TISAX: la sicurezza delle informazioni nell’automotive

La normativa IATF 16949 prevede alcuni requisiti che riguardano la sicurezza delle informazioni dell’organizzazione automotive ed infatti le Sanctioned Interpretation riguardano anche la sicurezza delle informazioni gestite. Ricordiamo che una Sanctioned Interpretation modifica l’interpretazione di una regola o di un requisito della IATF 16949 e diventa essa stessa la base di una non conformità.



In particolare, alcune di esse riguardano ai punti seguenti:

6.1.2.3 PIANI DI EMERGENZA

L’organizzazione deve:

a) – b) (…)

c) preparare piani di emergenza per la continuità della fornitura in caso si verifichino: guasti di apparecchiature chiave (vedere anche sezione 8.5.6.1.1), interruzione dei prodotti, processi e servizi di fornitura esterna, disastri naturali, incendi, interruzione di servizi, attacco informatico ai sistemi informativi, mancanza di manodopera o problemi alle infrastrutture.

S.I.: “Le organizzazioni devono affrontare la possibilità di un attacco informatico che potrebbe interrompere le proprie attività produttive e logistiche, inclusi i ransomware. Le organizzazioni devono assicurarsi di essere preparate in caso di attacco informatico.”

7.1.3.1 PIANIFICAZIONE DELLO STABILIMENTO, DEI MEZZI E DELLE APPARECCHIATURE

…l’organizzazione deve… implementare la protezione informatica delle apparecchiature e dei sistemi di supporto della produzione

S.I.: “La sicurezza informatica non si limita alle funzioni di supporto e alle aree degli uffici che utilizzano i computer. Anche la produzione utilizza controlli e attrezzature computerizzati potenzialmente a rischio in caso di attacchi informatici. L’aggiunta di questo requisito guida verso l’implementazione delle protezioni necessarie per garantire il continuo funzionamento e l’ininterrotta produzione, al fine di soddisfare le esigenze dei clienti”

Le suddette prescrizioni restano generiche e non entrano molto nel merito di una disciplina molto articolata e complessa come quella della sicurezza delle informazioni in generale e della sicurezza informatica in particolare.

Per questa ragione è uscito lo standard TISAX® (Trusted Information Security Assessment eXchange), che rappresenta uno schema a fronte del quale le aziende automotive più importanti (OEM, Tier 1) richiedono l’assessment ai loro fornitori in quanto essi trattano informazioni critiche dal punto di vista della Riservatezza, dell’Integrità e della Disponibilità delle stesse.

È facile immaginare che alcune informazioni scambiate nella catena di fornitura automotive, richiedono una certa protezione. Si tratta di: dati di prodotti e di componenti (specifiche tecniche, documenti progettuali e disegni dimensionali, dati di validazione file PPAP/APQP, dati di collaudo e omologazione), dati aziendali fondamentali per il business (schede processi, programmi di produzione, software di produzione e manutenzione, informazioni personali, strategie aziendali, dati di marketing e di vendita), dati collegati ai rapporti tra fornitori e clienti del settore (offerte, contratti, ordini di componenti, fatture, piani di consegne, dati e informazioni su clienti e fornitori), dati su veicoli (anomalie, guasti, richieste di assistenza, …).

TISAX è un meccanismo di valutazione e di scambio dei risultati di un assessment fra le organizzazioni della catena di fornitura automotive, nato per iniziativa del VDA tedesco – attualmente responsabile dello schema – e che si sta affermando come una declinazione degli standard di sicurezza delle informazioni (ISO 27001 su tutti, ma anche SPICE ISO 15504 per il software automotive) nel settore automotive.

Il sistema TISAX si basa su:

  1. Una registrazione dell’azienda al TISAX®
  2. La scelta di un organismo (audit provider) che effettua audit secondo questo schema
  3. L’esecuzione dell’assessment da parte dell’organismo indipendente
  4. La condivisione dei risultati dell’assessment con i partecipanti al TISAX e l’accesso ai dati degli altri partecipanti.

I partecipanti registrati al TISAX possono anche essere OEM che si ritengono partecipanti “passivi” in quanto non effettuano un assessment, ma invitano i loro fornitori a farlo per poi accedere ai risultati dell’assessment stesso.

L’intero meccanismo è monitorato dall’ENX, associazione no profit che svolge un ruolo simile ad un Ente di Accreditamento.

L’audit o assessment TISAX porta ad ottenere una “Label” mediante un processo che è del tutto simile a quello delle certificazioni dei sistemi di gestione.

L’assessment TISAX ha uno scopo, un ambito di applicazione per il quale viene valutato dall’audit provider (esiste lo scopo di tipo Standard, Narrow ed Extended).  L’ambito di applicazione di una valutazione TISAX, però, non può essere determinato dall’organizzazione, ma deve necessariamente comprendere tutti i processi e le risorse coinvolte nel trattamento di informazioni afferenti all’industria automobilistica.

Dallo scopo derivano gli obiettivi dell’assessment che permettono di ottenere una “Label” di un determinato tipo (Livello di Maturità da 0 = Incomplete a 5 = Optimizing).

La documentazione (tutta in lingiua inglese o tedesca) resa disponibile per questo schema è ampia e comprende un TISAX Handbook dettagliato, un TISAX Simplified Group Assessment e soprattutto una check-list per l’autovalutazione. Tutti i documenti aggiornati sono reperibile al link https://portal.enx.com/en-US/TISAX/downloads/.

Anche l’audit non è di un unico tipo: esiste l’audit di livello 1 (AL 1) che essenzialmente è una autovalutazione dell’organizzazione, quello di livello 2 (AL 2) che consiste in una verifica di quanto indicato dall’azienda nel questionario di valutazione, condotta prevalentemente da remoto, infine l’audit di livello 3 (AL 3) è più completo ed approfondito, dunque più severo per l’organizzazione.

Probabilmente molte organizzazioni a cui è stato richiesto dai loro clienti un assessment TISAX non sanno rispondere alle domande della check-list di autovalutazione, oppure risponderebbero in modo errato senza una consulenza competente in grado di guidarli verso l’audit/assessment TISAX senza rischiare di fare un buco nell’acqua.

blue silver black car engine
Photo by Pixabay on Pexels.com

La check-list per l’assessment TISAX propone, per ciascun punto di controllo, uno o più obiettivi di controllo ai quali sono associati requisiti obbligatori (must), requisiti auspicabili (should), requisiti aggiuntivi necessari laddove è richiesto un elevato livello di protezione delle informazioni e, tra le altre informazioni, il riferimento al requisito ISO 27001 dell’appendice A (equivalente al controllo ISO 27002) corrispondente.

I controlli sono suddivisi in tre aree: Information security, Prototype protection e Data protection.

I risultati degli obiettivi di controllo sono poi riepilogati nella scheda dei risultati (Result) che produrrà la valutazione complessiva e genererà un grafico Radar complessivo per evidenziare i livelli di maturità per i diversi punti di controllo, oltre a grafici radar per singola area.

Sono infine riportati alcuni esempi, anche di KPI significativi per monitorare l’adeguatezza della gestione della sicurezza delle informazioni in ambito automotive.

La copertura dei controlli ISO 27001 Appendice A – ISO 27002 è solo parziale, ma l’obiettivo è far raggiungere anche ad aziende medio-piccole che operano nel settore automotive un livello di maturità accettabile sulla sicurezza delle informazioni, senza pretendere di ottenere l’ardua ed onerosa certificazione ISO 27001.

Tuttavia, un’azienda del settore manifatturiero che opera in questo settore spesso non ha risorse IT interne adeguate per gestire un progetto di adeguamento al TISAX e l’infrastruttura tecnologica implementata potrebbe non fornire adeguate garanzie dal punto di vista della sicurezza.

Occorre dunque effettuare una sorta di gap analysis per capire qual è lo stato attuale dell’organizzazione rispetto alla sicurezza delle informazioni, per capire quali azioni occorre mettere in campo per poter raggiungere il livello di maturità richiesto e la conseguente Label TISAX. Credo che alcune organizzazioni, però, si attiveranno subito con l’iscrizione al TISAX per avviare il processo, senza sapere cosa li aspetta.

I costi per l’ottenimento di una determinata Label TISAX variano in funzione del numero dei siti e degli scopi, ma sono comunque ripartiti nei seguenti:

  • Costo di registrazione al TISAX (a partire da € 405)
  • Costi per l’audit da parte di un Audit Provider (dipendono dal livello di audit e sono ricorrenti per rinnovare la Label ogni 3 anni, ma non sono previsti audit di sorveglianza)
  • Costi per l’eventuale consulenza finalizzata al raggiungimento del livello di maturità richiesto
  • Costi del personale interno per seguire il progetto (personale IT, qualità, direzione, risorse umane, …)
  • Speseper adeguamento di hardware e software
  • Costi per eventuale assistenza sistemistica esterna.



Nuova Specifica IATF 16949 per la qualità nell’automotive

ingranaggiLo scorso 1° ottobre è stata pubblicata la nuova specifica IATF 16949:2016, revisione della Specifica tecnica ISO/TS 16949:2009 che, dunque, non è più norma ISO. Oltre a questo aspetto ci sono molte altre novità nella nuova specifica automotive, a cominciare dal piano di transizione alla nuova norma per i vecchi certificati ISO/TS 16949 e i nuovi certificati IATF 16949:2016, estremamente breve.

Infatti da ottobre 2017 non sarà più possibile certificarsi secondo il vecchio schema ISO/TS 16949 e a settembre 2018 tutti i vecchi certificati ISO/TS 16949 perderanno di validità se non migrati nel nuovo schema.

Ci si attendeva la revisione della ISO/TS 16949 del 2009, legata alla norma ISO 9001:2008 dopo la revisione 2015 della norma sui sistemi di gestione per la qualità, ma le modifiche sono state molto più significative che una semplice riproposizione dei requisiti secondo l’approccio della ISO 9001:2015.

La nuova specifica IATF 16949:2016 presenta in veste di requisito alcune prassi che erano diventate abituali nella catena di fornitura del settore automotive e rende obbligatorio il rispetto dei C.S.R. (Customer Specific Requirments) del cliente automotive, ma non solo.

Le principali novità riguardano sicuramente la gestione dei rischi (e non poteva essere altrimenti dopo l’uscita della ISO 9001:2015) e la gestione dei fornitori, molto più severa che in passato.

I punti principali di innovazione sono così riepilogati:

  1. I CSR sono alla base di tutto il processo.
  2. Le logiche automotive devono essere basate su logiche economiche (efficienza dei processi) e finanziarie.
  3. La Specifica contiene requisiti aggiuntivi rispetto alla ISO 9001:2015, ma la suddetta norma non fa più parte del testo della specifica automotive, ma è solo richiamata.
  4. È presente una sezione specifica (Allegato B) che fornisce le linee guida ed indicazioni sulle modalità da attuare per gestire alcuni processi/attività in assenza di una specifica del cliente. I tool da poter utilizzare per la gestione di SPC, MSA, FMEA, APQP, ecc. sono solo quelli indicati nell’Allegato B (es. Manuali AIAG, ANFIA, VDA, ecc.).
  5. Viene introdotta la sostenibilità aziendale dei fornitori.
  6. Responsabilità Sociale d’Impresa: si deve predisporre ed attuare un sistema di gestione che prevenga le frodi, la corruzione ed altri reati (è esplicitamente richiesto un codice etico/di condotta). Naturalmente quelle imprese che già dispongono di un modello organizzativo secondo il D.Lgs 231 dovranno solo integrarlo nel sistema qualità.
  7. I fornitori devono avere un processo sequenziale stabilito di crescita che ha come obiettivo finale il conseguimento della certificazione IATF 16949. Sono coinvolti tutti i fornitori della catena di fornitura del prodotto e relativi componenti/materie prime/lavorazioni esterne.
  8. Viene introdotta la gestione del rischio d’impresa facendo esplicito riferimento alla ISO 31000 (oltre che alla ISO 19011 ed alla ISO 9001 stessa).
  9. La logica di tutto il sistema è la business continuity, ma il focus si sposta dal manufacturing (aspetto compreso anche nella precedente versione della specifica) a tutti i processi aziendali che possono generare interruzioni dell’operatività.
  10. Compaiono requisiti specifici per il software inserito nel veicolo, con necessità di validazione dello stesso.
  11. Il set minimo di indicatori da misurare nel sistema di gestione è riportato nella Specifica IATF.
  12. Occorre garantire sempre più la sicurezza del prodotto.

In conseguenza delle modifiche, sostanzialmente tutte aggiuntive di requisiti, le giornate di verifica degli Organismi di Certificazione dovrebbero aumentare.

Molti aspetti dovranno essere chiariti dalle Rules di prossima pubblicazione e da eventuali Linee Guida nell’applicazione e nella verifica dei nuovi sistemi IATF 16949.

La nuova specifica mira a garantire la continuità operativa e la sostenibilità di tutta la catena dell’automotive e gli obiettivi economici potranno essere raggiunti e migliorati solo attraverso l’efficienza che potrà accrescere i margini, normalmente molto ridotti, anche se applicati a volumi di produzione elevati e continuativi.

Inoltre nella nuova IATF 16949:2016 sono citati per la prima volta strumenti e metodologia spesso adottate nell’automotive, quali la lean production, il Problem Solving, i 5S, ecc.

Anche i software impiegati per il controllo qualità e per la gestione della qualità dovranno essere validati e saranno sottoposti a verifica da parte degli auditor dell’Organismo di Certificazione.

Infine i tempi di transizione sono estremamente ridotti:

  • Dal Marzo 2017 gli Organismi di Certificazione potranno certificare secondo la nuova specifica IATF 16949:2016.
  • Le nuove certificazioni potranno essere emesse secondo la ISO/TS 16949:2009 solo fino a Settembre 2017
  • Le transizioni alla nuova specifica IATF 16949 dalla vecchia ISO/TS 16949, per le aziende già certificate, termineranno con gli audit di Maggio 2018 per consentire alle aziende di risolvere eventuali non conformità entro la scadenza di tutti i vecchi certificati ISO/TS 16949, fissata per il 14 Settembre 2018.



Il cliente straniero viene a fare un audit: che fare?

RelazioneMolte piccole e medie imprese italiane negli ultimi anni sono riuscite ad uscire dalla crisi e – in molti casi – anche ad incrementare sensibilmente i ricavi di vendita, attraverso la vendita di prodotti a clienti esteri, soprattutto in area UE. L’acquisizione di un nuovo cliente estero (oggi divenuta sempre meno difficoltosa attraverso siti internet anche in lingua inglese e un’adeguata indicizzazione nei motori di ricerca) e soprattutto la crescita degli ordinativi dopo le prime campionature passa spesso attraverso una visita del cliente estero presso lo stabilimento del fornitore italiano.

La prassi di molte imprese estere, tedesche ed inglesi soprattutto, specialmente se operanti nel settore automotive e se multinazionali, prevede che questa visita al fornitore italiano sia un vero e proprio audit sul sistema qualità e sul processo produttivo interessato alla realizzazione dei prodotti del cliente estero.

Questi audit sono preceduti da comunicazioni formali, quali piani di audit e accordi commerciali o CSR (Customer Specific Requirments) che costituiscono veri e propri Quality Agreement. Tali documenti sono quasi sempre molto impegnativi per le PMI italiane, anche se certificate ISO 9001 (ma non ISO/TS 16949 per il settore automotive).

Il primo audit ha l’obiettivo di valutare lo stato della qualità e dei processi produttivi del fornitore rispetto ai propri standard e di registrarne gli scostamenti al fine di far crescere il fornitore.

A fronte di queste richieste il management dell’impresa italiana talvolta si chiede “Perché non basta la certificazione di qualità?” oppure crede che vengano solo per discutere di aspetti commerciali.

Sicuramente un audit sul sistema qualità, ovviamente in inglese, da parte di un cliente spaventa un po’. Dapprima ci si preoccupa della lingua: un conto è scambiare qualche mail in inglese sulla fornitura di prodotti o su specifiche tecniche note, un conto è rispondere a domande precise e circostanziate poste da un auditor qualificato, talvolta neanche facente parte della struttura di riferimento principale del cliente con cui si ha rapporti, in lingua inglese e rispondere in modo sensato nella stessa lingua su aspetti che probabilmente non vengono gestiti come vorrebbe il cliente. La visita annuale dell’Organismo di Certificazione è un’altra cosa!

Alcuni clienti esteri strutturati, poi, effettuano l’audit con due o tre persone: un esperto di sistemi qualità, un referente degli acquisti per parlare di aspetti commerciali, un membro dell’ufficio tecnico e/o della produzione per discutere di problematiche tecniche… come fare per “marcare a uomo” tanti soggetti pericolosi? Un problema è, come detto, la conoscenza della lingua inglese, un altro è quello della conoscenza anche del “qualitese” da parte di più persone all’interno dell’azienda.

La Direzione di alcune aziende pensa di assoldare un traduttore per essere al riparo da rischi di interpretazione linguistica, altri pensano di mettere in piedi del “cinema” per stupire il cliente con effetti speciali e fargli credere di essere perfetti, soprattutto dal punto di vista della qualità, anche con l’ausilio di registrazioni “finte”. Premesso che assoldare un ottimo attore come George Clooney che conosca anche un po’ di italiano non servirebbe a nulla e costerebbe un pochino troppo, vediamo quali sono i comportamenti da evitare e l’approccio corretto per affrontare questi audit stranieri.

Per prima cosa è opportuno adottare la massima trasparenza nei confronti del cliente, soprattutto se la situazione esistente è parecchio lontana dai requisiti riportati nel Quality Agreement o CSR. Non si può pensare di inventarsi una FMEA o un controllo statistico di processo (SPC) o una MSA (Measurement System Analysis) in un paio di settimane se non si ha l’abitudine all’impiego di tali strumenti. Il rappresentante del cliente sarà sicuramente sufficientemente scafato per accorgersi della messinscena.

Se una determinata prassi non è adottata meglio dichiararlo apertamente e dimostrarsi disponibili ad adeguarsi alle richieste del cliente (dopo aver valutato quanto è importante il cliente e quanto costa adeguarsi).

È bene però evitare troppe promesse che non si potrà mantenere o affermare troppe volte “lo stiamo facendo”: il cliente tornerà per vedere se avete completato quello che stavate facendo!

In questi audit c’è maggiore enfasi sulle Responsabilità della Direzione secondo la ISO 9001 rispetto a quello che normalmente avviene negli audit di certificazione. Lo scostamento di molte imprese fra gli obiettivi e gli indicatori del riesame della direzione e le strategie e gli obiettivi reali della Direzione stessa emergono immediatamente ad un esame attento. I piani di miglioramento simili ad una letterina a Babbo Natale (“Prometto che sarò più bravo”) sono inadeguati: l’auditor del cliente chiederà quali sono gli obiettivi, quali gli indicatori per misurarli, come si pensa di perseguirli, con quali azioni, con quali risorse (persone, mezzi, strumenti, risorse finanziarie), responsabilità, tempi e modalità di monitoraggio dell’avanzamento delle attività pianificate.

In produzione l’identificazione e la rintracciabilità dei prodotti è considerata molto importante, non basta dire che “tutti sanno che prodotto o componente è questo”, occorre identificarlo in modo opportuno.

I controlli in produzione e finali devono essere fatti in tempo reale, l’auditor del cliente estero non concepisce il fatto che le registrazioni si mettono a posto prima che arrivi l’Organismo di Certificazione.

Anche se nessun auditor dirà che il sistema informatico è inadeguato dalle sue richieste si capirà se i fabbisogni informativi sono soddisfatti in modo adeguato dai programmi software utilizzati, soprattutto in ambito produzione, controlli qualità ed analisi dei dati.

Teoricamente l’auditor del cliente dovrebbe esaminare solo la produzione degli articoli realizzati per esso, ma se sono state effettuate solo alcune campionature potrà spaziare su tutta la produzione per capire come siete organizzati, anche se su altri prodotti i relativi clienti non hanno richieste particolari di assicurazione qualità.

Non serve a nulla tradurre in inglese il Manuale Qualità o qualche procedura se il cliente non lo richiede esplicitamente: tali documenti devono rispecchiare l’operatività interna ed essere compresi da tutto il personale dell’azienda che deve conoscere e poter accedere sul posto di lavoro a procedure e, soprattutto, alle istruzioni operative/di lavoro.

Il fatto che le procedure sono in italiano e il cliente non conosce la nostra lingua potrebbe essere un vantaggio perché non può chiederci ragione di regole che eventualmente non sono osservate, però qualcuno dovrebbe essere in grado di spiegargliele.

A fronte di evidenti non conformità, non solo rispetto agli standard del cliente (capitolato, CSR o Quality Agreement), ma anche rispetto alle proprie procedure del sistema qualità, è meglio non cercare di arrampicarsi sugli specchi (“Abbiamo cambiato la procedura da poco”, “l’operatore è nuovo e non era ancora stato addestrato”, “per noi è un aspetto poco importante”, “Il cliente non ce lo ha mai chiesto”, “stiamo modificando il softwae”,….): di tutto ciò che accade di diverso dalle regole stabilite (norme, procedure, specifiche del cliente) i responsabili – a diversi livelli – sarete solamente voi, per non aver saputo prevenire il problema, per non aver addestrato le persone, per non aver completato le azioni pianificate nei tempi previsti, per non aver monitorato i processi e così via.

qualityexcellentAlla fine dell’audit, o comunque nei giorni successivi, il cliente manderà un report con i risultati dell’audit, comprendente eventuali non conformità ed osservazioni o elementi di miglioramento che vorrebbero fossero adeguati. Dopo il rapporto il cliente normalmente chiede un piano di miglioramento o documento analogo nel quale si dovrà indicare le correzioni, le azioni correttive e le azioni preventive che si intende attuare per risolvere le anomalie riscontrate, comprendenti tempi e responsabilità per l’attuazione. Il consiglio è di non proporre piani ed azioni correttive che non sarete in grado di attuare efficacemente nei tempi previsti, perché alle scadenze temporali che indicherete il cliente vi chiederà l’avanzamento del piano e le evidenze dell’attuazione delle azioni correttive (documenti, foto, ecc.). Meglio non barare se ci tenete al cliente perché torneranno a visitarvi e se non troveranno attuato quanto promesso le brutte figure sono garantire e la fiducia del cliente sarà minata.

Infine teniamo presente gli effetti della Brexit: se il cliente è inglese o è un fornitore di un cliente britannico forse con la perdita di potere di acquisto della Sterlina i nostri prodotti saranno meno economici per cui la competitività va mantenuta attraverso la qualità.




Cos’è il metodo 8D?

metodo 8dProbabilmente qualche piccola impresa meccanica del settore automotive ha ricevuto dal proprio cliente una richiesta di predisporre un modulo per il metodo 8D a fronte di una non conformità rilevata dal cliente stesso.

La richiesta è resa necessaria dal sistema di gestione per la qualità ISO/TS 16949 per il settore automotive.

Purtroppo tali aziende che hanno ricevuto la richiesta del “modulo 8D” non sono in grado di sviluppare tale metodologia di problem solving in modo adeguato, sebbene abbiano probabilmente dichiarato al proprio cliente di applicare tutta una serie di metodi e procedure conformi alla norma ISO/TS 16949.

Alla richiesta di chiarimenti al cliente la medesima impresa riceverà probabilmente una modulistica applicata dal cliente per i propri 8D.

L’analisi delle cause radice della non conformità rilevata dal cliente e l’attuazione della relativa azione correttiva con verifica della sua efficacia secondo il metodo 8D, richiede, però, una certa competenza, normalmente non posseduta dal servizio qualità di una piccola azienda meccanica che rifornisce un cliente del settore automotive.

Il metodo 8D è uno strumento di gestione della qualità che permette ad un team inter-funzionale di veicolare idee per determinare in modo scientifico le cause di problemi particolari e fornirne soluzioni efficaci.

Numerose organizzazioni possono trarre beneficio dall’approccio 8D applicato a tutti i settori aziendali. L’8D fornisce delle eccellenti linee guida che permettono di arrivare alla radice di un problema, determinarne l’azione correttiva ed i modi per verificare che la soluzione individuata funzioni davvero. Il metodo 8D non si accontenta dei “sintomi di guarigione” delle tradizionali azioni correttive attuate nei sistemi qualità ISO 9001 (anche se non era proprio questa la filosofia della norma), ma punta alla completa guarigione dalla malattia di cui è affetta la produzione, quindi è improbabile che si ripeta lo stesso problema in futuro.

Il metodo di problem solving 8D è appropriato solo nel caso di problemi con “cause sconosciute”, non è lo strumento più corretto se si tratta di problemi potenziali (da trattare con azioni preventive) o di decisioni da prendere circa problemi già ben definiti.

Il metodo 8D (8-Discipline) si articola in 8 step, appunto, documentati attraverso apposite registrazioni, normalmente denominate “modulo 8D”; ecco perché molte piccole  e medie aziende si chiedono cosa sia il modulo 8D e ne ricercano qualche esempio pratico per compilarlo e trasmetterlo al cliente che lo ha richiesto, probabilmente per ieri.

In realtà se si esaminano attentamente i moduli 8 D si capisce subito che non si tratta di un semplice modulino della qualità da compilare, ma di un processo di analisi del problema riscontrato che deve portare alla soluzione radicale dello stesso.

Le fasi del metodo 8D sono le seguenti:

0. Pianificazione

  1. Individuazione del gruppo di analisi
  2. Definizione e descrizione del problema
  3. Attuazione delle azioni di contenimento
  4. Identificazione e verifica delle cause primarie
  5. Identificazione ed attuazione delle AC permanenti
  6. Attuazione e verifica di efficacia della AC
  7. Prevenzione del ripetersi del problema
  8. Riconoscimento dello sforzo del gruppo di analisi

In realtà le fasi esposte sono 9 in quanto si è compresa l’attività iniziale di pianificazione di tutto il processo.

Tali fasi dovranno essere documentate in un modulo 8D, ad esempio denominato più correttamente “Scheda di problem solving secondo il metodo 8D”.

Veniamo ad analizzare le singole fasi.

 0 – Pianificazione

Occorre per prima cosa stabilire se il problema segnalato richiede o, meglio, merita un metodo 8D, ovvero se la causa è sconosciuta e non si tratta di un problema standard risolubile con correzioni/trattamenti e/o azioni correttive standard.

Se si decide di procedere con il metodo 8D è bene descriverne le motivazioni (ad es. richiesta esplicita del cliente) e predisporre la modulistica di registrazione.

1 – Individuazione del gruppo di analisi: formare il team

Probabilmente la cura e l’enfasi nella composizione del gruppo operativo è la chiave del sistema 8D, è il prerequisito per ottenere successi importanti. Per prima cosa, quindi, formare una squadra (da 4 a 10 membri), scegliere un leader, un sollecitatore ed un segretario. Anche se una grande differenza di background culturale fra le persone offre più possibilità di trovare una soluzione, i partecipanti dovrebbero tutti avere conoscenze approfondite del prodotto e dei processi, disponibilità di tempo e, inoltre, una sufficiente autorevolezza nelle relazioni con le altre persone e abilità nelle discipline tecniche interessate nella soluzione del problema.

2 – Definizione e descrizione del problema

Descrivere il problema è il passo successivo: identificare le radici del problema e capire il perché è sorto. Andrà condotta, in primo luogo, un’analisi molto approfondita in modo da essere ben sicuri di non aver confuso i sintomi con il problema reale. È meglio definire e circoscrivere il problema nei suoi termini quantitativi (chi, che cosa, quando, dove, perché, come, quanti) e usare una terminologia standard che sia condivisa da tutti i membri del team.

Sarà opportuno registrare nell’apposita modulistica il codice del prodotto, eventuale numero di serie, il cliente, l’ordine di produzione, le fasi di lavorazione del ciclo, ecc.. Può essere di ausilio un diagramma di flusso del problema ed un esame attraverso una tabella del tipo “è / non è” melle colonne e – per riga – le classiche domande «chi, che cosa, perché, dove, quando, quanto/quanti, con che frequenza»,

3 – Attuazione delle azioni di contenimento

La priorità ora è quella di isolare il cliente dagli effetti negativi del problema, l’insuccesso deve rimanere all’interno dello stabilimento. Nello stesso tempo bisogna intraprendere misure provvisorie o azioni di tamponamento per evitare che il problema peggiori e si propaghi ad altri prodotti o lotti. Nonostante il fatto che talune misure di prevenzione costino parecchio (ad esempio il controllo di accettazione al 100% prima della spedizione), il cliente va protetto con ogni mezzo fintantoché le azioni correttive permanenti non possono essere implementate e verificate. L’efficacia delle azioni di contenimento deve essere verificata e documentata.

4 – Identificazione e verifica delle cause primarie

Individuare la radice delle cause è fondamentale per poter poi pianificare un’azione correttiva efficace e duratura. In questa fase si cerca di individuare il “perché”, il motivo per cui si è presentato il problema. I membri del team investigano tutte le potenziali cause usando diagrammi di flusso, diagrammi di stratificazione e diagrammi di causa-effetto (fishbone o a “lisca di pesce”). Se il problema è nuovo, può essere utile esaminare tutti gli eventi che hanno interessato il prodotto in esame in ordine cronologico; quest’analisi a volte fornisce degli indizi molto utili.  I partecipanti devono determinare quali cause potenziali sono le più significative.

Una volta identificata la possibile causa radice essa va verificata e validata.

5 – Identificazione dell’azione correttiva (AC) permanente

Va da se che questa è la fase più critica. Devono essere valutate tutte le proposte emerse nel punto precedente; in ogni caso occorre evitare scorciatoie e soluzioni provvisorie. I membri del team devono essere consci che la soluzione scelta sarà, nel futuro, incorporata stabilmente nel prodotto (o nel processo). Diversi approcci sono disponibili per le verifiche, sia nel breve, sia nel lungo periodo. Da un punto di vista ingegneristico, verifiche al progetto e test di omologazione della produzione forniscono molti dati utili. Test addizionali di laboratorio e carte di controllo del processo possono verificare altri parametri del problema che si cerca di risolvere. Qualsiasi metodo scelto per la soluzione del problema va enfatizzato nei termini di “chi” (la persona responsabile), “che cosa” (l’azione da intraprendere, in pratica la soluzione), e “quando” (il tempo stabilito per completare l’azione).

6 – Attuazione e verifica di efficacia della AC

Il team a questo punto passa alla parte realizzativa del piano d’azione: la sua implementazione, nei termini di chi, che cosa e quando. Tutti gli elementi vanno registrati in modo da verificare che le azioni decise s’intraprendano utilizzando la modulistica prevista per le azioni correttive, comprendendo pianificazione temporale, responsabilità, modalità e tempi di verifica dell’efficacia. Vanno registrati anche i cambiamenti della situazione man mano che le azioni correttive entrano in esercizio. A volte possono essere necessarie sessioni di formazione, parziali ri-progettazioni o re-engineering, oppure la scelta di nuovi fornitori. Se si rendessero necessari interventi aggiuntivi devono anch’essi essere sviluppati e documentati.

Al termine occorre comunicare al cliente l’esito dell’azione correttiva e formalizzare la  chiusura della NC.

7 – Prevenzione del ripetersi del problema

Ove necessario, è opportuno sviluppare un diagramma causa/effetto per analizzare e scoprire quale segmenti di processo potrebbero far sì che il problema si ripresenti, magari sotto mutate spoglie. Si riscontra a volte la necessità di un cambiamento dello stile di management, oppure l’implementazione di una procedura diversa per evitare le condizioni che hanno generato il problema. Non va scartata a priori la necessità, ove necessario, di fare sessioni di formazione anche per i responsabili dei livelli superiori. Il suggerimento, potrebbe anche essere quello di insediare un altro team, più specifico e competente, per migliorare localmente il sistema e le motivazioni dei leader.

La standardizzazione dell’azione comprende la revisione di tutta la documentazione coinvolta: procedure del sistema di gestione per la qualità, istruzioni di lavoro, cicli di lavorazione, piani di controllo, FMEA, PPAP, ecc.

8 – Riconoscimento dello sforzo del gruppo di analisi

È importante congratularsi con il team al termine del processo. Innanzi tutto riconoscere pubblicamente il successo gratificherà le persone coinvolte. Qualche idea: preparare un case study, pubblicare una memoria divulgativa, oppure produrre un video con i dettagli del problema e la sua soluzione, una cena ufficiale, un encomio od un premio.