METODE ŞI PROCEDEE DE ANALIZĂ A

SECURITĂŢII ÎNTR-UN SISTEM

1.Metode de analiză şi de evaluare a riscurilor

1.1.Analiza Preliminară a Pericolelor (APP)

Identificarea pericolelor într-un sistem industrial şi evaluarea gravităţii consecinţelor

reprezintă principalele obiective ale acestei metode. Aplicabilă încă din primele faze ale concepţiei,
metoda se bazează pe raţionamente ale experţilor, ghidaţi atât de experienţa proprie, cât şi de liste
orientative care sintetizează entităţile şi situaţiile periculoase specifice domeniului. Rezultatele
identificării sistematice a riscurilor sunt centralizate conform structurii redate în tabelul 1.

Tabelul 1 Modelul grilei de analiză în metoda APP

Sistem Fază Entitate Eveniment Situaţie Eveniment Accident Efecte Clasificare Mǎsuri Aplicarea
sau periculoasă cauzator al periculoasă cauzator al potenţial sau prin preventive măsurilor
funcţiune unei situaţii unui accident consecinţe gravitate
periculoase potenţial

Analiza preliminară a pericolelor este o metodă sistematică de identificare a riscurilor care

permite, între altele, elaborarea unui document care poate fi ulterior completat, în urma observării
incidentelor sau accidentelor.

1.2.Analiza Modurilor de Defectare şi a Efectelor lor (AMDE)

AMDE reprezintă o metodă de analiză sistematică a fiecărei componente a sistemului

studiat, având drept scop identificarea modurilor de defectare ale căror efecte negative sunt

1
observabile prin diminuarea fiabilităţii, disponibilităţii sau securităţii sistemului, precum şi
evaluarea efectelor fiecărui mod de defectare al componentelor asupra funcţiunilor sistemului.
Metoda permite identificarea componentei studiate, evidenţierea pentru fiecare componentă
a tuturor funcţiunilor îndeplinite, recenzarea modurilor de defectare, definirea cauzelor posibile ale
acestor defectări şi a consecinţelor asupra sistemului, listarea mijloacelor de detecţie şi stabilirea
periodicităţii efectuării controalelor.
În principiu, AMDE permite stabilirea relaţiilor existente între defectarea componentelor
maşinii şi degradarea funcţionalităţii sale.
Metoda se limitează la analiza calitativă a modurilor de defectare a maşinilor, fără a lua în
considerare erorile umane. Aplicarea metodei presupune parcurgerea următoarele etape:
 definirea sistemului de analizat;
 identificarea modurilor de defectare;
 analiza cauzelor defectărilor;
 analiza efectelor defectărilor;
 analiza posibilităţilor de compensare a efectelor defectărilor;
 evaluarea riscului asociat fiecărui mod de defectare;
 propunerea remedierilor şi a măsurilor de prevenire.
În practicǎ, se alege un nivel de analiză care să dea posibilitatea obţinerii de date suficiente
asupra fiecărui mod de defectare. Instrumentele de lucru în cadrul metodei sunt documente sub
formă de tabele.
În funcţie de necesităţi şi de posibilităţile tehnico – economice, evaluarea riscurilor se poate
face şi cantitativ, calculând efectiv probabilitatea de producere a fiecărui mod de defectare. În acest
caz, metodei i se atribuie denumirea de „Analiza Modurilor de Defectare, a Efectelor lor şi a
Criticităţii” (AMDEC).
Pentru riscurile critice, inacceptabile, metoda propune măsuri de prevenire a degenerării
situaţiilor critice în accidente, referitoare la:
 eliminarea riscului prin schimbarea materialelor;
 reducerea parametrilor periculoşi;
 dispozitive de blocare , izolare, interdicţie;
 dublarea componentelor nefiabile (redundante);
 supradimensionarea elementelor importante.
Rezultatele analizei după metoda AMDEC se prezintă sub formă de tabele ale căror
structură şi conţinut pot varia funcţie de context şi necesităţi însă, pe ansamblu, cuprind rezultatele
celor şapte etape descrise anterior.

2
 1.3.Metoda Diagramei de Succes (MDS)

Diagrama de succes este o reprezentare a dependenţei dintre valorile fiabilităţilor diferitelor

componente ale unui sistem. Metoda este utilizată pentru evaluarea posibilităţii sau probabilităţii de
defectare a unui sistem. După cum se remarcă în fig. 1, diagrama de succes este compusă din:
 blocuri, care reprezintă componentele sistemului;
 noduri, care definesc structura sistemului deoarece ele corespund relaţiilor dintre
componente.

Fig. 1 Structura diagramei de succes

Graful este unidirecţional, fiind orientat de la stânga spre dreapta. Dacă există cel puţin un
traseu care, pornind de la nodul iniţial, ajunge la nodul final, fără să treacă prin nici un bloc defect,
atunci sarcina sistemului va fi îndeplinită. Scopul metodei constă în studierea impactului structurii
sistemului asupra fiabilităţii, prin analiza diferitelor combinaţii ale blocurilor. O structură complexă
poate fi descompusă şi/sau transformată într-o combinaţie de structuri generice (configuraţii serie,
paralel sau combinaţii ale acestora). Abordarea structurală a fiabilităţii permite calculul fiabilităţii
unui sistem într-un mod relativ simplu, deoarece identificarea cauzelor eşecului unei funcţiuni este
vizuală.

1.4.Metoda Analizei prin Arborele de Defectări (AAD)

Cunoscută şi sub numele de „arborele cauzelor”, metoda se bazează pe reprezentarea grafică

a combinaţiilor logice ale cauzelor (defectărilor) care conduc la evenimentul nedorit.
Metoda permite identificarea şi evaluarea factorilor şi condiţiilor care contribuie la
producerea unui eveniment indezirabil (accident, avarie etc.), denumit „eveniment de vârf” (top),

3
respectiv un eveniment care influenţează în mod decisiv funcţionalitatea, securitatea sistemului şi
performanţele economice.
Pornind de la evenimentul de vârf (top), stabilit a priori, se caută cauzele acestuia, respectiv
modurile de defectare posibile la nivelul funcţional imediat inferior sistemului analizat. Se
identifică astfel, pas cu pas, disfuncţiile posibile ale sistemului, trecând de la un nivel la altul
imediat inferior (sistem - subsistem), până se ajunge la nivelul cel mai de jos al sistemului. Cauzele
la acest nivel sunt, de regulă, modurile de defectare a componentelor.
Structura unui arbore de defectări este reprezentată în fig. 2, în care sunt incluse diferite
tipuri de evenimente:
 evenimente elementare şi terminale, adică evenimente ale căror cauze nu sunt dezvoltate;
 evenimente nedorite sau intermediare, care corespund combinaţiilor dintre alte
evenimente.

Eveniment nedorit

Eveniment intermediar Eveniment intermediar

Eveniment Eveniment Eveniment Eveniment

de bazǎ de bazǎ de bazǎ de bazǎ

Fig. 2. Structura arborelui de defectări

În funcţie de dimensiunile arborelui este posibilă deducerea directă a rezultatelor, deoarece

reprezentarea grafică a acestuia oferă o imagine sintetică a diferitelor trasee care conduc la
evenimentul nedorit.
Totodată, arborele reprezintă un suport adecvat pentru identificarea şi implementarea
măsurilor de securitate. În figura 3 este reprezentat un arbore de defectări care include două secţiuni
minimale şi anume: C1 = {E1,E2} de ordinul 2 şi C2 = {E3, E4, E5} de ordinul 3.

4
 Eveniment nedorit (EN)

E1 E2 E3 E4 E5

Fig. 3 Interpretarea arborelui de defectări

Probabilitatea de producere a evenimentului nedorit se calculează cu relaţia:

Pentru aducerea la nivelul dorit a ordinului secţiunilor minimale se recurge la măsuri de

securitate. Metoda arborelui de defectări permite o analiză calitativă prin identificarea secţiunilor
minimale, dar şi una cantitativă prin evaluarea probabilităţii de apariţie a evenimentului nedorit.
În versiunea sa originală, metoda este limitată de incapacitatea ei de a lua în considerare
dinamica sistemului studiat, deoarece nu se ţine cont de secvenţele de evenimente şi în special de
modificarea stării componentelor (de exemplu prin repararea acestora).

1.5.Metoda analizei prin arborele de evenimente (AAE)

Analiza prin arborele de evenimente a fost dezvoltată la începutul anilor 1970, pentru
evaluarea riscurilor în centralele nucleare, ulterior utilizarea sa extinzându-se şi în alte sectoare de
activitate.
Fiind o metodă a cărei complexitate este comparabilă cu cea a analizei prin arborele de
defectare, ea se aplică preponderent pentru subsisteme clar definite, reprezentând un instrument
important pentru studiul sistemelor care comportă numeroase dispozitive de securitate. Metoda este
frecvent utilizată în analiza a posteriori pentru explicitarea consecinţelor observate care decurg
dintr-o defectare a sistemului.
Spre deosebire de metoda AAD, analiza prin arborele de evenimente implică determinarea
evenimentelor care decurg în urma defectării unei componente sau a unei părţi a sistemului.

5
 Pornind de la un eveniment iniţiator sau o defectare de origine, analiza prin arborele de
evenimente permite estimarea abaterii sistemului, luând în considerare de o manieră sistematică
funcţionarea sau defectarea dispozitivelor de detecţie, de alarmare, de prevenire, de protecţie sau de
intervenţie. Aceste mǎsuri de securitate pot fi atât mijloace tehnice, cât şi umane (intervenţia
operatorilor) sau organizatorice (aplicarea procedurilor).
Demersul general aplicabil pentru realizarea analizei prin arborele de evenimente implică
parcurgerea următoarelor etape:
 definirea evenimentului iniţiator;
 identificarea funcţiilor de securitate preventive;
 construirea arborelui;
 descrierea şi exploatarea secvenţelor de evenimente identificate.
Ţinând seama de complexitatea analizei, se recomandă selectarea unui eveniment iniţiator
care poate efectiv conduce la o situaţie critică. În acest scop, este necesară cunoaşterea preliminară,
chiar şi parţială, a riscurilor asociate instalaţiei sau sistemului studiat. Pentru analizele post
accident, aceste riscuri sunt practic cunoscute. În vederea ilustrării modelului de parcurgere a
etapelor analizei, se consideră un exemplu de aplicare a metodei, sistemul studiat fiind un reactor
exoterm (care produce căldura). Menţinerea temperaturii sistemului este asigurată cu ajutorul unui
sistem de refrigerare.
Pentru acest caz simplu, identificarea riscului de accelerare necontrolată a reacţiei este
relativ simplă, accelerarea putând rezulta ca urmare a defectării sistemului de răcire. Construirea
arborelui de evenimente va porni de la acest eveniment iniţiator.
Funcţiile de securitate trebuie materializate prin mǎsuri de securitate, ca răspuns la
evenimentul iniţiator, având rolul de a împiedica pe cât posibil ca evenimentul iniţiator să se afle la
originea unui eveniment nedorit.
Funcţiile de securitate pot fi încadrate în următoarele categorii:
 funcţii de detecţie a evenimentului iniţiator;
 funcţii de alarmare la producerea evenimentului iniţiator;
 funcţii de limitare;
 funcţii de atenuare, vizând minimizarea efectelor.
Această clasificare nu este exhaustivă, funcţiile putând fi realizate atât prin intermediul
dispozitivelor automate, cât şi de către operatorii umani în conformitate cu proceduri prestabilite.
În cazul reactorului chimic, ca răspuns la defectarea sistemului de răcire, sunt prevăzute
următoarele funcţii de securitate:
 detectarea creşterii de temperatură în reactor;

6
  alarmarea unui operator în cazul creşterii temperaturii;
 restabilirea funcţionării sistemului de răcire;
 oprirea reacţiei.
În majoritatea cazurilor aceste funcţii nu intervin simultan, fiind importantă stabilirea ordinii
lor de aplicare, deci identificarea pragurilor limită la care va interveni fiecare funcţie de securitate şi
a timpului necesar pentru aplicarea măsurilor. Se recomandă realizarea unui tabel cronologic al
funcţiilor de securitate, tabel incluzând sistemele şi echipamentele prevăzute pentru asigurarea
funcţiilor respective (tabelul 2).

Tabelul 2 Modelul tabelului de definire a funcţiilor de securitate

Funcţii de Măsurarea Alarmare Repornirea Oprirea
securitate temperaturii în sistemului de reacţiei
reactor răcire de către
un operator
Dispozitive de Sondă de Semnale optice şi Operatorul, în Introducerea
asigurare a temperatură acustice la baza unei automată a unei
funcţiei amplasată în operator proceduri substanţe
reactor inhibitoare
Parametrul sau Permanent T  T1 Alarma T  T2
informaţia ce
declanşează
funcţia
Intervalul de Continuu 1 minut Dacă este posibil, Circa 10 min.
întârziere la circa 5 min. (de la T1 la T2)

În exemplul considerat se presupune că aceeaşi sondă furnizează informaţiile privind

temperatura atât pentru alarmare, cât şi pentru declanşarea automată a inhibiţiei reacţiei.
Pentru construirea arborelui de evenimente se porneşte de la evenimentul iniţiator,
reprezentat schematic printr-o linie orizontală (figura 4). Momentul în care trebuie să se exercite
prima funcţie de securitate este reprezentat printr-un nod. Ramificaţia superioară corespunde în
general reuşitei, iar ramificaţia inferioară defectării acestei funcţii.În continuare se examinează
iterativ dezvoltarea fiecărei ramificaţii, considerând sistematic starea de funcţionare sau de
defectare a funcţiei de securitate ce urmează.
Acest demers temporal permite identificarea secvenţei de evenimente susceptibile să
conducă la un accident potenţial, fără a fi suficient întotdeauna pentru construirea arborelui. Este
indispensabil să se ia în considerare următoarele aspecte:
 dacă o funcţie este dependentă de alte funcţii, ea va fi luată în considerare după acestea;

7
 Eveniment Defectarea Alarmare Repornirea Inhibiţia automată
iniţiator: sistemului de la T  T1 sistemului de a reacţiei pentru
răcire răcire de către T > T2
Măsurarea operator
temperaturii în
reactor

Reuşită

Defectare

Fig. 4 Convenţii de reprezentare pentru arborele de evenimente

 dacă eşecul unei funcţii implică automat eşecul altora, reuşita celor din urmă nu va mai fi
luată în considerare; astfel, dacă sonda de temperatură este defectă, nu mai este cazul să
se studieze funcţionarea alarmei sau declanşarea automată a inhibiţiei reacţiei;
 dacă reuşita unei funcţii acţionează asupra unui parametru ce declanşează ulterior alte
funcţii, atunci reuşita sau defectarea acestei funcţii nu vor trebui luate în considerare la
dezvoltarea ramificaţiei respective; astfel, dacă operatorul reuşeşte se repună în
funcţiune sistemul de răcire înainte ca temperatura în reactor să depăşească valoarea T 2,
funcţia de inhibiţie automată a reacţiei nu va mai fi analizată;
 dacă defectarea unui subsistem antrenează defectarea comună a mai multor sisteme ce
asigură funcţii de securitate, acest subsistem va fi luat în considerare înaintea sistemelor
respective; această situaţie se referă de asemenea la modurile comune de defectare.
Frecvent, modurile comune de defectare se referă la pierderea utilităţilor (energie electrică,
aer comprimat, apă etc.) sau la agresiunile externe majore. În exemplul analizat, dacă alimentarea
cu energie electrică este comună tuturor sistemelor studiate, se va lua în considerare imediat după
evenimentul iniţiator o funcţie de tipul ,,menţinerea alimentării cu energie electrică“. Se consideră
că sursele de alimentare cu energie electrică ale sistemului sunt distincte. Defectarea sondei este
luată în considerare, în primul rând, presupunând că ea antrenează defectarea comună a sistemelor
de alarmare şi de inhibiţie a reacţiei.
Construirea arborelui de evenimente permite în final determinarea probabilităţii de
producere a diferitelor consecinţe, pornind de la secvenţele de evenimente identificate. Reducerea
arborelui contribuie la eliminarea traseelor imposibile fizic şi la identificarea modurilor comune de
defectare, asigurând independenţa evenimentelor intermediare.

8
 Probabilitatea de producere a unei consecinţe ca urmare a unei secvenţe particulare, poate fi
estimată pentru evenimente independente, ca produsul dintre probabilitatea de producere a
evenimentului iniţiator şi probabilitatea de defectare sau de funcţionare, în funcţie de traseul
evenimentelor intermediare.
Modul de determinare a probabilităţilor este explicitat, pentru exemplul studiat, în figura 5.
Analiza prin arborele de evenimente reprezintǎ o metodă care permite, pornind de la un
eveniment iniţiator, studiul înlănţuirii evenimentelor care pot avea drept consecinţă un accident
potenţial. Metoda îşi găseşte o aplicabilitate deosebită pentru studiul arhitecturii mijloacelor de
securitate (prevenire, protecţie, intervenţie) existente sau aplicabile într-un sistem.
Pe de altă parte, dacă este utilizată fără discernământ în cazul sistemelor complexe, metoda
devine foarte dificil de aplicat practic.

1.6.Metoda nodului fluture

Metoda „nodului fluture” reprezintă o abordare de tip arborescent utilizată pe scară largă în
ţările europene (în principal, în Olanda) care posedă o abordare probabilistică a managementului
riscurilor. Aceastǎ metodǎ se aplică în diferite sectoare industriale, de către întreprinderi cum este
SHELL, care se află la originea conceperii şi dezvoltării acestui instrument de analiză.
Nodul fluture reprezintă o metodă de analiză care combină arborele de defectări şi arborele
de evenimente.
Punctul central al nodului fluture, denumit în continuare eveniment nedorit central (ENC),
desemnează în general pierderea etanşeitǎţii sau pierderea integrităţii fizice (descompunerea).
Semnificaţiile simbolurilor prezentate în model sunt redate în tabelul 3.
Partea stângă a nodului fluture reprezintă în fapt un arbore al cauzelor, iar partea dreaptă
vizeazǎ determinarea consecinţelor evenimentului nedorit central, printr-un demers analitic specific
analizei prin arborele de evenimente.
În schema reprezentată în figura 6, mǎsurile de securitate sunt simbolizate prin bare
verticale, pentru a simboliza faptul că ele se opun dezvoltării scenariilor de producere a
accidentelor. De fapt, în acest sistem de reprezentare fiecare traseu care conduce de la o defectare
de origine (evenimentul indezirabil sau curent) la materializarea daunelor la nivelul ţintelor (efecte
majore) desemnează un scenariu particular de accident pentru acelaşi eveniment nedorit central. De
regulă, nodul fluture este construit în urma unei analize iniţiale efectuate cu ajutorul unor metode
mai simple, de tipul Analizei Preliminare a Riscurilor.

9
 Eveniment Măsurarea Alarmare la Repornirea Inhibiţia automată Secvenţe care conduc la :
iniţiator: temperaturii T  T1 sistemului a reacţiei la
în reactor de răcire T  T2
Defectarea
sistemului de
răcire

Revenire la funcţionare normală.

P1·P2·P3·P4
Întârziere = 6 min.

Oprirea funcţionării
P1·P2 ·P3· (1-P4) ·P5
Întârziere = 11 min.

Accelerare necontrolată a reacţiei.

P1·P2·P3·(1-P4)·(1-P5) > 11 min.

Oprirea funcţionării.
P1·P2·(1 – P3)·P5
Întârziere = 11 min.

Accelerarea necontrolată a reacţiei.

P1·P2·(1-P3)·(1–P5) > 11 min.

Accelerarea necontrolată a reacţiei.

P1·(1-P2)  11 min.

Fig. 5 Structura arborelui de evenimente

10
 Fig. 6 Reprezentarea scenariilor de producere a accidentelor
după modelul nodului fluture

Tabelul 3 Semnificaţia simbolurilor utilizate în analiza prin metoda nodului fluture

Simbol Semnificaţie Definiţie Exemple
EIn Eveniment Abatere sau defectare care iese din Focar de incendiu în imediata
indezirabil cadrul condiţiilor uzuale de apropiere a unui echipament
exploatare prestabilite periculos
EC Eveniment Eveniment admis care survine de o Acţiunile de testare, întreţinere şi
curent manieră recurentă pe durata de reparare a echipamentelor
viaţă a unui sistem
EI Eveniment Cauza directă a unei pierderi de Coroziunea, eroziunea agresiunile
iniţiator izolare sau de integritate fizică mecanice, suprapresiunea
ENC Eveniment Pierderea izolǎrii unui echipament Ruptură, breşă, descompunere a
nedorit central periculos sau pierderea integrităţii unei substanţe periculoase în
fizice a unei substanţe periculoase cazul pierderii integrităţii fizice
ENS Eveniment Consecinţă directă a ENC, Formarea unui „nor” în timpul
nedorit evenimentul nedorit secundar ejectării unei substanţe difazice
secundar caracterizează termenul sursă al
accidentului
FP Fenomen Fenomen fizic care poate genera Incendii, explozii, dispersia în
periculos consecinţe majore atmosferă a unui nor toxic
EM Efecte Daune incluse la nivelul ţintelor Efecte letale sau ireversibile
majore (oameni, bunuri, mediu) de către asupra populaţiei;
efectele unui fenomen periculos Sinergia accidentului
Măsuri de prevenire Măsuri care vizează pierderea Vopsire anti – corozivă; Oprirea
izolării sau a integrităţii fizice. automată a operaţiilor de stocare,
la defectarea depăşirii nivelului
superior
Măsuri de protecţie Măsuri care vizeazǎ limitarea Ventile de oprire automată în
consecinţelor pierderii izolării sau cazul derivei unui parametru
a integrităţii fizice (presiune, debit, temperatură)

11
 Metoda nodului fluture oferă o imagine concretă şi clară a scenariilor de producere a
accidentelor care pot surveni, pornind de la cauzele iniţiale până la consecinţele la nivelul
ţintelor identificate. Ca urmare, acest instrument permite evidenţierea eficacitǎţii mǎsurilor de
securitate destinate opririi dezvoltării scenariilor de accidentare.
Pe de altă parte, aplicarea metodei implică costuri ridicate şi necesitǎ un timp îndelungat.
În consecinţă, recurgerea la această metodă se va face doar în cazurile în care este necesar un
nivel ridicat de detaliere a analizei.

1.7.Metoda Spaţiului Stărilor (MSS)

Destinată preponderent sistemelor care includ componente reparabile, metoda Spaţiului

Stărilor permite luarea în considerare a evoluţiei temporale a componentelor. Metoda se bazează
pe elaborarea unui graf, în care cercurile corespund stărilor sistemului, iar arborele corespunde
tranziţiilor între diferite stări. În figura 7 se prezintă un exemplu de graf al stărilor, pentru un
sistem format din două componente.

10

00 11

01

Fig. 7 Graful stărilor pentru un sistem format din două componente

Funcţionarea unui sistem format din „n” componente poate fi descrisă printr-un proces
X(t) cu valori cuprinse în intervalul {0,1} n, reprezentând, la momentul t, starea de funcţionare
sau de pană a fiecărei componente.
X(t) = (x1, x2, …, xn)
Componenta xi desemnează starea componentei i:
 0 – în pană;
 1 – în stare de funcţionare.
Pentru calculul probabilităţilor se asociază fiecărui arc un procent (o proporţie, un grad,
un nivel) de tranziţie.

12
 Dacă probabilitatea de trecere de la starea i la starea j, între momentele t şi t+dt, este
ai,j·dt, atunci ai,j corespunde procentului de tranziţie între starea i şi starea j. Dacă procentele sunt
constante pentru toate tranziţiile, atunci procesul este numit markovian.

2.Aprecieri asupra metodelor de analiză şi de evaluare a riscurilor

Indiferent de caracteristicile particulare, utilizarea practică a instrumentelor de analiză a

riscurilor descrise anterior prezintă anumite avantaje, avantaje care vor fi prezentate în
continuare.
Atuul principal al instrumentelor de analiză a riscurilor decurge din caracterul lor
sistematic. Ele permit abordarea metodică a diverselor situaţii de pericol şi a evenimentelor
nedorite, precum şi a cauzelor generatoare şi ale consecinţelor acestora. Această abordare
sistematică este determinantă pentru identificarea situaţiilor de pericol de o manieră cât mai
exhaustivă posibil. Instrumentele de analiză permit introducerea elementelor tehnice
suplimentare în sistem, în vederea verificării nivelului de control şi realizǎrii managementului
riscurilor la sursă, în primul rând prin identificarea mǎsurilor de securitate existente sau necesare.
Nivelul de management al riscurilor nu poate fi efectiv demonstrat decât în condiţiile în care
toate cauzele şi consecinţele potenţiale au fost luate în studiu în derularea analizei. La scară
industrială, demersul se poate dovedi foarte complex iar aceste metode reprezintă instrumente
preţioase pentru a ghida studiile de securitate.
Majoritatea metodelor de analiză a riscurilor îşi găsesc eficacitatea maximă atunci când
sunt aplicate în cadrul unei echipe de lucru multidisciplinare. În acest sens, metodele reprezintă
instrumente de schimb de informaţii şi de comunicare între persoane cu profesii şi viziuni
diferite de abordare a unei probleme.
Valoarea şi importanţa metodelor nu rezultă direct din principiile de bază şi din spiritul în
care sunt aplicate, ci din experienţa membrilor echipei de analiză. Şedinţele echipei de analiză
permit comunicarea diverselor experienţe anterioare, facilitând reflecţia globală şi realistă asupra
După cum s-a menţionat anterior, metodele de analiză a riscurilor prezentate sunt
complementare.
Metode relativ simple, cum ar fi APR, permit identificarea principalelor riscuri asociate
unei instalaţii, precum şi a mǎsurilor de securitate corespondente. Această primă analiză poate fi
completată printr-o analiză de detaliu bazată pe metode ca AMDEC sau HAZOP, studiul fiind
concentrat pe susbsistemele critice din sistem. Rezultatele acestei noi faze a analizei pot
reprezenta punctul de pornire al examinării evenimentelor critice cu ajutorul unor instrumente de

13
tipul analizei prin arborele de defectări sau al cauzelor, care permite combinarea defectărilor sau
a secvenţelor de evenimente.
Diversitatea metodelor disponibile permite recurgerea la instrumentele cel mai bine
adaptate cazului particular tratat şi asigurarea unei analize în profunzime a unui sistem, utilizând
instrumente din ce în ce mai specializate.
Deşi, în anumite cazuri, metodele prezentate permit luarea în considerare a agresiunilor
externe ce pot afecta instalaţia studiată, trebuie menţionat faptul că ele sunt în principal destinate
identificării riscurilor generate de către însăşi instalaţia sau sistemul respectiv.
Astfel spus, este indispensabilă o fază iniţială de identificare a surselor externe de
agresiune, cum sunt cele asociate efectului domino, condiţiilor climatice şi de mediu (cutremure,
supratensiuni atmosferice, avalanşe, alunecări de teren etc.).
De exemplu, în cadrul unui studiu de pericol care vizează identificarea şi controlul tuturor
riscurilor posibile, analiza riscurilor nu se va rezuma doar la aplicarea APR, AMDEC sau AAD,
ci ea va integra şi instrumentele destinate riscurilor de origine externă.
Instrumentele de analiză a riscurilor permit echipei de lucru să realizeze o estimare în
termeni de probabilitate şi gravitate. La nivelul analizei riscurilor, această estimare se efectuează
în manieră simplificată şi nu trebuie să fie considerată ca un instrument precis de evaluare.
Această etapă îşi propune doar să ofere indicaţii privind riscurile considerate apriori ca
importante, în vederea adoptării celor mai eficace măsuri de prevenire şi protecţie.
Practic, este uneori imposibil să se aprecieze a priori gravitatea consecinţelor unui
accident potenţial, datorită numărului mare de parametri ce trebuie analizaţi. Este cazul, de
exemplu, al emisiilor de gaze toxice în atmosferă.
În concluzie, faza de estimare a riscurilor bazată pe utilizarea acestor metode permite, în
principal, ierarhizarea riscurilor identificate. Pentru riscurile generate de situaţii complexe de
exploatare este indispensabilă o analiză mai detaliată. Această evaluare se efectuează pornind de
la scenariile de producere a accidentelor, cu ajutorul modelelor concepute în funcţie de
complexitatea fenomenelor implicate şi a mediului.
Toate metodele sistematice de analiză a riscurilor îşi propun să tindă spre un grad de
exhaustivitate cât mai ridicat cu putinţă. Totuşi, utilizarea lor nu garantează identificarea
completă a tuturor cauzelor potenţiale de producere a unui accident, deoarece:
 rezultatele aplicării acestor metode depind considerabil de experienţa persoanelor din
echipa de analiză; pe de altă parte, este imposibil, datorită limitelor imaginaţiei
umane, să se poată lua în considerare toate cauzele posibile ale unui accident
potenţial, cu atât mai mult cu cât deseori sunt studiate evenimente sau combinaţii de
evenimente foarte rare;

14
  calitatea rezultatelor şi caracterul lor exhaustiv depinde şi de timpul şi mijloacele
consacrate analize (cu cât acestea sunt mai mari, cu atât gradul de exhaustivitate
creşte); această observaţie pune în evidenţă importanţa caracterului iterativ al analizei
riscurilor.
Metodele prezentate au ca obiectiv cuantificarea riscului într-o abordare probabilistică, în
vederea clasificării diferitelor configuraţii. Astfel, devine posibilă realizarea unei distincţii între
configuraţii, în funcţie de acceptabilitatea riscului asociat.
Metodele prezentate se bazează pe descompunerea structurală a sistemului în componente
elementare, pentru identificarea modurilor de defectare şi studiul combinaţiilor acestora. În
general, fiecare componentă îndeplineşte o funcţiune precisă, fapt care permite identificarea clară
a consecinţei unei disfuncţii.
Pe de altă parte, în sistemul om – maşină, omul este un element care nu poate fi
descompus. Ca urmare, erorile sale sunt dificil de analizat direct prin acest tip de metode, fiind
necesară recurgerea la modele şi metode specifice de analiză a factorului uman. Acesta este
obiectul de studiu al cercetǎrii fiabilităţii umane, care este considerată o disciplină ştiinţifică cu
statut bine definit.

3.Cercetarea fiabilităţii umane

În studiul fiabilităţii sistemelor se disting două categorii de elemente cărora li se

urmăreşte îmbunătăţirea fiabilităţii:
 elemente tehnice;
 elemente umane.
Pornind de la această idee a fost dezvoltat un nou curent de cercetare şi anume fiabilitatea
umană.
Prin analogie cu definiţia fiabilităţii tehnice, fiabilitatea umană se exprimă prin
probabilitatea ca un individ să efectueze cu succes, într-o perioadă de timp dată, o sarcină
prestabilită. Aşa cum noţiunea de defecţiune (pană) este în centrul conceptului de fiabilitate
tehnică, cea de eroare umană (un comportament – acţiune sau omisiune – ce depăşeşte limitele
acceptabile) constituie noţiunea de bază a fiabilităţii umane. Într-adevăr, s-a constatat că numai
reducând probabilitatea de producere a erorilor umane sau a gravitǎţii consecinţelor acestora
asupra sistemului om – maşinǎ se poate spera să se îmbunătăţească fiabilitatea globală a
sistemului menţionat.
Cercetările privind fiabilitatea umană au condus la dezvoltarea în paralel a două tipuri de
abordări:

15
  abordarea calitativă, care urmăreşte definirea erorii umane, stabilirea tipurilor de
erori şi a mecanismelor de apariţie a acestora; studiul şi clasificarea ansamblului de
erori umane într-un sistem dat permite desprinderea de soluţii specifice sau comune
fiecărei grupe de erori; aceste soluţii urmăresc fie eliminarea factorilor care
declanşează erorile, fie înlăturarea consecinţelor, respectiv conceperea unor sisteme
tolerante la eroarea umană;
 abordarea cantitativă, care caută să estimeze probabilitatea apariţiei erorilor umane şi
a gravitǎţii consecinţelor acestora asupra sistemului global;
Abordarea cantitativă constă în evaluarea probabilităţilor de apariţie a erorilor umane
deductibile în condiţii date, cu un dublu scop:
 includerea datelor privind fiabilitatea operatorului în calculul fiabilităţii globale a
sistemului;
 generalizarea rezultatelor pentru efectuarea de analize a priori de fiabilitate umană.
Datorită costului foarte ridicat şi a dificultăţii efectuării calculelor (necesită specialişti şi
timp îndelungat), metodele de calcul a fiabilităţii globale a sistemelor au o aplicabilitate practică
restrânsă. Aceste metode se aplică în prezent numai în domeniul nuclear, aerospaţial şi
energetic, în care riscurile şi gravitatea consecinţelor în caz de accident sunt foarte mari şi
justifică economic astfel de analize.
În consecinţǎ, se poate afirma că eroarea umană poate fi definită ca abaterea dintre
sarcina prescrisă şi activitatea realizată efectiv. Sarcina prescrisă este considerată ca un
referenţial.
După Leplat şi Hoc „sarcina indică ceea ce trebuie făcut, adică activitatea care se
realizează. Noţiunea de sarcină este legată de ideea de prescripţie … Noţiunea de activitate se
referă la acţiunile pe care le realizează subiectul pentru a executa aceste prescripţii …”
Mai simplu, Leontiev defineşte sarcina ca fiind „un scop dat în condiţii determinate”.
Astfel, se defineşte sarcina (T) ca un cuplu de situaţii:
 o situaţie iniţială (S0) care defineşte condiţiile determinate;
 o situaţie finală dorită (Sf) care defineşte scopul.
T ≡ (S0, Sf)
Fiind definită ca un scop care trebuie atins, în condiţiile cunoaşterii unei situaţii la un
moment dat, sarcina poate fi descompusă în subsarcini corespunzătoare unor subscopuri. După
cum este ilustrat în figura 8, o sarcină poate fi considerată o succesiune de subsarcini (operaţii).

16
 T0

T0 T0 T0
1 2 n

Fig. 8 Descompunerea sarcinii în subsarcini (operaţii)

Această succesiune de sarcini este echivalentă cu o succesiune de situaţii care pot

surveni. Pentru fiecare dintre subsarcini, situaţia iniţială corespunde cu situaţia finală a
subsarcinii precedente. În consecinţă, sarcina defineşte o traiectorie care trebuie urmată:

Această descompunere este iterativă, iar subsarcina poate fi la rândul ei descompusă. In

acest context apare problema identificării unui criteriu de stopare a descompunerii.
Orice acţiune va modifica cel puţin una dintre componente (formă, spaţiu, timp). Astfel,
acţiunile de stocare, memorare sau întreţinere sunt acţiuni care nu exercită efecte decât asupra
componentei „timp”. Acţiunile de transport sau de emisie pot modifica doar componenta
„spaţiu”. Acţiunile de asamblare, demontare sau transformare modifică componenta „formă”.
În consecinţă, sarcina nu poate fi disociată de o acţiune sau de o succesiune de acţiuni
care permit trecerea de la situaţia iniţială la situaţia finală (figura 9):

Situaţia Si Acţiune sau succesiune Situaţia Si+1

de acţiuni

Fig. 9 Acţiunea - funcţie de transformare a situaţiei

Acest model implică ghidarea acţiunii de către sarcină, nefiind valid decât pentru
acţiunile deliberate şi excluzând implicit încălcările prescripţiilor. Este deci de o importanţă
primordialǎ ca sarcinile să nu fie disociate de acţiuni, ci ele să fie considerate un tot unitar.
Fie:
 aj , o acţiune sau o succesiune de acţiuni;
 Ti ≡ (Si, Si+1), o sarcină.
Se spune că acţiunea sau succesiunea de acţiuni aj satisface sarcina Ti dacă: aj(Si) = Si+1.

17
 Reluând definiţia lui Leplat şi Hoc, acţiunea sau succesiunea de acţiuni efectiv realizate
corespund activităţii. Efectiv, se face referire la ceea ce este pus în practică pentru realizarea
sarcinii.
De altfel, eroarea umană este considerată de mulţi autori ca fiind diferenţa sau abaterea
dintre sarcina prescrisă şi sarcina efectivă. Pentru majoritatea sistemelor este valabilă distincţia
pe care o realizează proiectanţii şi executanţii:
 proiectantul maşinii, specifică regulile şi procedurile de exploatare; în condiţii de
utilizare operaţională intervin şi factorii de decizie care stabilesc obiectivele ce
trebuiesc îndeplinite;
 operatorul uman, în accepţiunea analizelor de fiabilitate, interacţionează cu maşina
pentru atingerea obiectivelor prestabilite, respectând regulile şi procedurile de
exploatare.
La nivelul legislativ, există deci o definiţie a sarcinii prescrise, în termeni de obiective
prestabilite. Sarcinii prescrise i se asociază un ansamblu de prescripţii (reguli şi proceduri), care
constituie un ansamblu de restricţii în ceea ce priveşte acţiunile. Domeniul acţiunilor prescrise
depinde de context. Astfel, o acţiune poate fi adecvată în cadrul unei sarcini date şi prescrisă în
cadrul altei sarcini.
Sarcină efectivă corespunde rezultatelor obţinute de operatorul uman. Aceste rezultate
reprezintă consecinţa acţiunilor operatorului uman sau, altfel spus, al activităţilor sale.
Pot fi luate în studiu diferite tipuri de abateri între sarcina prescrisă şi sarcina efectivă,
după cum urmează:
 abateri privind dimensiunea temporală;
 abateri privind dimensiunea spaţială;
 abateri privind forma.
Deoarece sarcina şi acţiunea sunt douǎ noţiuni strâns legate, abaterea dintre sarcina
prescrisă şi sarcina efectivă se manifestă şi în domeniul acţiunilor. În acest caz, activitatea nu
respectă procedurile şi regulile prescrise, care corespund sarcinii prescrise. Demersul de analiză
a riscurilor induse de factorul uman va consta, în mod preponderent, în identificarea formelor de
manifestare ale abaterilor şi în determinarea cauzelor acestora.
Abaterea dintre sarcina prescrisă (Tp) şi sarcina efectivă (Te) se poate exprima prin
diferenţa dintre cele două situaţii finale.
Dacă considerăm:
Tp ≡ (Sp, 0, Sp, f) şi Te ≡ (Se, 0, Se, f)
Atunci rezultă:
Sp, f ≠ Se, f

18
 Abaterea se poate datora mai multor cauze:
 erori de interpretare, datorate unei neînţelegeri (obiective definite neclar, diferenţe de
vocabular);
 interese diferite între prescriptor şi operator.

4.Procedee pentru evidenţierea erorii specifice operatorului

Petersen afirmă că „orice condiţie sau situaţie poate fi periculoasă dacă se acţionează
suficient de periculos” şi că „orice condiţie poate deveni nepericulosǎ dacă se acţionează
suficient de prudent”. Modelul lui Petersen, deşi atribuie cauzalitatea accidentelor exclusiv erorii
umane, ia în considerare toate fazele (concepţie, proiectare, exploatare) şi face deosebirea între
cauză şi vinovăţie.
În acest sens, există erori din culpă şi erori fără culpă, ambele categorii constituind cauze
de accidentare, dar numai primele putând fi imputabile muncitorului.
Pornind de la ideile lui Petersen, problematica cunoaşterii originii erorii umane s-a
dezvoltat impetuos, ajungându-se în prezent la mai mult de 20 de tipologii ale erorii umane.
Aceste tipologii diferă în funcţie de criteriul de clasificare ales (origine, natura activităţii, fazele
de muncă etc). Rigby clasifică erorile umane în erori de concepţie şi erori operative, care la
rândul lor pot fi: de execuţie, de omisiune, erori datorate unor acţiuni care nu figurează în sarcină
erori de secvenţă, erori de termen, de diagnostic, de reprezentare etc.
Cele mai cunoscute şi mai utilizate procedee pentru evidenţierea erorii operatorului uman
sunt:
 procedeul Rasmussen („arca lui Rasmussen”);
 procedeul Reason.

4.1.Procedeul Rasmussen

În cadrul acestui procedeu, reprezentat în figura 10, autorul defineşte trei tipuri de
comportament ale operatorului uman:
 comportamentul bazat pe aptitudini (Skill Based Behaviour): acţiunile operatorului
uman sunt executate automat şi răspund unor semnale; aceste semnale reprezintă
informaţii asimilate direct privind starea sistemului, fără parcurgerea unor etape de
interpretare;
 comportamentul bazat pe reguli (Rule Based Behaviour): operatorul uman adoptă
acest tip de comportament când se află în faţa unor situaţii cunoscute; informaţiile

19
 percepute sunt interpretate în scopul cunoaşterii stării sistemului, iar operatorul
stabileşte o corespondenţă între situaţia actuală şi obiectivul prestabilit; deoarece este
vorba de o situaţie deja întâlnită, legătura dintre sarcină (definită prin situaţia
existentă şi obiectivul urmărit) şi acţiunile care trebuie întreprinse este realizată
automat;
 comportamentul bazat pe cunoştinţe (Knowledge Based Behaviour): acest
comportament este întâlnit atunci când situaţia identificată nu corespunde unei situaţii
întâlnite anterior; operatorul uman este obligat ca, pornind de la cunoştinţele de care
dispune, să creeze (să „inventeze”) sarcina şi acţiunile necesare.
Procedeul lui Rasmussen se află la baza clasificării erorilor realizată de Reason.

CUNOŞTINŢE
obiective

Identificare Decizii Planificarea

acţiunilor

REGULI

Recunoşterea Asocierea Reguli de

situaţiei stare/sarcinǎ intervenţie

semne APTITUDINI

semnale
Luarea în Reguli de
considerare intervenţie

intrǎri semnale acţiuni

Fig. 10 Procedeul Rasmussen

4.2.Procedeul Reason

După procedeul lui Rasmussen, operatorul uman reacţionează la starea sistemului printr-o
secvenţă de acţiuni. În funcţie de caracterul acţiunii, intenţionată sau nu, Reason distinge:

20
  execuţii greşite şi omisiuni, care sunt consecinţa unor acţiuni neintenţionate;
 erori sau încălcări, care rezultă în urma acţiunilor intenţionate (deliberate).
Clasificarea erorilor propusă de Reason este reprezentată în figura 11.

Tipuri de
erori de bazǎ Defectǎri de atenţie:
intruziune;
omisiune;
Rateu inversiune;
dezordine;
contratimp.
Acţiuni
neintenţionate
Defectǎri de memorie:
omisiune de acţiuni;
Lapsus
pierderi;
uitarea intenţiilor.

Acte Greşealǎ •Greşeli bazate pe reguli:

riscante aplicarea greşitǎ a unei
reguli corecte;
aplicarea unei reguli
Greşealǎ greşite.
•Greşeli bazate pe
cunoştinţe declarative
Acţiuni •Forme variate
intenţionate

•Violǎri de rutinǎ
Violare •Violǎri excepţionale
•Acte de sabotaj

Fig. 11 Clasificarea erorilor umane (dupǎ Reason)

Aceastǎ clasificare fiind bazată pe procedeul lui Rasmussen, fiecărui tip de eroare i se
poate asocia un nivel comportamental:
 execuţiile greşite (rateurile) şi omisiunile sunt erori de execuţie care pot fi corelate cu
nivelul bazat pe aptitudini;
 erorile (greşelile) bazate pe reguli corespund nivelului comportamental bazat pe
reguli;
 erorile bazate pe cunoştinţe sunt asociate nivelului bazat pe cunoştinţe.
Trebuie subliniat faptul cǎ pentru Reason încălcarea deliberată a sarcinii nu constituie o
eroare. Distincţia dintre cele două noţiuni este legată de intenţia rezultatului. Eroarea există doar
când rezultatul obţinut diferă de rezultatul scontat fără producerea divergenţei. Pe de altă parte,
se consideră violare cazul în care divergenţa rezultatului este voluntară, deliberată. Această
observaţie este importantă, deoarece majoritatea metodelor de analiză a fiabilităţii umane nu iau

21
în considerare violările deliberate ale regulilor şi procedurilor, în condiţiile în care violările
antrenează abaterea de la activitatea prescrisă.
Rateul corespunde erorilor de execuţie într-o secvenţă de acţiuni considerată memorată.
Situaţia este cunoscută, iar operatorul dispune de o soluţie. Asocierea între situaţie şi soluţie este
corectă.
Tipurile de erori umane identificate de Reason, în raport cu o procedură prescrisă sunt:
 intruziuni: efectuarea de acţiuni neprevăzute în sarcina de muncă;
 omisiuni: acţiuni care lipsesc din secvenţă;
 inversiuni: locurile a două acţiuni sunt permutate;
 dezordinea: forma generalizată de inversiune, în care toate acţiunile din secvenţă sunt
executate, dar în ordine greşită;
 contratimpul: neefectuarea la timp a acţiunilor, prea devreme sau prea târziu.
Lapsusul corespunde erorilor de înscriere a secvenţei de acţiuni în memorie. Reason
reţine în această categorie omisiunea scrierii anumitor acţiuni, uitarea intenţiei şi scrierea unor
acţiuni parazite care distrag atenţia.
Greşelile corespund erorilor de alegere a secvenţei de acţiuni, dintre multiplele forme
posibile reţinându-se greşelile bazate pe reguli şi greşelile bazate pe cunoştinţe.
Greşelile bazate pe reguli pot fi de două tipuri şi anume:
 aplicarea greşită a unor reguli corecte;
 aplicarea unor reguli sau procedee greşite.
Cauzele acestor tipuri de erori sunt multiple, putând fi vorba de memorarea unor reguli
greşite, de erori de interpretare a informaţiilor sau de luarea în considerare a unor informaţii
incomplete.
Originile greşelilor bazate pe cunoştinţe sunt, de asemenea, diverse şi ţin de experienţa
operatorului uman şi de factorii de personalitate ai acestuia.
Analiza cauzelor producerii accidentelor şi a rezultatelor obţinute din interogarea
martorilor oculari conduce la concluzia că factorii fundamentali ai accidentelor ar putea fi:
 atenţia insuficientă acordată dispoziţiilor legale şi indicaţiilor referitoare la procesele
de producţie;
 instructaj superficial şi repartizarea necorespunzătoare a sarcinilor de lucru;
 comportare inconsecventă a personalului din conducere, în ceea ce priveşte lipsurile
manifestate în cadrul activităţilor desfăşurate;
 subestimarea pericolelor, indisciplină, supraaprecierea propriilor posibilităţi şi
aptitudini;

22
  graba, în special spre locul de muncă, înainte de începerea schimbului;
 comportament inadecvat în situaţii complexe;
 subestimarea importanţei securităţii colective şi lipsa de discernământ în luarea
hotărârilor şi în realizarea acţiunilor etc.
Statistica avariilor cu consecinţe deosebit de grave, atât pe plan uman, cât şi pe plan
economic, evidenţiază cauze determinate de:
 defecţiuni ale materialelor generate de oboseala şi suprasolicitarea acestora;
 depăşirea limitelor de uzură admisibile (control superficial);
 erori de funcţionalitate, neatenţie;
 condiţii improprii de utilizare;
 lipsa dispozitivelor de siguranţa sau nefuncţionarea acestora;
 îngrijirea şi întreţinerea defectuoasă a echipamentelor etc.
În consecinţă, trebuie menţionat şi faptul că operatorul uman nu poate fi considerat o
simplă componentă care reacţionează la un semnal. El îşi „construieşte” propria activitate,
regulile şi conştientizează riscurile asociate sistemului om – maşină. Pe lângă gestionarea
riscului tehnic datorat defectării unei componente sau comportamentului inadecvat, operatorul
uman este supus şi unui risc de altă natură, numit de Amalberti risc intern, care trebuie abordat
diferenţiat faţă de riscul extern.
Riscul extern este un risc care provine din exteriorul subiectului expus (riscul de
producere a unui accident, a unei avarii etc.)
Riscul intern este un risc cognitiv subiectiv cum ar fi, de exemplu:
 riscul de a nu dispune de un nivel de cunoştinţe şi de aptitudini corespunzătoare
ambiţiilor afişate;
 riscul care rezultă din lipsa capacităţii operatorului de a-şi gestiona resursele în
momentul execuţiei, cu consecinţa pierderii controlului acţiunilor.
În calitate de decident, operatorul va ţine cont de riscurile pe care le percepe, iar acţiunile
pe care le întreprinde vor influenţa starea potenţial periculoasă a sistemelor om – maşină.
Deciziilor operatorului în faza de exploatare iau în considerare atât diferitele obiective
(economice, temporale, legate de confort), cât şi riscurile percepute, având totodată o incidenţă
asupra riscului real al exploatării maşinii.

5.Metode pentru cuantificarea erorilor umane

23
 Aceste metode permit cuantificarea, pentru o sarcină dată, a probabilităţii de producere a
erorii umane (PEU), cu ajutorul relaţiei:

Rolul acestor metode îl constituie ghidarea evaluatorului în procesul de estimare a

probabilităţii de apariţie a erorii umane, iar procentul de erori se calculează pornind de la bazele
de date care conţin erori – tip şi de la raţionamentele experţilor.
Prima abordare analitică a fiabilităţii umane se bazează pe descompunerea sarcinii de
muncă în etape elementare. Cu titlul de exemplu se prezintă metoda THERP (Technique for
Human Error Rate Prediction) propusă de Swain şi dezvoltată apoi în colaborare cu Guttman.
Metoda de estimare a probabilităţii de apariţie a erorii umane THERP cuprinde
următoarele etape:
1. definirea defectărilor sistemului datorate erorilor umane a căror probabilitate urmează
a fi estimată;
2. identificarea, listarea şi analiza tuturor sarcinilor operatorilor şi a relaţiilor lor cu
funcţiunile sistemului;
3. estimarea probabilităţii de apariţie a erorilor;
4. determinarea consecinţelor erorilor umane asupra sistemului;
5. propunerea de măsuri pentru reducerea la un nivel acceptabil a probabilităţii de
defectare a sistemului.
Prima etapă permite cunoaşterea sistemului şi înţelegerea modului său de funcţionare.
Pentru atingerea obiectivelor menţionate se efectuează o analiză sistematică a defectărilor (prin
aplicarea metodei AMDE) şi apoi o analiză descriptivă şi cauzală a înlănţuirii acestora, prin
Arborele de Defectări.
În cadrul celei de a doua etape analiza sarcinilor de muncă este finalizată printr-o listă a
acţiunilor (etapelor) elementare.
Etapa a treia este dedicatǎ prezentǎrii, în ordine cronologicǎ, a acţiunilor elementare sub
forma unui arbore de evenimente de tipul celui reprezentat în figura 12. Fiecărei acţiuni îi sunt
asociate trei stări şi anume: succes, eşec şi recuperare. Aceste stări sunt reprezentate prin
ramificaţii care au asociate fiecare câte o valoare a probabilitǎţii obţinută din tabele.
Pentru fiecare acţiune probabilitatea de apariţie a erorii P(E) se determină cu relaţia:

unde:
P1 este probabilitatea de bază;

24
 K - coeficient de corecţie funcţie de nivelul de stres al operatorului;
P2 - probabilitatea ca eroarea să nu fie recuperată.

Fig. 12 Arborele de fiabilitate

Precizia evaluǎrii poate fi majoratǎ dacă se vor lua în considerare şi factorii de

performanţă PSF (Performance Shaping Factor), la fel ca şi în cazul metodei SLIM (Succes
Likelihood Index Methodology).
Această metodă, elaborată de Embrey, cuprinde definirea situaţiilor şi a sarcinilor de
muncă şi propune cuantificarea probabilităţii de producere a erorii umane prin luarea în
considerare a valorilor PSF care influenţează sarcinile de muncă analizate.
Dintre factorii de performanţă care pot fi luaţi în considerare, Embrey nominalizează pe
cei indicaţi în tabelul 4.

Tabelul 4 Factorii de performanţă utilizaţi în analiza sarcinii de muncă

Denumirea factorului de performanţă Ponderea de participare a factorului
de performanţă
Experienţa operatorului
Calitatea instruirii
Presiunea temporală
Calitatea procedurilor
Calitatea supravegherii
Nivelul de zgomot
Accesibilitatea
Motivaţia
Stresul
Comunicarea
Structura echipei
Concepţia
Locul implementării
Complexitatea cognitivă
Complexitatea fizică
Calitatea informaţiilor

25
 Probabilitatea de succes a sarcinii P(S) se determină cu ajutorul relaţiei:

cu

unde:
n este numărul factorilor de performanţă;
PSFk - corespunde influenţei factorului de performanţă;
wk - ponderea factorului de performanţă „k”;
a, b - constante ale căror valori sunt stabilite de experţi în baza probabilităţilor de apariţie
a erorilor evaluate pentru sarcini de muncă cunoscute (în decursul unei faze numite „de
etalonare”).
O altă metodă care poate fi utilizată pentru cuantificarea erorilor umane este metoda
MAFERGO (Méthodologie d’Analyse de la Fiabilité et ERGonomie Opérationnelle) care
permite studiul şi analiza fiabilităţii operaţionale prin combinarea aspectelor ergonomice cu cele
legate de fiabilitatea tehnică.
Metoda implică parcurgerea următoarelor etape:
1. Analiza structurală şi funcţională
Această etapă are drept scop descrierea funcţionării normale a sistemului (instalaţiei).
Punctul de vedere tehnic descrie sistemul şi procesul tehnologic, iar punctul de vedere
ergonomic cuprinde descrierea sarcinilor prescrise.
2. Analiza operaţională
Obiectivul acestei etape este de a constata realităţile operaţionale. Se analizează
funcţionarea reală a instalaţiei şi se identifică nivelul de disponibilitate. În această etapă analiza
ergonomică se referă la activităţile operatorilor şi la gradul de ocupare al acestora.
3. Identificarea disfuncţiilor
Parcurgerea acestei etape permite listarea disfuncţiilor, bazându-se pe metode de tipul
AMDE. Consecinţele disfuncţiilor asupra activităţii operaţiilor sunt puse în evidenţă prin analiza
ergonomică.
4. Analiza cauzală a disfuncţiilor
Această etapă constă în stabilirea unui graf cauzal al scenariilor de producere a
disfuncţiilor, graf care evidenţiază relaţiile dintre evenimentele tehnice, umane şi organizatorice.
5. Propunerea măsurilor de îmbunătăţire

26
 Această ultimă etapă are ca obiectiv propunerea măsurilor de îmbunătăţire care sunt
validate prin simulare, reluându-se etapele precedente.
Studiul comun al aspectelor de ordin tehnic şi uman constituie principala componentă
originală a metodologiei MAFERGO, metodologie care permite luarea în considerare a
situaţiilor reale de exploatare ale unui sistem. În figura 13 sunt prezentate etapele metodei
MAFERGO.

Analiza solicitǎrii

Analiza structuralǎ şi funcţionalǎ: sarcini, funcţii etc.

Analiza operaţionalǎ: configuraţie, disponibilitate,

exigenţe şi restrictii

Identificarea disfuncţiilor: ierarhizare, recuperare,

restricţii

Analiza cauzalǎ a disfuncţiilor: scenarii, erori, bucle

de reglare etc.

Propunerea mǎsurilor de îmbunǎtǎţire

Fig. 13 Etapele metodologiei MAFERGO (după Fadier)

Metodele de analiză a fiabilităţii umane permit determinarea probabilităţii de apariţie a

erorii sau succesului, fiind bazate pe analiza muncii umane. Ca urmare, ele reprezintă
instrumentele posibile de analiză a erorilor umane în sistemul om – maşină.
Abordarea convenţională a analizei riscurilor este probabilistică, urmărindu-se în general
evaluarea probabilităţii de apariţie a disfuncţiilor la nivelul componentelor sistemului om –
maşină. Valorile probabilităţilor se obţin din bazele de date disponibile care deseori sunt create
de către proiectanţii şi constructorii componentelor. Datele sunt obţinute prin teste laborioase, în
care sunt solicitate de foarte multe ori un număr foarte mare de componente identice.
Astfel de bănci de date nu sunt constituite practic pentru erorile umane. După cum s-a
menţionat anterior cele câteva informaţii disponibile provin, în special, din domeniul industriei
nucleare şi sunt obţinute îndeosebi prin simulări (Swain şi Guttmann). Efectiv, băncile de date
sunt extrem de rare şi sunt specifice unor domenii industriale particulare, iar aplicarea în alte
domenii este delicată şi necesitǎ adaptări. Din acest motiv, obţinerea valorilor probabilităţilor de

27
producere a erorilor umane rezultă, cel mai frecvent, din estimări realizate prin raţionamente ale
experţilor ghidaţi de anumite metode.
Cuantificarea fiabilităţii umane rămâne un subiect controversat. De altfel, se constată o
diferenţă între rezultatele obţinute prin utilizarea diferitelor metode existente pe plan mondial,
dar şi între rezultatele obţinute de evaluatori diferiţi care aplică aceeaşi metodă.
Având în vedere aspectele menţionate anterior se poate concluziona cǎ abordarea
calitativă este mai pertinentă. De altfel, această abordare este preconizată de către Vanderhaegen,
care propune o metodă originală de analiză a fiabilităţii umane, APRECIH. Această metodă
studiază consecinţele defiabilităţii umane şi permite analiza activităţii umane în funcţie de
contextul sarcinii de muncă. Contribuţia tezei va fi bazată pe reluarea diferitelor etape ale acestei
metode.
Dacă pentru componentele tehnice este posibil să se ţină seama de cvasitotalitatea
modurilor de funcţionare şi de defectare, în cazul factorilor umani acest lucru nu este posibil,
deoarece operatorul uman este considerat un agent reactiv (care reacţionează) la stările
sistemului. Comportamentele deviante, în speţă violările sau încălcările prescripţiilor, nu sunt
luate în considerare în acest tip de abordare.

6.Concluzii

Modul de abordare a securităţii variază pe întreaga durată a ciclului de viaţă al unui

sistem om – maşină. Punctele de vedere evoluează în funcţie de partenerii implicaţi: proiectant,
angajator şi utilizator. De asemenea, abordările existente de analiză a riscurilor nu se referă decât
la primele două modele de securitate prezentate la începutul acestui capitol: modelul
proiectantului şi modelul angajatorului. Anumite condiţii de exploatare „scapă” analizei
riscurilor.
Utilizatorii fac parte integrantă din sistemul om – maşină. Comportamentul lor modifică
condiţiile de utilizare ale sistemului. Diferenţa dintre comportamentul prognozat şi
comportamentul real nu este complet luată în considerare de către abordările actuale ale evaluării
erorilor umane. Aceste diferenţe constau esenţial în violări (încălcări ale prescripţiilor), fapt care
permite punerea în discuţie a principiilor măsurilor de securitate în serie, recomandate şi/sau
implementate în etapa de concepţie – proiectare.
Metodele actuale nu iau în considerare decât de erorile de bază (rateu, lapsus şi greşeală).
Pe de altă parte, evaluarea probabilistică a erorii umane este dificilă şi aplicarea metodelor
disponibile nu poate fi apreciată ca satisfăcătoare. O abordare calitativă şi descriptivă pare mai

28
judicioasă pentru evaluarea erorii umane, însă face mai dificilă integrarea rezultatelor analizei
erorilor umane în analiza probabilistică a riscurilor asociate sistemului om – maşină.

29