salta al contenuto

Terminologia della Qualità: analisi dell'albero dei guasti (FTA)

Il dizionario dei termini utilizzati nell'ambito di Qualità e certificazione

Aggiornato il 24 aprile 2026

di

Definizione

L'analisi dell'albero dei guasti, in inglese Fault Tree Analysis e abbreviata in FTA, è un'analisi dei rischi di tipo top-down che, partendo da un evento indesiderato di livello superiore, chiamato "evento top" o "top event", cerca di valutare le cause che lo determinano e di metterlo in relazione con i guasti sui componenti elementari del sistema.

In altri termini, la FTA è un metodo deduttivo e grafico per analizzare in modo sistematico tutte le possibili cause che possono portare a un determinato guasto o incidente, rappresentandole visivamente sotto forma di albero rovesciato: la radice in cima (l'evento da analizzare) e i rami che si diramano verso il basso (le cause e le loro combinazioni).

Origini e storia

La FTA è stata sviluppata nel 1961 da H.A. Watson dei Bell Telephone Laboratories su commissione dell'U.S. Air Force, nell'ambito dell'analisi di sicurezza del sistema missilistico Minuteman. Fu poi adottata e perfezionata dalla Boeing negli anni successivi, diventando in breve uno strumento standard nel settore aerospaziale e della difesa.

Nel corso dei decenni, la metodologia si è diffusa in tutti i settori ad alta criticità (nucleare, chimico-farmaceutico, ferroviario, automobilistico) fino a diventare oggi una delle tecniche fondamentali della gestione del rischio nei sistemi di gestione della qualità e della sicurezza. La norma IEC 61025 fornisce le linee guida internazionali per la sua corretta applicazione.

La struttura di un albero dei guasti

Un albero dei guasti ha una struttura gerarchica che si articola su più livelli:

  • evento top (top event): il guasto o l'incidente che si vuole analizzare, posizionato in cima all'albero. È solitamente un evento raro ma di elevata criticità (es. "rottura del circuito idraulico primario", "arresto non pianificato della linea di produzione");
  • eventi intermedi: i guasti o le condizioni di livello intermedio che contribuiscono all'evento top. Ciascuno di essi può essere a sua volta scomposto in cause di livello ancora più basso;
  • eventi di base (basic events): le cause elementari, al livello più basso dell'albero, che non vengono ulteriormente scomposte. Rappresentano singoli guasti di componenti o errori umani;
  • porte logiche (logic gates): i connettori che definiscono la relazione tra gli eventi. Le principali sono la porta AND (tutti gli eventi in ingresso devono verificarsi affinché si verifichi l'evento in uscita) e la porta OR (è sufficiente che si verifichi uno qualsiasi degli eventi in ingresso).

I simboli principali

La rappresentazione grafica dell'albero dei guasti utilizza una simbologia standardizzata. I simboli più comuni sono:

  • rettangolo: rappresenta un evento intermedio o l'evento top, ovvero un guasto che può essere ulteriormente analizzato;
  • cerchio: rappresenta un evento di base, ovvero una causa elementare che non richiede ulteriore scomposizione;
  • diamante: rappresenta un evento non sviluppato, per il quale non si dispone di informazioni sufficienti o che si è scelto deliberatamente di non approfondire;
  • porta AND: l'evento di uscita si verifica solo se tutti gli eventi in ingresso si verificano simultaneamente;
  • porta OR: l'evento di uscita si verifica se almeno uno degli eventi in ingresso si verifica;
  • porta NOT: l'evento di uscita si verifica se l'evento in ingresso non si verifica (usata più raramente).

Come si costruisce un albero dei guasti

La costruzione di un albero dei guasti segue un processo strutturato che si articola in questi passi principali:

  1. definizione del sistema e dei suoi confini: prima di iniziare l'analisi è fondamentale avere una chiara comprensione del sistema in esame, delle sue funzioni e dei confini entro cui si intende condurre l'analisi;
  2. identificazione dell'evento top: si definisce con precisione l'evento indesiderato da analizzare. La chiarezza e la specificità in questa fase sono cruciali: un evento top vago produce un albero poco utile;
  3. identificazione delle cause immediate: si risale al primo livello di cause che possono provocare direttamente l'evento top, collegandole con le porte logiche appropriate (AND o OR);
  4. sviluppo ricorsivo dell'albero: ciascun evento intermedio viene a sua volta scomposto nelle proprie cause, procedendo dall'alto verso il basso fino a raggiungere gli eventi di base;
  5. verifica dell'albero: l'albero costruito viene revisionato criticamente dal team di analisi per assicurarsi che non vi siano cause importanti trascurate e che le relazioni logiche siano corrette;
  6. analisi dei risultati: si identificano le combinazioni minime di guasti di base che possono causare l'evento top e si traggono le conclusioni per le azioni di miglioramento.

Analisi qualitativa e quantitativa

La FTA può essere condotta a due livelli di profondità:

  • analisi qualitativa: si costruisce l'albero e si identificano i percorsi critici e le combinazioni di guasti che, se si verificano tutte insieme, causano l'evento top. Questo tipo di analisi permette di capire quali scenari di guasto sono possibili e quali combinazioni di componenti rappresentano i punti di debolezza del sistema, senza necessariamente associare probabilità numeriche;
  • analisi quantitativa: si associa a ciascun evento di base una probabilità di accadimento (ricavata da banche dati di affidabilità, dati storici o stime degli esperti) e si calcola, risalendo l'albero con le regole della probabilità, la probabilità che si verifichi l'evento top. Questo permette di confrontare scenari diversi, di giustificare con dati oggettivi le priorità di intervento e di verificare se il sistema rispetta i requisiti di affidabilità o sicurezza prefissati.

Vantaggi e limiti

Come ogni strumento, la FTA ha punti di forza e aree in cui mostra i suoi limiti. Tra i principali vantaggi:

  • fornisce una rappresentazione visiva e intuitiva delle relazioni causali, comprensibile anche da chi non è esperto di probabilità e affidabilità;
  • obbliga il team a ragionare sistematicamente su tutte le possibili cause di un guasto, riducendo il rischio di trascurare scenari critici;
  • è applicabile a sistemi di qualsiasi complessità, dai più semplici ai più articolati;
  • permette di identificare i componenti critici su cui concentrare le risorse di manutenzione o di ridondanza;
  • nella versione quantitativa, fornisce una base oggettiva per le decisioni di progetto e di gestione del rischio.

Tra i principali limiti:

  • può diventare molto complessa e difficile da gestire per sistemi con molti componenti e molte interazioni;
  • la qualità dell'analisi dipende fortemente dall'esperienza e dalla conoscenza del team che la conduce: cause trascurate all'inizio non appariranno nell'albero;
  • nella versione quantitativa, l'affidabilità dei risultati dipende dalla qualità dei dati di probabilità disponibili, che spesso sono scarsi o poco rappresentativi;
  • analizza un solo evento top alla volta: per sistemi con molteplici modi di guasto critici, possono essere necessari più alberi distinti.

FTA e FMEA: due strumenti complementari

La FTA è spesso utilizzata in coppia con la FMEA (Failure Mode and Effects Analysis), con la quale condivide l'obiettivo ma non l'approccio:

  • la FMEA è un'analisi bottom-up: parte dai singoli componenti e risale verso l'alto, chiedendosi "se questo componente guasta, cosa succede al sistema?";
  • la FTA è un'analisi top-down: parte dall'evento indesiderato e scende verso il basso, chiedendosi "cosa deve accadere affinché si verifichi questo guasto?".

I due approcci sono complementari e spesso vengono usati insieme: la FMEA per un'analisi sistematica di tutti i possibili modi di guasto, la FTA per approfondire i più critici tra essi con un'analisi causale più dettagliata.

Ambiti di applicazione

La FTA è uno strumento trasversale, applicato in settori molto diversi tra loro:

  • industria aerospaziale e difesa: dove ha avuto origine, resta uno strumento fondamentale per la certificazione di sistemi avionici e missilistici;
  • industria nucleare: per l'analisi probabilistica della sicurezza (PRA/PSA) di impianti nucleari;
  • industria chimica e petrolchimica: per l'analisi degli scenari di rilascio di sostanze pericolose;
  • industria automobilistica: integrata con la FMEA nel processo di sviluppo prodotto (APQP);
  • dispositivi medici: richiesta dalla norma ISO 14971 per la gestione del rischio;
  • sistemi informatici e software: per l'analisi della disponibilità e dell'affidabilità dei sistemi IT critici;
  • gestione della qualità: come strumento di supporto all'analisi delle non conformità e all'analisi delle cause profonde, in particolare quando si vuole approfondire un evento ripetuto o ad alto impatto.

PER SAPERNE DI PIÙ:

Tutta la terminologia di QualitiAmo L'analisi delle cause profonde (Root Cause Analysis) Tutti gli articoli sulla ISO 9001