavoro richiede quindi l’introduzione di tutta una serie di misure di prevenzione che devono essere adottate dai lavoratori stessi. L’obiettivo di questa Tesi `e quello di realizzare un prototipo software di un Sistema per la Gestione del Rischio in un ambiente di lavoro.

Nel capitolo 1 verr`a illustrata la normativa vigente in Italia a tutela della sicurezza dei lavoratori e saranno descritti i dispositivi ambientali in grado di fornire informazioni sull’ambiente di lavoro viene poi illustrato lo scopo e il contenuto di questo lavoro di tesi.

Nel capitolo 2 viene introdotta la soluzione proposta in questo lavoro per la gestione del rischio tramite la descrizione di un sistema informativo in grado di utilizzare una rete di sensori al fine di rilevare e segnalare situazioni di pericolo in un ambiente lavorativo.

Nel capitolo 3 viene presentato il modello computazione usato dal sistema per il calcolo del livello di rischio, introducendo prima il concetto di rischio e descrivendo come viene calcolata l’influenza di ogni singola entit`a nella definizione del rischio.

Nel capitolo 4 viene illustrato il prototipo del Sistema per la Gestione del Rischio da un punto di vista architetturale. Viene descritta la tipologia di applicazione sviluppata e i livelli logici che la compongono, vengono descrit-te le principali archidescrit-tetture implementadescrit-te per ogni livello logico e vengono

mostrate le interazioni tra gli oggetti.

Nel capitolo 5 vengono mostrati alcuni esempi di utilizzo del prototipo. In particolare viene simulata un’attivit`a lavorativa nell’ambito di un cantiere o area di lavoro chiusa, evidenziando le informazioni che il prototipo rileva per fornirle all’operatore. In una seconda simulazione viene mostrato come il prototipo rileva e fornisce le informazioni necessarie per far fronte ad una fuga di gas.

Segue il capitolo 6 in cui vengono mostrati alcuni utilizzi del prototipo e indicati alcuni possibili sviluppi futuri.

La Tesi si conclude con l’appendice A in cui vengono descritte le librerie utilizzate per lo sviluppo del prototipo.

Capitolo 1

Introduzione

L’attivit`a lavorativa comune prevede lo svolgimento di un insieme di compiti individuali, che dipende dalla mansione del singolo. Nell’ambiente di lavoro, pi`u `e industriale l’attivit`a aziendale, maggiore `e il rischio individuale a cui i lavoratori sono soggetti. L’attivit`a svolta, per esempio, in un cantiere edile oppure in una officina meccanica `e estremamente pi`u rischiosa (in termini di potenziali incidenti alla persona) dell’attivit`a svolta in un ufficio.

Ogni anno in Italia pi`u di mille persone perdono la vita durante lo svolgi-mento dell’attivit`a lavorativa e ben maggiore `e il numero di coloro che riman-gono invalidi pi`u o meno gravemente. Nel 2009 si sono verificati 790.000 in-fortuni e le morti accertate, imputabili al lavoro, sono state 1.050, la maggior parte delle quali (767 pari al 73%) sono avvenute in all’interno di ambienti di lavoro ordinario come fabbriche, cantieri, ecc. [INAIL, 2010].

Molti degli ambienti industriali in cui, statisticamente, si verificano in-cidenti in numerosit`a significativa, sono connotati da elementi sistematica-mente riconoscibili come sorgenti di rischio. Rilevando analiticasistematica-mente questo tipo di informazioni ambientali e comportamentali `e possibile inquadrare il problema con lo scopo di minimizzare i danni alle persone e agli impianti.

Molti degli incidenti che accadono nei luoghi di lavoro sono in genere preceduti da eventi che possono essere interpretati come indicatori di poten-ziali situazioni di rischio. Questi indicatori possono essere interpretati ed

opportunamente letti come segnali e, di conseguenza, `e possibile affrontare le situazioni di rischio adottando opportune strategie preventive. in questo modo `e possibile, in molti casi, evitare che le situazioni degenerino in veri e propri incidenti. Tuttavia, in determinate circostanze, l’incidente non `e evi-tabile, perch`e non `e preceduto da “pattern” di rischio identificabili a priori. Anche in questi casi, pu`o risultare opportuno applicare delle strategie cor-rettive. L’incidente stesso pu`o rappresentare, infatti, l’indicatore di quella ulteriore situazione di rischio che si presenterebbe qualora, non gestito, il danno dovuto all’incidente si propagasse.

I progressi fatti dall’IT, dalle telecomunicazioni, dalle reti di sensori e dai dispositivi indossabili possono aiutare nell’identificazione delle situazioni di rischio che in genere precedono gli incidenti sul lavoro, in questo modo possono essere gestite in tempo per cercare di prevenire o limitare eventuali danni all’ambiente e alle persone.

1.1

La Gestione del Rischio

Le leggi esistenti prevedono l’impiego di determinati presidi ambientali (come ad esempio il “salvavita” che `e un dispositivo che protegge l’impianto elettrico da sovratensioni) e l’uso di adeguati indumenti a prevenzione degli incidenti (come ad esempio l’utilizzo di giacche, scarpe o occhiali protettivi). Questi dispositivi possono essere considerati elementi di sicurezza “passiva” poich´e sono in grado di prevenire e minimizzare le conseguenze di un evento rischio-so, nel momento stesso in cui avviene. L’utilizzo degli occhiali protettivi, per esempio, permette la salvaguardia degli occhi nel momento in cui avviene un evento di generazione di schegge o simili, durante determinate attivit`a lavorative industriali. Altro esempio, l’adozione di un dispositivo elettrico “salvavita” consente di confinare e impedire il propagarsi della corrente elet-trica sulle linee e sulle parti metalliche esposte a un sovraccarico o a un “corto circuito”. In generale la caratteristica di questo tipo di dispositivi `e quella di proteggere il lavoratore da eventuali pericoli che potrebbero verificarsi dopo che un evento potenzialmente dannoso `e gi`a accaduto.

Una nuova generazione di dispositivi come le reti di sensori o i dispositivi indossabili permettono di identificare ed evidenziare le situazioni di rischio prima che avvengano eventi potenzialmente dannosi [Fugini et al., 2009b]. Si ha infatti la possibilit`a di analizzare l’ambiente, il contesto, gli atteggiamenti e lo stato di utilizzo di macchinari in modo da non delegare esclusivamente al lavoratore le valutazioni di rischio. Ci`o permette di abbattere gli impatti di valutazioni individuali superficiali dovute alla fretta, alla distrazione o al-l’impossibilit`a di cogliere e intercettare determinati eventi esterni. `E infatti possibile utilizzare le reti di sensori e dispositivi indossabili per monitorare, rilevare e reagire a situazioni di rischio in ambienti di lavoro. Utilizzando op-portunamente le reti di sensori e i dispositivi indossabili `e possibile realizzare un sistema distribuito che comunichi i dati ambientali relativi a lavoratori e macchinari tramite un insieme di nodi interconnessi. Questo tipo di reti di sensori sono in grado di rilevare determinati eventi d’ambiente, evidenziando le situazioni di rischio [Fugini et al., 2010].

La continua crescita delle richieste sul mercato di reti di sensori indossa-bili necessarie per segnalare situazioni di pericolo, comprova la riconosciuta efficacia di questi dispositivi, la cui diffusione `e in crescita.

I sensori rilevano sul campo una moltitudine di dati relative all’ambiente, ai lavoratori e ai macchinari che, tramite uno strato applicativo software dedicato, possono essere raccolti, catalogati e gestiti. Opportuni algoritmi permettono di trarne indicazioni efficaci per la segnalazione di potenziali situazioni di rischio.

L’insieme di tutte queste tecnologie, sensori, dispositivi e strato software viene definito Sistema per la Gestione del Rischio, cio`e un sistema informa-tivo basato sui sensori d’ambiente e sui dispositivi indossabili utilizzati dalle persone, finalizzato all’identificazione della posizione dei macchinari e alla rilevazione di eventi rischiosi per la persona. Pi`u in generale, un Sistema per la Gestione del Rischio `e costituito da un insieme di servizi informatici che permettono di gestire il livello di rischio dell’ambiente e delle persone.

Modalit`a di evento Infortuni Casi mortali In occasione di lavoro 696.863 829 In itinere 93.137 283 Totale 790.000 1.050

Tabella 1.1: Il bilancio infortunistico 2009 (Fonte: INAIL Osservatorio Statistico Infortuni)

1.2

Un Quadro Normativo

L’alto numero di incidenti sul luogo di lavoro richiede quindi l’introduzione di tutta una serie di misure di prevenzione e protezione (tecniche, organizza-tive e procedurali), che devono essere adottate dal datore di lavoro, dai suoi collaboratori (i dirigenti e i preposti) e dai lavoratori stessi.

Le misure di tutela della salute e della sicurezza dei lavoratori hanno il fine di migliorare le condizioni di lavoro, ridurre la possibilit`a di infortuni ai dipendenti dell’azienda, agli altri lavoratori, ai collaboratori esterni (subcon-traenti) ed a quanti si trovano, anche occasionalmente, all’interno dell’Azien-da. Misure di igiene e tutela della salute devono essere adottate al fine di proteggere il lavoratore da possibili danni alla salute e malattie professionali, nonch´e preservare la popolazione generale e l’ambiente.

In Italia, la salute e la sicurezza sul lavoro sono regolamentate dal D. Lgs. 81/2008 (conosciuto come Testo Unico sulla Sicurezza del Lavoro), entrato in vigore il 15 maggio 2008. Questo decreto, che ha avuto molti precedenti nor-mativi storici (risalenti al 1955 e 1956) ed altri pi`u recenti (D. Lgs. 626/1994), recepisce in Italia le direttive europee in materia di tutela della sicurezza e della salute dei lavoratori, coordinandole in un unico testo normativo che prevede anche specifiche sanzioni a carico degli inadempienti.

Gli artt. 17 e 28 del testo Unico sulla Sicurezza del Lavoro prevedono che in tutte le aziende pubbliche e private venga predisposto un apposi-to documenapposi-to di valutazione dei rischi per i lavoraapposi-tori, che ricade sotapposi-to la responsabilit`a indelegabile del datore di lavoro (il quale pu`o farsi eventual-mente supportare dalla consulenza di professionisti esperti della materia)

[Wikipedia, 2011d].

In particolare l’articolo 28 del Testo Unico della Sicurezza sul Lavoro prevede che il documento di valutazione dei rischi abbia i seguenti contenuti:

• Relazione sulla valutazione dei rischi, che contiene l’indicazione di tutti i rischi per la sicurezza e la salute durante l’attivit`a lavorativa. Questa analisi `e in genere divisa secondo pi`u fattori di rischio, ad esem-pio: ambienti di lavoro, macchine, attrezzature, agenti chimici, fisici e biologici, aspetti organizzativi e gestionali, ecc.

• Indicazione delle misure di prevenzione e di protezione attuate al fine di eliminare i rischi individuati, o nel caso in cui non sia possibile eliminarli completamente, ridurre il rischio ad un livello accettabile.

• Elenco dei dispositivi di protezione individuale, che indica tut-ti gli indumentut-ti di protezione che i lavoratori indossano al fine della sicurezza individuale (ad esempio: calzature antinfortunistiche, casco, guanti, mascherine protettive, ecc.)

• Programma delle misure ritenute opportune per garantire il miglioramento nel tempo dei livelli di sicurezza, in cui si indi-cano tutte quelle misure che devono essere intraprese al fine di miglio-rare i livelli di sicurezza nel tempo (manutenzioni, verifiche, attivit`a di informazione e formazione dei lavoratori ecc.).

1.3

I Dispositivi di Protezione Individuale

Per alcuni rischi, quali ad esempio i rischi da agenti fisici (rumore, vibrazioni, radiazioni), agenti chimici, agenti cancerogeni, movimentazione manuale dei carichi, ecc. sono specificamente individuate nel Testo Unico della Sicurezza sul Lavoro, le disposizioni inerenti la valutazione preventiva, gli eventuali limiti all’esposizione dei lavoratori e le specifiche misure di prevenzione e protezione, in relazione all’esposizione dei soggetti.

Le metodologie di valutazione dei rischi sono basate su metodi ingegne-ristici di scienza della sicurezza, scienza delle costruzioni, sicurezza elettrica e sull’impiego dei pi`u idonei dispositivi di sicurezza all’interno dell’edificio aziendale o del luogo di attivit`a. Si tratta dei tipici dispositivi di sicurezza, come, ad esempio, quelli rivolti alla prevenzione degli incendi (quali estinto-ri, idranti, ecc.), quelli orientati alla sicurezza elettrica (come le resistenze di terra, gli interruttori magnetotermici, ecc.), oppure i vari aspetti di sicurezza dei macchinari per la produzione e dei mezzi di trasporto.

Nonostante la gestione preventiva del rischio che viene effettuata, come descritto, con determinati presidi ed accorgimenti, il rischio non pu`o essere sempre scongiurato preventivamente. I dispositivi di protezione individuale sono previsti proprio a questo scopo. Si tratta, infatti, di tutte le attrezzature indossate dal lavoratore allo scopo di proteggerlo contro uno o pi`u rischi che, durante il lavoro, minacciano la sua sicurezza o la sua salute. Tali dispositivi sono obbligatori ogniqualvolta non sia possibile eliminare il rischio con accorgimenti preventivi [Wikipedia, 2011b].

Tutti i dispositivi di protezione individuale possono essere suddivisi in tre categorie, in funzione del rischio presente nell’ambiente di lavoro:

• I categoria – rischio lieve

• II categoria – rischio significativo come ad esempio occhi, mani, braccia, viso

• III categoria – comprende tutti i dispositivi per le vie respiratorie e protezione dagli agenti chimici aggressivi

1.4

Obiettivo della tesi

Vista la disponibilit`a sul mercato di tecnologie basate su reti di sensori e dispositivi, diviene oggi possibile immaginare di identificare le situazioni di rischio nelle aree di lavoro che generalmente precedono gli incidenti. Tramite

l’applicazione di opportune strategie, `e spesso possibile che i rischi evolvano in incidenti, contenendo i danni che queste situazioni potrebbero provocare. L’obiettivo di questa Tesi `e quello di realizzare un prototipo software di un Sistema per la Gestione del Rischio, che permetta di raccogliere tutte le informazioni provenienti dalle reti di sensori e dai vari dispositivi indossabili, allo scopo di identificare situazioni rischiose e individuare proattivamente le strategie da applicare per la prevenzione degli incidenti.

Questo lavoro di Tesi `e dunque incentrato sull’architettura e sulla realizza-zione di un prototipo del Sistema per la Gestione del Rischio ed in particolare sullo strato software applicativo che gestisce le informazioni che giungono dai sensori, recependo i risultati di altri lavori che hanno gi`a trattato il livello dei sensori.

Il prototipo utilizza un modello computazionale probabilistico del rischio incentrato sulle persone presenti nell’ambiente interessate da rischio, svilup-pato da [Fugini et al., 2010], ed `_{e implementato realizzando il ciclo mape} [Cheng et al., 2009] composto dalle seguenti fasi: monitoring, analyzing, plan-ning, executing.

Il software `e basato sull’identificazione delle entit`a presenti nell’ambiente e il modello di rischio viene elaborato ad ogni interazione del lavoratore con gli strumenti di lavoro oppure nei casi di macchinari in movimento. Viene calcolata una mappa del rischio per l’area di lavoro monitorata dalla rete di sensori e vengono visualizzati tutti i parametri ambientali che sono tenuti sotto controllo dal sistema.

Il prototipo inoltre analizza ad ogni cambiamento ambientale la nuova situazione per capire se esistono segnali che evidenziano la presenza di pericoli per la sicurezza dei lavoratori o che sono premonitori di eventuali situazioni d’emergenza.

`

E inoltre compito del prototipo proporre la migliore strategia da adottare quando si `e in presenza di situazioni di pericolo. La scelta della migliore strategia `e basata sulla verifica da parte del prototipo della presenza

nell’am-biente di lavoro di particolari condizioni, che suggeriranno l’adozione di una strategia piuttosto che di un’altra.

L’applicativo `e rivolto ai site security manager che hanno la responsabilit`a della sicurezza ambientale e della prevenzione degli infortuni sul lavoro dei lavoratori. Sino ad oggi, questo tipo di attivit`a veniva svolta con un approccio standard, cio`e, per esempio, attraverso metodologie di processo, formazione ai dipendenti, audit sulla sicurezza fisica e simulazioni periodiche. Questo prototipo permette un nuovo approccio, basato sul monitoraggio istante per istante di ci`o che accade nell’area operativa, per identificare i rischi al loro insorgere.

Capitolo 2

Un Approccio alla Gestione del

Rischio

In questo capitolo viene introdotta la soluzione proposta in questo lavoro per la gestione del rischio tramite la descrizione di un sistema informativo in grado di utilizzare una rete di sensori e dispositivi hardware al fine di rilevare e segnalare situazioni di pericolo in un ambiente lavorativo. Vengono prima analizzate le caratteristiche principali che il sistema deve avere, per poi presentare l’architettura generale del sistema e descrivere infine il modello delle entit`a che il sistema `e in grado di gestire.

2.1

Caratteristiche Generali del Sistema di

Gestione del Rischio

Le principali caratteristiche che deve avere un sistema per la gestione del rischio sono l’identificazione e la classificazione delle minacce e la definizione delle necessarie azioni correttive. Per raggiungere questo scopo la soluzione che viene proposta in questa Tesi `e basata sull’identificazione del rischio e sulla sua gestione utilizzando il seguente ciclo di processi: monitoring, analy-zing, planning, executing (mape) [Cheng et al., 2009]. Questo tipo di ciclo `e tipico dei sistemi di controllo e usato nell’ingegneria dei sistemi self-adaptive e self-managing. Tramite questo insieme di processi saremo in grado di

servare l’ambiente di lavoro, rilevare le anomalie tramite l’analisi dei dati che vengono raccolti nella fase di monitoring, decidere se c’`e una situazione di rischio e, quando necessario, attuare gli opportuni cambiamenti mettendo in atto le modifiche previste e pianificate. Le azioni preventive nascono dalla considerazione che i parametri che vengono monitorati dal sistema, come ad esempio la temperatura, possono essere gli indicatori di un rischio crescente. Usando un approccio probabilistico per la valutazione dei parametri `e dun-que possibile calcolare la probabilit`a che un valore di un parametro fuori dal proprio range evolva in una situazione pericolosa. Di conseguenza diviene possibile definire le azioni preventive che permettono al valore del parametro fuori range di ritornare in una condizione di normalit`a. Queste azioni posso-no spaziare dal controllo di una tubatura dalla quale si sta verificando una perdit`a di gas, all’invio di messaggi di allarme alle singole persone attraverso l’uso di sistemi come i pda1.

In definitiva l’implementazione di un tale ciclo di processi permette di ottenere un sistema self-healing per la gestione del rischio in grado di rilevare e trattare situazioni di rischio attraverso l’uso di azioni preventive e correttive.

2.2

_{Architettura Generale: il Ciclo mape}

L’architettura generale del sistema `e quella proposta in figura 2.1.

Possiamo suddividere l’architettura generale in due principali livelli: il primo livello, composto dai moduli non strettamente legati al ciclo mape e pi`u correlato invece ai sensori e ai dispositivi di protezione e il secondo livello, composto dai 4 moduli che realizzano il ciclo mape. Il primo livello `

e stato oggetto di una precedente Tesi che ha affrontato il problema della standardizzazione della raccolta dei dati dai differenti sensori e dispositivi ambientali e personali. L’implementazione del secondo livello, che realizza il ciclo mape, `e l’obiettivo di questa Tesi. Poich´e i due livelli sono interconnessi,

Fig. 2.1: Architettura del Sistema di Gestione del Rischio [Fugini et al., 2011]

per gli scopi di questa Tesi, il primo livello `e stato simulato implementando un’applicazione esterna al prototipo ma in grado di comunicare con esso.

2.2.1

_{Le Fasi del Ciclo mape}

Il ciclo mape applicato al nostro contesto `e composto dalle seguenti fasi: 1. Il monitoraggio (monitoring) dell’ambiente `e realizzato attraverso

l’u-tilizzo di sensori (es. rfid2, videocamere) e dispotivi (es. pda, pc) che chiameremo dispositivi informativi. Tutti i dispositivi e i sensori sono distribuiti nell’area di lavoro (es. sui macchinari, sulle persone e sul lo-ro equipaggiamento) [Franceschini et al., 2009, Laguna et al., 2009]. I sensori sono distribuiti nell’ambiente in modo da essere in grado di rile-vare dati significativi ai fini dell’identificazione del rischio. La raccolta di dati pu`o riguardare, per esempio, il livello di saturazione di sostanze gassose nocive, la rilevazione di allagamenti o altri dati ambientali. Re-lativamente alle persone, possono essere identificate le azioni compiute dagli operai, oppure l’utilizzo di determinati attrezzi, come ad esempio martelli pneumatici o seghe elettriche. Anche i parametri vitali corpo-rei possono essere oggetto di rilevazione e monitoraggio, per osservare le condizioni di salute o di stress psicofisico dei lavoratori.

2. L’analisi (analyzing) dei dati `e eseguita sui dati raccolti per verificare se i valori si trovano entro determinati intervalli operativi di esercizio standard. Ad esempio, viene rilevato se il livello di presenza di gas nell’aria supera una certa soglia, oppure se un macchinario si muove troppo velocemente in un area in cui si trovano delle persone o ancora se la pressione arteriosa di un lavoratore `e troppo elevata o troppo bassa.

3. La pianificazione (planning) viene eseguita quando i dati dell’ambiente mostrano valori al di fuori degli intervalli ammessi. In questa fase viene

associata una funzione di rischio ad ogni elemento presente nell’ambien-te. Combinando tutti i valori della funzione di rischio relativa alle varie sorgenti, `e possibile determinare se siamo in presenza di una situazio-ne di rischio. In questo caso viesituazio-ne selezionata la strategia pi`u adatta. Una strategia `e un insieme di azioni che, se compiute, permettono di ridurre il livello di rischio facendo rientrare la situazione di pericolo o emergenza.

4. L’esecuzione (executing) `e la fase in cui vengono applicate le strate-gie identificate al passo precedente, utilizzando attivatori e dispositivi informativi dislocati nell’ambiente.

Una volta eseguite le strategie, l’ambiente ne risultato mutato e il ciclo riparte dalla fase di monitoraggio. Attraverso il continuo susseguirsi delle fasi descrit-te in precedenza `e possibile osservare e verificare il risultato dell’applicazione delle strategie che portano alla riduzione o addirittura all’eliminazione del rischio.

2.2.2

Monitoring

Questa fase viene gestita dall’Environment Data Manager, che `e un modulo composto a sua volta da due elementi: l’Environment Database e il System Database. Questi due database contengono, rispettivamente, informazioni sull’ambiente e sul contesto operativo, come di seguito descritto.

I valori dei parametri ambientali vengono raccolti dal modulo Data Col-lector tramite i dispositivi informativi, che catturano i dati. I dispositivi in-formativi sono sensori e allarmi (rfid, antenne, sensori di gas/temperatura) che sono dislocati nell’ambiente per monitorarne lo stato, rilevare eventuali situazioni di rischio e generare in casi di pericolo i necessari segnali di allarme. Grazie a questi dispositivi, i dati possono essere anche inviati direttamente dalle persone presenti nell’area di lavoro, sotto forma di segnali e allarmi. Il modulo chiamato Data Collector invia tutti i dati raccolti all’Environment Data Manager che li memorizza nell’Environment Database. Questo

data-base raccoglie i valori istantanei dei dati relativi ai parametri ambientali controllati (temperatura, pressione, concentrazione di gas, ecc.), mentre il System Database gestisce i dati strutturali riguardanti il sistema oggetto di osservazione, quali ad esempio, la topologia dell’area di lavoro oppure i ruo-li dei lavoratori presenti nell’area. A differenza delle informazioni traccia-te dall’Environment Database, i dati presenti nel Systraccia-tem Database, durantraccia-te l’attivit`a ordinaria nell’ambiente operativo, sono soggetti a cambiamenti solo sporadici e la frequenza nel tempo di queste variazioni e piuttosto moderata. In questa fase, quindi, tutti parametri ambientali utili al riconoscimento di situazioni di rischio vengono costantemente raccolti, memorizzati e resi disponibili al sistema che li utilizzer`a per effettuare le necessarie analisi.

2.2.3

Analyzing

La fase di Analyzing `e realizzata dal modulo denominato Data Analyzer Ma-nager. Il suo obiettivo principale `e quello di controllare continuamente i valori rilevati dei parametri ambientali nella fase di monitoring, in modo da verificare se sono all’interno dell’intervallo di confindenza consentito. Quan-do il modulo rileva uno o pi`u di questi parametri al di fuori dell’intervallo di confidenza, notifica al successivo modulo di Planning la potenziale presenza di una situazione di rischio, perch´e venga opportunamente gestita.

2.2.4

Planning

La fase di Planning `e realizzata dal modulo Risk & Emergencies Detector, che `

e composto da tre ulteriori moduli: il Risk Detector, l’Emergency Detector e lo Strategy Manager. I primi due hanno lo scopo di identificare eventuali situazioni di rischio e di emergenza basate sui valori dei parametri ricevuti dal modulo Data Analyzer. Il modulo Strategy Manager si occupa invece di identificare la strategia pi`u appropriata da adottare per la situazione di rischio rilevata. La scelta della strategia `e basata su un insieme di regole

definite nel Risk & Emergency Database che contiene le descrizioni di tutti i rischi che possono essere riconosciuti dal sistema.

Una volta che una strategia `e stata identificata, il Risk & Emergencies Manager invia al modulo Execution Manager tutte le informazioni neces-sarie per permettere che nella successiva fase di Executing venga applicata l’opportuna strategia.

2.2.5

Executing

Questo modulo fa scattare tutte le azioni che devono essere eseguite per af-frontare le situazioni di rischio rilevate. I moduli Risk Execution Handler e Emergencies Execution Manager sono responsabili della corretta esecuzio-ne delle azioni e dei passaggi elementari che compongono una strategia. I messaggi che devono essere spediti alle varie entit`a presenti nell’ambiente (persone, dispositivi informativi, elementi protettivi finalizzati alla preven-zione e alla gestione del rischio) sono gestiti dal Communication Manager, che sceglie ed utilizza il formato di invio pi`u appropriato per il messaggio da inviare. I messaggi inviati dal Communication Manager possono avere sia un connotato informativo che addirittura di allarme. Nel primo caso, il Communication Manager utilizza per l’invio un formato quale per esempio un’immagine, un suono, un sms. In caso di allarme, Communication Mana-ger pu`o attivare spie luminose, sirene oppure altri generi di allarmi sonori per attirare l’attenzione del lavoratore.

2.3

Modello delle Entit`

a

Il prototipo `e stato implementato utilizzando un modello a oggetti in cui ogni entit`a presente nell’ambiente reale ha una corrispondente rappresentazione nel modello informatizzato. Esiste pertanto una relazione tra gli oggetti in-stanziati all’interno del prototipo e la corrispettiva entit`a presente nel mondo

reale. In questo modo `e possibile monitorare gli oggetti e le persone presenti nell’area di lavoro.

2.3.1

L’entit`

a Entity

Per rappresentare tutte le entit`a dell’ambiente il modello utilizza la classe astratta Entity che viene poi estesa oppure implementata da altre clas-si. Tutte le Entity sono potenziali sorgenti di rischio (ambiente, persone, strumenti, macchinari, ecc.).

Entit`a “statiche” e “mobili”

Ogni elemento presente nell’ambiente `e caratterizzato dalla propria posizione, che ha grande rilevanza nel calcolo del rischio associato ad una determinata area dell’ambiente stesso. ´E per questa ragione che l’entit`a Entity ha una propriet`a che ne identifica la caratteristica spaziale. In particolare, un’Entity pu`o essere sia static, nel caso in cui la sua posizione non muta nel tempo all’interno dell’area di lavoro, oppure mobile, qualora per sua natura l’Entity si muove nell’ambiente operativo.

2.3.2

L’entit`

a Environment

L’entit`a Environment rappresenta l’ambiente operativo e ne descrive le rela-tive informazioni, come la dimensione. Un’area di lavoro, in generale, `e un ambiente complesso composto sia da aree aperte OpenArea che da aree chiuse ClosedArea. Un ambiente di lavoro pu`o essere composto da pi`u Environ-ment combinati tra di loro. La posizione relativa di ogni EnvironEnviron-ment che partecipa al modello `e rappresentata tramite coordinate cartesiane piane. In definitiva, la completa topologia dell’ambiente di lavoro `e definita specifican-do la posizione e la dimensione di ogni singola area che compone l’ambiente di lavoro.

Ogni area di lavoro ha almeno un varco (AccessPoint), necessario per l’ingresso e l’uscita dall’area stessa. Il modello considera anche che ogni varco, ai fini delle valutazioni del rischio operativo, potrebbe anche fungere da uscita di emergenza (emergencyExit).

Nell’Environment, oltre agli AccessPoint, sono presenti numerosi altri elementi da considerare ai fini delle valutazioni di rischio. Per rappresentare questi elementi, il modello prevede l’entit`a PlantElement. I PlantElement sono:

• tubature di gas; • tubature di liquidi; • prese elettriche;

• varchi, quali finestre, porte, uscite di emergenza, ecc.

Tutti i plant element sono generatori di rischio e in quanto tali influenzano il calcolo del rischio nell’area di lavoro.

2.3.3

L’entit`

a Person

L’entit`a Person rappresenta una persona che lavora all’interno dell’ambiente operativo. Ad ogni persona `e associato un profilo (realizzato dalla classe Profile) che ne rappresenta le caratteristiche in termini di esperienza, ruolo e capacit`a. La classe Profile `e composta dalle classi Experience, Role e Skill che rappresentano e gestiscono le caratteristiche del profilo associato ad ogni persona.

L’entit`a Skill

L’entit`a Skill modella le capacit`a che il lavoratore dovrebbe possedere per un utilizzo corretto (e quindi poco rischioso) degli strumenti e dei macchi-nari ed `e espressa da un indice che pu`o assumere i valori di basso, medio o

alto. Gli Skill associati ad una persona sono destinati al confronto con gli Skill necessari all’utilizzo di Tool e Machinery, per il calcolo del rischio nell’ambiente operativo.

L’entit`a Experience

L’entit`a Experience modella le conoscenze individuali necessarie per operare in modo sicuro relativamente alle procedure di sicurezza e all’organizzazione del proprio lavoro. L’esperienza `e espressa utilizzando un indice per ogni aspetto, in relazione al numero di anni lavorativi e all’et`a del lavoratore. Anche questo indice di esperienza, come per quello inerente alle capacit`a del lavoratore, pu`o assumere i valori di basso, medio o alto.

L’entit`a Role

L’entit`a Role rappresenta il ruolo ricoperto dal lavoratore e pu`o assumere significati quali capo-team, visiatore, amministratore, ecc. Il Role non in-terviene durante il calcolo del livello di rischio a cui la persona `e soggetta. Al contrario il Role viene utilizzato nella successiva fase di Planning per la scelta della pi`u opportuna strategia comportamentale da far applicare alla singola persona in caso di pericolo o emergenza.

2.3.4

L’entit`

a Tool

L’entit`a Tool rappresenta uno strumento che si trova all’interno dell’ambiente operativo e pu`o essere utilizzato da una Person nell’ambito della propria attivit`a lavorativa. Alcuni esempi di strumenti sono martelli, seghe, trapani, ecc.

Questo oggetto contiene alcune informazioni che caratterizzano lo stru-mento, quali le funzionalit`a a cui esso `e preposto (funcionality) e la data di fabbricazione (fabricationDate), che servono al calcolo del rischio correlato

all’utilizzo dello strumento (utilizzare uno strumento nuovo, per esempio, `e meno rischioso rispetto all’utilizzo di uno pi`u vecchio ed usurato!).

L’entit`a Tool `e caratterizzata da una associazione di tipo “molti-a-molti” con l’oggetto Skill, per rappresentare le competenze necessarie ad una per-sona per l’utilizzo dello strumento di lavoro. Esiste anche un’altra relazione di tipo “molti-a-molti” di questo oggetto con l’oggetto UsageInstruction, per rappresentare le regole di utilizzo sicuro che le persone non devono violare nell’utilizzo del tool.

L’entit`a UsageInstruction

L’entit`a UsageInstruction `e una propriet`a presente nella classe Machinery e nella classe Tool che rappresenta l’insieme delle procedure di utilizzo sicure di Tool oppure di Machinery. Si tratta delle procedure di corretto utilizzo finalizzate a ridurre al minimo le probabilit`a che si verifichino situazioni di rischio che possano coinvolgere le persone e l’area di lavoro.

2.3.5

L’entit`

a Machinery

Questa entit`a modella un macchinario a disposizione dei lavoratori presen-ti nell’ambiente operapresen-tivo. Alcuni esempi di Machinery sono: automezzi, muletti, ruspe, ecc.

Analogamente all’entit`a Tool, un Machinery contiene alcune informazioni che lo caratterizzano ed `e in relazione con le entit`a Skill e UsageInstruc-tion (descritte nel precedente paragrafo 2.3.3) per descrivere i requisiti delle competenze della persona che lo utilizza e le istruzioni operative da rispettare nell’utilizzo. Differentemente da un Tool, un Machinery ha la caratteristica di muoversi autonomamente e liberamente nell’ambiente operativo e infatti, per questo motivo, `e caratterizzato anche da una posizione.

2.3.6

L’entit`

a InformativeDevice

L’entit`a InformativeDevice modella i dispositivi tecnologici utilizzati nel sistema informativo per tenere monitorato e per comunicare con l’ambiente operativo. Questi dispositivi possono sia trasmettere informazioni dall’am-biente verso il sistema informativo, ai fini della raccolta dei dati relativi ai pa-rametri ambientali, sia ricevere segnali di allarme dal sistema informativo del centro di sorveglianza, per notificare alle persone che operano nell’ambiente di lavoro eventuali situazioni di rischio.

Ogni informative device `e caratterizzato da i seguenti parametri:

• TransmissionMedium — indica il protocollo o la tecnologia trasmissiva con cui il dispositvo comunica con il sistema (per esempio ethernet, Wi-Fi, Bluetooth)

• InDataFlow — rappresenta il flusso di dati in input che il dispositivo rileva nell’ambiente e invia al Sistema di Gestione del Rischio

• OutDataFlow — rappresenta il flusso di dati in output che il Sistema di Gestione del Rischio invia al dispositivo per informare le persone su allarmi o situazioni di pericolo in corso

2.3.7

L’entit`

a ProtectionElement

L’entit`a ProtectionElement ha lo scopo di rappresentare i presidi finalizzati a prevenire i rischi fornendo protezione fisica alle persone, agli strumenti e ai automezzi, in modo da diminuire il livello di rischio proprio e quello da loro stessi generato.

Il modello prevede tre tipi di ProtectionElement:

• PersonProtectionGarments — sono gli elementi che forniscono una protezione fisica alle persone (es. caschi, scarponi, giacche, ecc.). I PersonProtectionGarments possiedono le seguenti propriet`a:

– una descrizione;

– un intervallo di sicurezza all’interno del quale il PersonProtec-tionGarments pu`o fornire un’adegauta protezione alla persona; • EnvironmentProtectionKits — questi ProtectionElement

permet-tono alle persone di intervenire sull’ambiente di lavoro in caso di inci-dente o di poter scappare. Esempi sono i kit di protezione da incendi oppure kit di evacuazione;

• InstrumentProtectionKit — sono ProtectionElement che hanno lo scopo di fornire una protezione agli strumenti e agli automezzi utilizzati nell’area di lavoro, in modo da abbassarne la loro pericolosit`a.

Capitolo 3

Modello Computazionale del

Rischio

In questo capitolo viene presentato il modello computazione usato dal sistema per il calcolo del livello di rischio, introducendo prima il concetto di rischio e descrivendo come viene calcolata l’influenza di ogni singola entit`a nella definzione del rischio. Vengono definiti alcuni concetti relativi al rischio come la mappa del rischio, il livello di rischio e il livello di protezione che sono associati con le entit`a che rappresentano l’ambiente di lavoro.

3.1

Definizione di Rischio

Per poter calcolare in modo analitico il livello di rischio generato nell’ambien-te operativo da ogni entit`a presente nell’area di lavoro `e necessario definire con precisione il concetto di rischio. Nell’ambito di questo modello del Siste-ma di Gestione del Rischio, il rischio `e un effetto potenzialmente dannoso, o comunque negativo, che deriva da processi, eventi o attivit`a in corso, e che grava su una o pi`u entit`a presenti nell’area di lavoro.

Il rischio pu`o essere classificato in base ad alcune propriet`a che lo carat-terizzano, come riportato nella tabella 3.1. Si tratta delle propriet`a, che de-rivano dall’esperienza comune, che devono essere necessariamente rispettate

Elemento caratterizzante Propriet`a

Indicatori di rischio Ogni dato interpretato come indicatore di rischio deve essere proporzionale al danno atteso.

Sorgenti di rischio Le misure di protezione devono essere specifiche per ogni sorgente di rischio. Ogni sorgente di rischio deve esse-re identificata da un’entit`a presente nell’ambiente operativo.

Ogni sorgente di rischio deve possedere un proprio pericolo intrinseco.

Danno I danni attesi devono essere proporzionali alla tipologia di sorgente di rischio. I danni attesi devono essere inversamente proporzionali alla distanza dalla sorgente di rischio.

I danni attesi devono essere inversamente proporzionali all’efficacia delle misure di protezione impiegati dalle persone. Tabella 3.1: Propriet`a degli elementi del rischio

da ogni modello analitico finalizzato al calcolo dei livelli di rischio.

3.2

Determinazione del Rischio d’Ambiente

Nell’ambiente lavorativo reale, il rischio per un lavoratore `e una conseguenza della sua posizione nell’ambiente operativo, delle protezioni indossate, delle procedure di sicurezza adottate e della presenza di entit`a potenzialmente pe-ricolosi. La rischiosit`a per una persona, in ogni istante, dipende quindi dalle propriet`a del lavoratore (quali per esempio et`a, skill, esperienza, ruolo, stato di salute e protezione impiegate) e dalle entit`a presenti nell’ambiente con cui interagisce. La combinazione di questi due fattori identifica gli elementi di rischio che quindi possono essere rappresentati dal prodotto cartesiano tra le propriet`a del lavoratore e le entit`a presenti nell’ambiente.

tempo t, `e dato dalla somma dei singoli elementi di rischio, ottenuti da una combinazione di tutte le risorse pericolose presenti nell’ambiente attive al tempo t, pi`u precisamente:

RP =

X

∀r∈R

(P ersone ⊗ Ambiente) (3.2.1) con R insieme di tutti gli elementi di rischio presenti nell’ambiente operativo. Considerando le propriet`a descritte nella tabella 3.1, questa definizione pu`o essere esplosa in un’espressione analitica per il calcolo istantaneo del rischio di una persona: RP = X ∀r∈R Pr· tr dpr· sr (3.2.2) dove Pr indica la pericolosit`a della risorsa r; tr `e un coefficiente legato al tipo

di pericolo della risorsa r; dpr `e la distanza tra la persona p e la risorsa r;

sr `e un coefficiente legato alle procedure di sicurezza che sono state messe

in atto e alle protezioni individuali indossate dal lavoratore per prevenire i danni che la risorsa r pu`o provocare.

3.2.1

La Funzione di Rischio

La formula analitica del rischio risulta molto utile all’identificazione dei pa-rametri del rischio. Tuttavia, essa presenta alcuni problemi:

• `e difficile ottenere intervalli validi per i coefficienti tr e sr utilizzando

dati sperimentali;

• il coefficiente di rischio sr dovrebbe essere indipendente da

qualsia-si altro fattore nell’espresqualsia-sione, in quanto le protezioni indossate e le procedure di sicurezza messe in atto dovrebbero offrire un supporto co-stante alla riduzione del rischio della persona, indipendentemente dalla sua distanza dal pericolo;

• il parametro distanza pu`o far oscillare i valori di rischio al di fuori del range previsto. Infatti, anche brevi distanze possono far aumentare RP

a livelli molto alti. Anche se concettualmente corretta, questa variabi-lit`a potrebbe portare a problemi durante l’elaborazione delle formule di rischio.

Molti di questi problemi, come proposto da [] possono essere risolti at-traverso l’utilizzo di una funzione di rischio modificata con i seguenti due accorgimenti:

• il coefficiente sr relativo alle procedure di sicurezza viene separato dal

calcolo del rischio sottraendo a RP un valore numerico che dipende

dalle protezioni usate per prevenire i danni causati dalla sorgente r considerata;

• la distanza dpr viene sostituita da un coefficiente gaussiano che dipende

dalla distanza dall’elemento di rischio e dal tipo di rischio, ottenendo sempre un valore compreso tra 0 e 1. Questo valore viene poi moltipli-cato per il fattore di pericolosit`a Pr relativo ad ogni risorsa r, in modo

da diminuire il suo contributo al crescere della distanza della persona dalla sorgente di rischio.

Per semplicit`a considereremo un’area di lavoro bidimensionale e suppo-nendo che la risorsa r, generatrice di rischio, sia localizzata nell’origine degli assi possiamo utilizzare la distribuzione gaussiana, che ha la caratteristica di avere il proprio massimo (cio`e il suo valo medio µ) esattamente in corrispon-denza all’origine del pericolo e decrementa il proprio valore allontanandosi da esso. Pi`u la curva gaussiana `e “piatta”, maggiore sar`a l’influenza del rischio all’aumentare della distanza. L’apertura della curva gaussiana, e quindi la distribuzione dei valori intorno alla media, dipende dal tipo di pericolo asso-ciato alla risorsa (es. gas, fuoco, ecc.) e cio`e dal coefficiente tr. Il coefficiente

tr `e dunque la deviazione standard σ della campana gaussiana.

Infine, la curva gaussiana viene scalata in modo che il suo massimo coinci-da con il punto (0, 1) e che quindi la rischiosit`a del singolo elemento di rischio

Fig. 3.1: Curva della distribuzione gaussiana, con il massimo in (0,1) r possa assumere solo valori all’interno dell’intervallo [0, 1], come mostrato in figura 3.1.

La nuova espressione per il calcolo del livello di rischio RP per una persona

P al tempo t `e quindi:

RP =

X

∀r∈R

[Nσ(dpr) · Pr− sr· br] (3.2.3)

dove Pr indica la pericolosit`a della risorsa r; sr `e il coefficiente (indipendente

dalla distanza dalla sorgente di rischio r) legato alle procedure di sicurezza che sono state messe in atto e alle protezioni individuali indossate dal lavoratore per prevenire i danni che la risorsa r pu`o provocare; br `e un coefficiente

booleano tale che:

br =

 1 se sono presenti presidi protettivi

0 altrimenti (3.2.4) Nell’espressione precedente, per presidi protettivi si intende che viene messa in atto una procedura di sicurezza oppure viene adottato un dispositivo

protettivo in grado di ridurre il rischio causato dalla risorsa r; dpr `e la distanza

della persona P dalla risorsa r; Nσ`e una funzione gaussiana con media uguale

a 0 e deviazione standard σ opportunamente scalata in modo che assuma valori nell’intervallo [0,1]. Pi`u precisamente essa rappresenta la seguente funzione, nella quale tr `e la deviazione standard:

Nσ = e

−dpr

2

2tr2 _(3.2.5)

In questo modo tutte le propriet`a della tabella 3.1 sono state mantenute, ossia sono state rispettate tutte le dipendenze (dirette e indirette) tra il rischio e ogni sua singola componente.

La somma di ogni funzione gaussiana (che ha come valore massimo pr)

diminuita di un fattore sr, rappresenta il valore del livello di rischio Rp

nel-l’ambiente di lavoro. Per esempio, assumiamo per semplicit`a che un lavora-tore possa muoversi solo linearmente sulla dimensione rappresentata dall’asse X di un piano cartesiano, in cui il valore del livello di rischio calcolato viene rappresentato sull’asse Y . Assumiamo poi di avere tre sorgenti di rischio r posizionate nei punti dell’asse X con valori −5, 0 e 3. Le deviazioni standard σ delle sorgenti di rischio r siano rispettivamente 1, 2 e 5. Cos`ı facendo la somma delle tre curve gaussiane Nσ delle sorgenti di rischio r rappresenta la

curva di rischio dell’area di lavoro, come mostrato in figura 3.2.

Applicando lo stesso metodo al caso di un lavoratore che pu`o muoversi liberamente in un’area bidimensionale otterremo un grafico tridimensionale nel quale l’asse Z rappresenta l’insieme dei valori che possono essere assunti dal livello di rischio nell’intera area di lavoro. Per ottenere i valori del livello di rischio in ogni punto dell’intera area di lavoro utilizzeremo una distribuzione

gaussiana bidimensionale, che ha la seguente espressione: f (x, y) = √ 1 2π · σx e−12 x−µx σx
2 · √ 1 2π · σy e− 1 2 y−µy σy
2 = 1 2πσxσy e− 1 2 h x−µx σx
2 + y−µy_σy
2i (3.2.6)

Utilizzando come media (µx, µy) della distribuzione gaussiana la

posizio-ne della risorsa di rischio posizio-nell’area di lavoro e ipotizzando che le deviazioni standard σx e σy siano uguali tra di loro, possiamo semplificare la funzione

ottenendo: z = e− _{(x−xP )}2 2·tr 2 + (y−yP )2 2·tr 2  (3.2.7) dove P `e il punto in cui risiede la risorsa r generatrice di rischio, le cui coordinate sono (xP, yP) e tr `e la deviazione standard.

Fig. 3.2: Somma di elementi di rischio. La linea verde `e data dalla somma delle altre curve gaussiane

3.2.2

La Generazione del Rischio

In base a quanto detto sino ad ora, per ogni sorgente di rischio `e necessario definire una distribuzione di rischio caratterizzata dalle coordinate del valore medio, dalla deviazione standard tr e da un coefficiente di proporzionalit`a

Pr.

Ognuno di questi valori `e a sua volta una funzione f () di altri parametri, che sono differenti per ogni sorgente di rischio identificata.

Plant Element

Consideriamo i vari plant element sorgenti di rischio relativi alla presenza di tubi, finestre, porte, prese elettriche. Possiamo determinare le caratteristiche della funzione f () nel seguente modo:

• coefficiente di proporzionalit`a Pr: il tipo di elemento influenza il livello

di rischio, ad esempio una presa elettrica pu`o essere considerata meno pericolosa di un tubo del gas e quindi il coefficiente di proporzionalit`a `

e funzione del tipo: f (type);

• valore medio: la posizione dell’elemento nell’area di lavoro;

• deviazione standard tr: il tipo e la posizione dell’elemento influenzano

il livello di rischio ad una certa distanza che dipende dalla deviazione standard: f (type, position).

Persona

Ogni persona rappresenta una sorgente di rischio per la quale le caratteristi-che della funzione f () sono le seguenti:

• coefficiente di proporzionalit`a Pr: maggiore `e l’esperienza e gli skill

della persona, minore sar`a il rischio che generer`a con le proprie attivit`a, pertanto si utilizzer`a una f (skill, experience);

• valore medio: la posizione della persona nell’area di lavoro;

• deviazione standard tr: l’utilizzo di strumenti da parte della persona

influenza la curva di rischio che interessa l’area circostante. Si utilizzer`a quindi una f (tool).

Automezzi

Il rischio generato da ogni automezzo determina una funzione f () le cui caratteristiche sono le seguenti:

• coefficiente di proporzionalit`a Pr: il livello di rischio generato da un

au-tomezzo in movimento `e inversamente proporzionale al livello di adozio-ne delle istruzioni per un utilizzo sicuro dell’automezzo stesso da parte del conducente, e quindi si utilizzer`a una f (instruction usage);

• valore medio: la posizione dell’automezzo nell’area di lavoro;

• deviazione standard tr: il tipo di automezzo e le il livello di adozione

delle istruzioni per un utilizzo sicuro influenzano la curva di rischio, e quindi sar`a utilizzata una f (type, instruction usage).

Stato Ambientale

Lo stato ambientale `e rappresentato nel modello dalle informazioni che ven-gono rilevate e trasmesse dai dispositivi informativi, come ad esempio i rile-vatori di gas o di temperatura. Le caratteristiche della funzione f () sono le seguenti:

• coefficiente di proporzionalit`a Pr: il livello di rischio derivante dai

mo-nitoraggi dei sensori ambientali dipende dal tipo di parametro rilevato e dal valore del dato raccolto, quindi si utilizzer`a una f (type, in-dataflow); • valore medio: la posizione del sensore nell’area di lavoro;

• deviazione standard tr: il tipo di sensore e le informazioni da esso

raccolte influenzano la curva di rischio, e quindi sar`a utilizzata una f (type, in-dataflow).

3.2.3

La Protezione dal Rischio con Dispositivi

d’Am-biente

In ogni ambiente operativo sono presenti entit`a che influenza il livello di rischio, diminuendolo. Tipicamente, si tratta di elementi quali le uscite di emergenza ed i dispositivi di pronto intervento (ad esempio gli estintori). Queste diminuzioni del livello di rischio verranno modellate nuovamente con distribuzioni di tipo gaussiano con il valor massimo localizzato sulla posizione del dispositivo di sicurezza. La varianza di queste distribuzioni discende dall’efficacia di questi dispositivi al crescere della distanza da essi. Pertanto, coerentemente con quanto discusso per le sorgenti di rischio, anche in questo caso i parametri di riferimento per definire la funzione di diminuzione del rischio sono: le coordinate del valore medio, la deviazione standard ts e il

coefficiente di proporzionalit`a Ps.

Varchi e Uscite di Emergenza

I varchi e le uscite di emergenza hanno la caratteristica di abbattere il livello di rischio perch´e permettono agli operatori di allontanarsi tempestivamente e con successo da situazioni di pericolo ambientale. La protezione generata da questo tipo di elementi `e rappresentabile con una funzione f () dotata delle seguenti caratteristiche:

• coefficiente di proporzionalit`a Ps: `e un valore fisso che non dipende da

null’altro se non dalla presenza stessa dei varchi;

• valore medio: la posizione del varco all’interno dell’area di lavoro; • deviazione standard ts: il tipo di varco ed il suo allestimento e

varco, maggiore risulter`a la sua efficacia in caso di emergenza, quindi sar`a utilizzata una f (type).

Dispositivi di Pronto Intervento

I dispositivi posizionati all’interno dell’area di lavoro, come ad esempio gli estintori, utili in caso di situazioni pericolose o di emergenza, permettono di abbassare il livello di rischio perch´e permettono di poter intervenire tempe-stivamente per risolvere o far fronte ad una situazione ad alto rischio. La protezione generata da questo tipo di elementi `e rappresentabile come una funzione f () che ha le seguenti caratteristiche:

• coefficiente di proporzionalit`a Ps: `e un valore fisso che dipende solo

dalla presenza stessa del dispositivo di pronto intervento;

• valore medio: la posizione del dispositivo di pronto intervento all’inter-no dell’area di lavoro;

• deviazione standard ts: il tipo di dispositivo di pronto intervento

in-fluenza la curva di rischio. Pi`u il dispositivo `e in grado di essere uti-lizzato tempestivamente maggiore sar`a la sua efficacia, che decresce al crescere della distanza, quindi sar`a utilizzata una f (type).

3.2.4

La Mappa del Rischio Ambientale

Una volta calcolate le funzioni f () di ogni sorgente di rischio e di tutti i dispositivi protettivi d’ambiente, ottenendo quindi le distribuzioni gaussiane di ogni elemento presente nell’ambiente, `e possibile combinare le varie distri-buzioni in modo da ottenere una mappa del rischio da associare ad ogni area operativa.

Ipotizzando quindi che ogni sorgente di rischio ed ogni elemento protet-tivo d’ambiente sia caratterizzato da una funzione di rischio indipendente, la somma di tutte le curve gaussiane fornisce una vista istantanea del valore

di rischio in ogni punto di spazio bidimensionale. Nel dettaglio il livello di rischio RP nel punto (x, y) risulta:

RP(x, y) = X ∀r∈R Ntr dpr
· Pr− X ∀s∈S Nts dps
· Ps (3.2.8)

dove R `e l’insieme di tutte le sorgenti di rischio presenti nell’ambiente; S `e l’insieme di tutti i dispositivi protettivi presenti nell’ambiente; N `e la distri-buzione gaussiana associata alla sorgente di rischio r oppure al dispositivo protettivo s ed `e funzione della distanza d dall’elemento di rischio r oppure dal dispositivo protettivo s e della deviazione standard tr oppure ts; P `e il

coefficiente di proporzionalit`a associato alla sorgente di rischio r oppure al dispositivo protettivo s.

3.3

Determinazione del Rischio Individuale

Fino ad ora sono stati presi in considerazione tutti gli elementi di rischio derivanti dal contesto operativo ambientale, in cui un lavoratore pu`o muoversi per svolgere la propria attivit`a. Tuttavia, il rischio associato ad un persona non deriva unicamente dalla sua posizione nell’ambiente, ma assume un peso determinante anche la rischiosit`a dell’attivit`a che sta svolgendo.

Lo svolgimento di un’operazione lavorativa pi`u o meno pericolosa gene-ra sull’individuo un livello di rischio che va considegene-rato ai fini del modello. Anche i presidi protettivi individuali adottati giocano un ruolo importante, diminuendo il rischio del lavoratore.

3.3.1

Il Rischio Individuale

Il rischio individuale di una persona verr`a chiamato P RL, per Personal Risk Level. Il P RL di una persona dipende da:

• il rischio d’ambiente RP, discusso nel paragrafo 3.2, che dipende dalla

posizione in cui il lavoratore si trova in un determinato istante e dalle caratteristiche di rischio dell’ambienjte in cui opera;

• l’esperienza e gli skill posseduti dall’operatore specificamente in rela-zione all’attivit`a che sta compiendo;

• caratteristiche di rischiosit`a di strumenti e macchinari che l’operatore sta utilizzando nell’ambito della propria attivit`a;

• lo stato psicofisico della persona, che pu`o essere rilevato sul corpo utilizzando specifici sensori indossabili.

Quindi, possiamo scrivere che:

P RL = f (posizione, esperienza e skill, strumenti e macchinari, stato psicofisico) (3.3.1)

3.3.2

La Protezione Individuale

Ogni persona `e anche connotata dal livello di protezione individuale (P P L, cio`e Personal Protection Level) che rappresenta il grado di smorzamento del rischio a cui `e assoggettato per effetto dei dispositivi protettivi che indossa oppure che ha a disposizione. Il livello di protezione individuale dipende da: • dagli elementi protettivi indossati dal lavoratore durante la sua attivit`a

lavorativa;

• dai dispositivi informativi (es. pda) che permettono ai lavoratori di comunicare con altri lavoratori o di essere raggiunti da messaggi infor-mativi o di allarme in caso di emergenza.

Quindi possiamo scrivere che:

P P L = f (dispositivi protettivi,

dispositivi informativi) (3.3.2)

3.3.3

Il Livello di Rischio Individuale

Nel complesso, il rischio individuale totale, detto P RI, ossia Personal Risk Index, rappresenta il livello di rischio a cui una persona `e soggetta in un determinato istante di tempo. Si tratta di una misura del rischio di una persona che non tiene conto di come la stessa persona influenza l’ambiente circostante, ma solo il rischio che l’ambiente (compresi altri individui che in esso operano) genera nei confronti del singolo. Il P RI `e calcolato nel seguente modo:

P RI = P RL − P P L (3.3.3) Se il P RI oltrepassa determinate soglie di rischio diviene necessario ope-rare un intervento, applicando la miglior strategia per far rientope-rare il livello di rischio del lavoratore.

3.4

Strategie

La presenza di parametri al di fuori dell’intervallo di confidenza previsto, di per s`e, gi`a denota una situazione di rischio. L’eventualit`a di una situazione di questo tipo viene costantemente monitorata dall’rms. Il sistema mantie-ne sotto controllo, in ogni istante, la mappa completa del rischio ambientale derivante dalla letture dei parametri dei sensori. Indipendentemente dalla lettura del P RI, il sistema `e in grado quindi di identificare una situazione di rischio tale da rendere necessaria l’applicazione di una strategia di con-tenimento del livello di pericolo a cui l’area, e soprattutto i lavoratori, sono soggetti.

Situazione Nome del Pattern Condizione e strategie Fuga di gas Risk Level Se il livello di rischio

indivi-duale `e maggiore di un soglia viene applicata la strategia 2 altrimenti la strategia 1

Scoppio di una condotta

Risk Vicinity Se il lavoratore si trova vicino alla sorgente di rischio viene ap-plicata la strategia 4 altrimenti la strategia 1 o la strategia 2 Crollo Number of Persons Se il numero di lavoratori

al-l’interno dell’area di lavoro `e maggiore di n viene applica-ta la strategia 1 altrimenti la strategia 3

Incendio Skills Se nell’insieme dei lavorato-ri all’interno dell’area di lavo-ro `e presente un capo team viene applicata la strategia 2 altrimenti la strategia 1

Lieve radioatti-vit`a

Health Se nell’insieme dei lavoratori all’interno dell’area di lavoro `e presente un lavoratore con una condizione di salute bas-sa viene applicata la strategia 3 altrimenti la strategia 1

Tabella 3.2: Esempi di combinazioni tra situazioni di rischio, strategie applicabili e condizioni di selezione che il sistema pu`o gestire

Nel momento in cui il modulo di Analyzing rileva dei valori oltre le so-glie di guardia, si attiva il modulo Strategy Manager, e viene conseguente-mente avviata la fase di Planning, perch´e la situazione di emergenza venga opportunamente gestita.

Il valore del parametro P RI di un lavoratore, che viene influenzato dai valori di rischio ambientali, anche se permette di individuare quali siano i lavoratori in pericolo, non `e sufficiente, di per s`e, per l’identificazione della strategia pi`u efficace da adottare per riportare i parametri entro le soglie di normalit`a.

Per la scelta della strategia pi`u adatta, `e necessario individuare la tipolo-gia di situazione di rischio con cui i lavoratori hanno a che fare. Questo pas-saggio permette di individuare un insieme di strategie potenzialmente adatte alla situazione, tra cui scegliere, in base al pattern strategico pi`u appropriato. A questo punto, in base ad alcune condizioni relative alle rilevazioni ambien-tali, alla dislocazione delle persone nelle aree operative, ai loro ruoli e skill, e in base a tutte le altre informazioni disponibili, `e possibile individuare la strategia pi`u efficace tra quelle definite nel Risk & Emergency Database. La strategia si sostanzia poi in un insieme ordinato di azioni, a cui viene dato seguito di conseguenza. La tabella 3.2 riporta alcuni esempi di combinazioni tra situazioni di rischio, strategie applicabili e condizioni di selezione che il sistema pu`o gestire.

Le varie strategie si differenziano in base all’aggressivit`a nei confronti della situazioni di pericolo e in base alla presenza di alcune condizioni che rappresentano il livello rischio a cui far fronte. Ogni strategia pu`o essere pi`u o meno efficace, ma va sempre ricordato che l’obiettivo `e quello di applicare

Nome Azioni

Strategia S0001 Controlla il sensore del gas

Controlla il livello di concentrazione del gas Manda un sms al capo team

Recupera gli strumenti di lavoro Lascia l’area di lavoro

Spostati nell’area di sicurezza Strategia S0002 Chiudi il rubinetto del gas

Chiudi l’interuttore generale della corrente Attiva gli allarmi

Lascia l’area di lavoro

Spostati nell’area di sicurezza Strategia S0003 Attiva l’allarme

Spostati nell’area di sicurezza Strategia S0004 Attiva l’allarme

Guida le persone fuori dall’area di lavoro Tabella 3.3: Esempio di strategie applicabili, in base al contesto

la strategia che, nel contempo, massimizza l’efficacia nella diminuzione del rischio e minimizza gli impatti sull’ambiente operativo e sulle attivit`a dei lavoratori.

Se, per esempio, si rilevasse un principio di incendio in un magazzino di logistica merci elettroniche destinate ai negozi (per esempio, telefoni cellulari e dispositivi mobili), pu`o non essere adatta, anche se perfettamente effica-ce, la strategia di attivazione immediata di tutti gli impianti antincendio ad acqua di tipo “Sprinkler”. Se, per ipotesi, in prossimit`a del principio di in-cendio fosse presente un lavoratore dotato di estintore portatile, potrebbe essere possibile e preferibile domare le fiamme con un intervento locale, sen-za allagare il magazzino e compromettere gravemente la merce ivi contenuta. Quindi, la combinazione di tutti i fattori che possono essere letti nelle rileva-zioni ed opportunamente interpretati pu`o permettere l’individuazione della miglior strategia applicabile.

L’intervento derivante dalla scelta della strategia si sostanzia in un insieme di azioni che devono essere eseguite in una sequenza predeterminata. Alcuni esempi di strategie sono riportati nella tabella 3.3.

Capitolo 4

Architettura del prototipo

In questo capitolo viene illustrato il prototipo del Sistema per la Gestione del Rischio da un punto di vista architetturale. Viene descritta la tipologia di applicazione sviluppata e i livelli logici che la compongono, vengono de-scritte le principali architetture implementate per ogni livello logico tramite l’utilizzo dei diagrammi di classe e vengono mostrate le interazioni tra gli oggetti utilizzando i sequence diagram al fine di illustrare come sono state implementate le fasi previste dal ciclo mape.

4.1

Funzionalit`

a del Prototipo

Il prototipo implementa le seguenti funzionalit`a:

• fase di monitoring: permette all’operatore tenere sotto controllo la si-tuazione nell’area di lavoro, verificando su una mappa le zone che hanno un livello di rischio pi`u elevato rispetto a quelle con un basso livello di rischio. Inoltre `e possibile ottenere le informazioni sulla composizio-ne del livello di rischio individuale (pri) associato ad ogni lavoratore, seguendone anche i movimenti all’interno dell’area di lavoro;

• fase di analyzing: il prototipo analizza in continuazione la situazio-ne all’interno dell’area di lavoro alla ricerca di situazioni considerate

pericolose e in tal caso ne da evidenza all’operatore;

• fase di planning: in presenza di una situazione considerata di pericolo il prototipo propone all’operatore le azioni che compongono la miglio-re strategia da adottamiglio-re per abbassamiglio-re il livello di rischio nell’amiglio-rea di lavoro;

• caricamento ambiente di lavoro: sar`a possibile “caricare” nel prototipo l’ambiente di lavoro che si vuole monitorare tramite l’utilizzo di un file xml che descrive le entit`a e le aree che compongono l’ambiente di lavoro stesso.

Nei paragrafi che seguono viene descritto il prototipo da un punto di vista architetturale, mostrando gli strati software che lo compongono e la struttura interna delle classi.

4.2

Struttura del Prototipo

Il prototipo `e stato sviluppato realizzando un’applicazione che recupera e fornisce le informazioni necessarie utilizzando il Web come canale di comu-nicazione, `e cio`e un sistema informativo basato sul web (Web Information Systemwis [Ardagna et al., 2009]). Questo tipo di architettura permette di ottenere una serie di importanti vantaggi. Tra i principali, vanno sottolineati l’apetto multipiattaforma dell’applicativo e la sua interoperabilit`a:

• applicazione multipiattaforma: tramite l’utilizzo di tecnologie web si ha la possibilit`a di utilizzare la stessa applicazione su varie piattafor-me software e hardware senza dover affrontare tutti i problemi deri-vanti dall’eterogeneit`a e dall’incompatibilit`a delle diverse piattaforme hardware e software;

• interoperabilit`a: tramite l’utilizzo di piattaforme, linguaggi e sistemi diversi e utilizzando il paradigma dei servizi e la separazione fra aspetti