Back

Inutilità della certificazione AS 9100 ai fini della sicurezza dell’aviazione civile

  • Categories News
  • Date Febbraio 1, 2025

L’introduzione del Safety Management System nella normative cogente ai fini del mantenimento e del miglioramento della sicurezza aerea ha messo in luce tutti i limiti dello schema di certificazione 9100, peraltro percepiti dalla stragrande maggioranza delle Aziende del settore.

I suoi limiti nascono da lontano e si sono “appesantiti” proprio con l’evoluzione della normativa cogente e la crescente burocratizzazione del sistema 9100, che ha messo in evidenza come la 9100 sia “staccata dal mondo reale” e cioè lontana dalle esigenze del Cliente che pur dovrebbe tutelare.

La norma nasce, inizialmente come AS 9000, per esigenze di gestione della catena di fornitura da parte di “prime” per lo più americani, nel senso che la norma è figlia dell’ordinamento FAA, mutuato dalla MIL-Q-9858A e dalla MIL-I-45208A del DoD statunitense.

Infatti, per l’FAA, Autorità per la quale non esiste la progettazione come organizzazione autonoma, ma solo come “costola” della produzione, la responsabilità relativa alla sicurezza del mezzo aereo nella sua interezza è solo ed esclusivamente del “manufacturer”.

Pertanto, la catena di fornitura degli “aeromobilisti” come la conosciamo noi in ambiente EASA (con una grossa quantità di organizzazioni approvate POA, in accordo alla Parte 21 Capitolo G, per la produzione di parti ed equipaggiamenti aeronautici che devono essere istallati su aeromobili dotati di un certificato di tipo) negli Stati Uniti non esiste: tutti i fornitori dei “production approval holders” (produttori di aeromobili, motori ed eliche) consegnano parti con un CoC, in quanto l’FAA non certifica i fornitori degli stessi, volendo avere un solo interlocutore: il TCH, che è il Manufacturer (Production Certificate Holder, cioè detentore di un Production Certificate, approvato in accordo alla 14 CFR Part 21 Subpart G (FAR 21)).

I produttori approvati di parti, negli USA, sono solo i produttori di parti “non originali”, approvati in accordo alla 14 CFR Part 21 Subpart K, e cioè hanno un’approvazione come Parts Manufacturer (PMA), non hanno alcun legame con il TCH e possono produrre parti nuove da istallare su a/m certificati (parti di ricambio) con la sola approvazione dell’Autorità.

Pertanto, con l’espansione globale della catena di fornitura, iniziata sicuramente dalle Aziende statunitensi, anche per motivi geo-politici, è stato giocoforza per i “prime” pensare ad uno standard, ad un “corpus normativo”, che “garantisse” loro la conformità delle parti prodotte dai fornitori (da istallare sui loro aeromobili certificati e/o da certificare).

Così nasce lo schema AS 9100, la cui prima edizione AS 9100A, come detto, era figlia della AS 9000, che aveva rimpiazzato a sua volta la MIL-Q-9858A e la MIL-I-45208A, standard emessi dal DoD statunitense.

Tale schema è stato progressivamente “irrobustito” da concetti nuovi (Industry Controlled Other Party) e arricchito da altre norme volte ora a tutelare la qualifica degli auditor, ora a tutelare lo schema da eventuali conflitti di interessi degli auditor (la trilogia della 9104) più tutta una serie di altri standard sempre della serie 9100, tra i più svariati e, comunque, tutti volti a garantire una catena di fornitura robusta per i Prime.

Quale doveva essere il vantaggio di tale schema? Quello di semplificare la sorveglianza dei fornitori da parte dei Clienti, quello di “alleggerire” i fornitori dalle verifiche di sorveglianza (audit dei Clienti, si pensi ad un fornitore con diversi Clienti ognuno dei quali ha dei propri requisiti) cercando però di garantire sia la qualità delle parti fornite (conformity) sia la puntualità delle consegne.

Il cattivo funzionamento della 9100 ha portato, nel 2016, all’emissione della AS 9100D, nella quale l’attenzione viene focalizzata sui processi dell’organizzazione di fornitura più che sulle singole forniture: l’ipotesi alla base di questo “shift” risiede nel fatto che un processo robusto di produzione dovrebbe garantire maggiormente il Cliente relativamente ai suoi requisiti per consegne che siano “On quality” e “On time”.

Nonostante l’armamentario normativo creato, però, la catena di fornitura continua a presentare problemi che si scaricano sui Clienti sia relativamente alla conformità delle parti prodotte sia relativamente alla puntualità delle consegne.

A questo punto, però, occorre innanzitutto discernere tra i due requisiti principe per la catena di fornitura, in relazione al livello di controllo che è possibile esercitare da parte del fornitore stesso sui propri manufatti.

Pare abbastanza chiaro, infatti, che il requisito relativo alla puntualità delle consegne è solo in parte sotto il controllo diretto del fornitore, in quanto l’approvvigionamento dei materiali, a livello globale, può subire variazioni legate alla disponibilità, ai prezzi, all’accessibilità, ai processi di ottenimento delle materie prime, a situazioni contingenti (ad es. conflitti in corso). Queste variazioni non hanno però impatto diretto sulla conformità delle parti (non per niente, la normativa cogente che si occupa solo della sicurezza, non ha mai preso in considerazione requisiti relativi alla puntualità delle forniture).

Diverso è invece il requisito relativo alla qualità della fornitura, giacché questa dipende solo ed esclusivamente dalla capacità del fornitore di produrre parti conformi. Possiamo senz’altro dire che il requisito sulla qualità (conformità) è quello fondamentale che caratterizza la produzione di parti aeronautiche relativamente alla loro sicurezza e, quindi, relativamente alla sicurezza del trasporto aereo, ed è proprio per questo motivo che l’Autorità preme su questo tasto.

L’introduzione dei principi del Safety Management System anche nel dominio dell’aeronavigabilità iniziale segna definitivamente il tramonto dell’utilità dello schema 9100 nel settore dell’aerospazio, per quanto riguarda la sicurezza aeronautica, evidenziando come sia necessario, invece, fare un “flow-down” dei requisiti del Cliente, responsabile della certificazione finale delle parti, replicando sostanzialmente, per quanto applicabile alla tipologia di fornitura, lo schema della normativa cogente in tutta la catena di fornitura, come è giusto che sia, giacché la conformità, condizione necessaria per la sicurezza, la si ottiene mediante un controllo dei processi produttivi che è figlio di oltre un secolo di esperienza nella storia dell’aviazione.

Di seguito esporremo alcune delle contraddizioni irrisolte presenti nel sistema 9100 che producono solo inefficienze del sistema rappresentando, allo stesso tempo, un costo che non si traduce in un investimento in sicurezza.

  1. L’approccio per processi

L’AS 9100D prevede che l’organizzazione individui i suoi processi per l’erogazione di prodotti e servizi, magari distinguendoli in “core” e “support”, ai fini del raggiungimento degli obiettivi aziendali (innanzitutto “soddisfazione del Cliente”: “la capacità di fornire con regolarità prodotti e servizi che soddisfino i requisiti del cliente … ”). Sembrerebbe quindi ragionevole cercare di capire se i processi che abbiamo in piedi soddisfino tali aspettative e, a tale scopo, è stato ideato un sistema di valutazione di efficacia dei processi (PEAR), sistema anche abbastanza “bizantino” che, però nella pratica, non serve a nulla, perché in tutti gli audit la valutazione dei processi è scollegata dalle reali performance dell’organizzazione verso i propri clienti: tanto per capire, potremmo avere un processo che pur funzionando secondo le attese, poste dall’organizzazione, non soddisfa minimamente le attese del Cliente. Ma allora? Non solo. Durante un audit per la certificazione 9100 vengono valutati i processi, poi però le non rispondenze vengono elevate rispetto ai punti norma. Quando vengono rilevate, perché spesso non sono rilevate: un esempio eclatante sono i punti norma 8.1.1 e 8.1.3, che intercettano sostanzialmente i principi dell’SMS (gli auditor non lo sanno?) ma non ho mai visto una non rispondenza riferita a questi punti.

2. I piani di qualità

Il requisito di certificazione 9100 è un  requisito Cliente, indubbiamente.

D’altro canto, ogni Cliente richiede, in corrispondenza a programmi, prodotti e servizi da dare in subfornitura, un Piano di Qualità che deve essere approvato al fornitore e nel quale viene descritto come sono soddisfatti tutti i requisiti Cliente che lo stesso ritiene applicabili al programma, prodotto, servizio assegnato al subfornitore. Ma che senso ha? O la 9100 garantisce che i requisiti Cliente siano incorporati nelle attività del fornitore o, se non lo garantisce (e non lo garantisce) perché chiedergli anche la certificazione 9100? E la cosa è abbastanza bizzarra, perché nella stragrande maggioranza dei casi i Piani di Qualità sono un “copia e incolla” del Manuale generalmente elaborato per la 9100. Si dirà che i requisiti Cliente sono più specifici di quanto previsto dalla 9100: d’accordissimo, lo sono molto di più, ma allora la 9100 a che serve?

3. Incomunicabilità tra l’applicazione della 9100 e la normativa cogente

La 9100 prevede che i requisiti del sistema di gestione della qualità del Cliente vengano incorporati nel sistema di gestione della qualità dell’organizzazione, oltre a quelli cogenti, ma è difficile immaginare che questo si possa realizzare se la catena di fornitura non conosce i requisiti applicabili al Cliente. La verifica di tali requisiti, si dirà, è in capo agli organismi di certificazione che rilasciano i certificati: ma gli Organismi di certificazione, e gli auditor di cui si avvalgono, li conoscono i requisiti del Sistema di Gestione della Qualità del Cliente? Non sembrerebbe perché non viene fatta nessuna verifica al riguardo, specie sulle competenza del personale nelle varie funzioni: come viene qualificato il personale in relazione alle diverse funzioni (incoming, preparazione dei cicli di lavoro, controlli in produzione, delibera delle parti, etc.)? La normativa cogente pone in capo ai Clienti, approvati come organizzazioni di produzione (POA), la responsabilità della certificazione di aeronavigabilità per parti nuove: questa certificazione deve passare attraverso un processo produttivo caratterizzato da procedure stringenti che vanno dalla qualifica dei fornitori, della cui conformità delle parti fornite sono comunque responsabili le POA, alla tracciabilità fino all’origine di ogni componente/materiale, alla redazione di cicli di lavoro che consentano, a partire dai dati approvati, di produrre parti conformi: cosa di questo viene verificato durante un audit 9100? Praticamente nulla.

4. Gestione delle Non conformità

Questo è senz’altro uno dei punti più dolenti. In linea teorica ogni NC ricevuta dal Cliente, tipicamente quelle di prodotto, andrebbe investigata per determinarne la/e causa/e radice e rimuoverla/e. Ma non solo, occorrerebbe anche valutare se le causa/e della NC non possano essere causa/e di altre NC: spesso, all’interno delle organizzazioni, non si sa nemmeno come condurre una “root cause analysis”, non dico un 8D ma nemmeno un “Ishikawa” o un “5 perché” e non lo si fa perché tanto non se ne vede l’utilità. Inoltre, nell’analisi delle NC andrebbe tenuto conto dei fattori umani: ma come si fa a tener conto dei fattori umani se, nella stragrande maggioranza dei casi, le organizzazioni della catena di fornitura non hanno mai fatto un corso sui fattori umani? Non sembra che questo aspetto sia minimamente verificato dagli organismi di certificazione.

5. Miglioramento continuo

Alla gestione delle NC è strettamente legato anche il concetto di miglioramento cui è dedicato un intero capitolo della 9100, il 10. Se avesse un senso pratico, e non fossero solo vuote parole, con tutti gli audit condotti finora sulle organizzazioni 9100 ci si dovrebbe aspettare che le performance dei fornitori siano migliorate clamorosamente da quando è stata introdotta nel 2016 (AS 9100D): questo non è successo e non succede, ma allora a che serve la 9100 se poi i Clienti continuano ad avere problemi coi fornitori?

6. La consapevolezza nelle organizzazioni della catena di fornitura

Questo è un altro dei problemi enormi che abbiamo nella catena di fornitura. Nella stragrande maggioranza dei casi i fornitori sono produttori di parti che poi vengono inserite in assiemi superiori. Quello che è assolutamente ignorato è che queste parti sono “parti aeronautiche” e non sono parti di biciclette o di lavatrici, sono cioè parti che devono funzionare correttamente in volo (devono essere “conformi” ai dati di progetto approvati) e la loro eventuale non conformità può costituire un pericolo per la sicurezza del volo, non direttamente magari, ma possono combinarsi con altri elementi presenti nel sistema fino a poter determinare un inconveniente o un incidente.

Questa consapevolezza, peraltro richiamata ineludibilmente dal punto 7.3 della 9100, è assolutamente mancante, perché nelle organizzazioni di fornitura, nella stragrande maggioranza dei casi, non viene fatta formazione, non viene spiegato agli operatori il senso di ciò che fanno e lo scopo di ciò che fanno: e gli Organismi di certificazione rilasciano certificati, dando patenti rispetto a non è chiaro cosa, mandando in giro auditor che per primi non vengono adeguatamente formati dagli organismi stessi sugli aspetti cruciali dell’aeronavigabilità.

Insomma, dopo questa sintetica disamina, la sensazione generalizzata è che la 9100 non serva a nulla e sia soltanto un pezzo di carta senza alcun valore pratico. Questa certificazione ha però un costo non trascurabile per le organizzazioni della catena di fornitura dell’Aerospazio: un costo senza valore aggiunto per il sistema ed in particolare per i Clienti, i quali lo pongono come requisito confidando in una qualche utilità che materialmente non si realizza.

I motivi per cui lo schema ICOP, nonostante una strutturazione burocratica elefantiaca, non funziona sono molti:

  • innanzitutto, c’è un conflitto d’interessi all’origine: ma come si può pensare che un fornitore (l’organismo di certificazione) faccia un audit efficace ad un proprio Cliente (l’organizzazione certificata 9100), con lo spirito con il quale dovrebbe essere condotto un audit e cioè volto ad identificare in maniera efficace le carenze dell’organizzazione al fine di consentire all’organizzazione stessa di sanarle e, quindi, di crescere? Non per niente uno dei temi più caldi e sui quali si ripone maggiore attenzione è il “downgrading” delle non conformità così come sull’attenzione “spasmodica” di avere un sistema che fornisca garanzie, senza rendersi conto che manca la garanzia iniziale, quella dell’assenza di conflitto di interessi tra auditor (ingaggiato dall’Organismo di certificazione che non vuole perdere il Cliente) ed auditato: è un problema noto ma si fa finta di niente;
  • la preparazione degli auditor è puramente incentrata sulla conoscenza della norma 9100 e sull’esecuzione di un certo numero di audit: nessun requisito sulla conoscenza della normativa aeronautica cogente, nessuna conoscenza dei fattori umani, nessuna conoscenza delle implicazioni pratiche nelle organizzazioni POA del mancato soddisfacimento dei loro requisiti, nessuna conoscenza, oggi, dei processi chiave dell’SMS e del loro impatto sulle organizzazioni 9100; 
  • il settore aerospaziale è un settore di nicchia nell’industria, lo è sempre stato, ma è anche un settore di prestigio e, quindi, gli Organismi di certificazione non possono non dotarsi anche di una “Line of business” aeronautica: comprensibile. Quello che invece non è comprensibile ed anzi è inaccettabile è che tale linea di business, venga valutata solo in relazione al “business” a differenza delle Aziende (Clienti) dell’aerospazio che devono costantemente tener conto delle esigenze di business e di quelle della sicurezza: in altre parole, gli organismi di certificazione sono intrinsecamente “estranei” alla cultura aeronautica e questo non aiuta il sistema.

L’introduzione dei principi dell’SMS nella normativa cogente per le organizzazioni approvate sicuramente inciderà in maniera significativa anche sulla catena di fornitura, producendo un significativo miglioramento nella catena del valore della filiera aeronautica, ma sarà soltanto una conseguenza dei regolamenti sull’SMS e non certo di un sistema, quello delle 9100, che non funziona correttamente.

In ogni caso, rimane per le organizzazioni approvate POA, il requisito cogente relativo alla qualifica e controllo dei fornitori, pertanto sembrerebbe che si debba continuare ad utilizzare uno schema (ICOP) non in grado di assicurare il soddisfacimento dei requisiti dei Clienti dell’Aerospazio.

Non per niente da anni esiste il NADCAP per i processi speciali, proprio per l’insufficienza della 9100. Non per niente, recentemente, è stata emessa la AS 13100, sviluppata appositamente dall’Aerospace Engine Supplier Quality, che deve essere soddisfatta dalla catena di fornitura dei produttori di motori, che sono già 9100, proprio perché la AS 9100 non fornisce garanzie sufficienti ai “motoristi” (tra l’altro vi è l’obbligo della formazione sui Fattori Umani con un apposito Reference Manual (RM 13010) che impone un Syllabus mutuato dalla normativa cogente e con principi di SMS). Non per niente, l’AIA, l’ASD, AIA Canada e l’AIA Brasile (oltre alla GAMA) hanno emesso un documento, l’IIS SM 0001 per spiegare alle organizzazioni della catena di fornitura i nuovi concetti pur già ricompresi in grossa parte nella 9100.

Come uscirne?

In realtà la normativa cogente offre già un metodo accettabile di rispondenza (AMC1 21.A.139(d)(2)(ii), ex AMC No 1 21.A.139(b)(1)(ii)), e cioè consente alle organizzazioni di dotarsi di un fornitore di attività di auditing (Other Party) per il controllo della Supply Chain.

Una tale soluzione elimina i tre motivi principali per cui lo schema ICOP non funziona:

  • rompe il conflitto d’interessi, in quanto l’organizzazione di auditing (A) e l’organizzazione auditata (il fornitore di parti, F) avrebbero lo stesso Cliente e, pertanto, semplificherebbe le verifiche in quanto A condurrebbe gli audit su F avendo come “criteri di audit” i requisiti Cliente (che deve poi dimostrare la rispondenza alla norma cogente) e dovrebbe condurre audit efficaci in relazione al soddisfacimento dei requisiti posti dal suo Cliente ad un altro fornitore (F) del suo Cliente;
  • gli auditor di A sarebbero costretti a formarsi anche su temi che, nella maggior parte dei casi, gli auditor 9100 attualmente ignorano;
  • A avrebbe come obiettivo quello di conciliare la possibilità di fare business per sé con la necessità di “fare sicurezza” per il suo Cliente, che dovrà poi rispondere all’Autorità di certificazione.
  • F sarebbe “stimolato” ad un maggior soddisfacimento dei requisiti del Cliente e al miglioramento continuo indotto dall’attività di auditing di A, che non è un suo fornitore ma un fornitore del suo stesso Cliente, del quale verificherebbe puntualmente i requisiti.

Conclusioni

La presa di coscienza da parte del sistema 9100 della necessità di una sua profonda rivisitazione e, ancor più, la consapevolezza da parte dei Clienti della debolezza del sistema stesso, dovrebbe generare approcci efficaci per il miglioramento della sicurezza del settore, sia da parte della catena di fornitura sia da parte dei Clienti:

  • la catena di fornitura, almeno gli elementi più sensibili alla “continuità del business” nel settore aeronautico, quelli che vogliono continuare a starci, dovrebbe cominciare a darsi un’organizzazione che rifletta le organizzazioni POA dei Clienti, e a fare corsi di formazione per il proprio personale, innanzitutto volti all’aumento della consapevolezza all’interno della propria organizzazione e, poi, alla comprensione dei principi del Safety Management System e dei Fattori Umani in produzione;
  • i Clienti dovrebbero invece “sganciarsi” o, almeno, disimpegnarsi parzialmente, almeno per i fornitori di maggior rilevanza ai fini della sicurezza, da una normativa, ed un sistema, che ormai è diventata un feticcio e impone inutili costi alla loro catena di fornitura senza che ne traggano alcun vantaggio: i soldi spesi dai fornitori per la certificazione 9100 potrebbero tranquillamente essere spesi per pagare Aziende di auditor, qualificate dal Cliente, che sarebbe in grado di condurre audit più mirati e più efficaci ai fini della crescita dell’organizzazione stessa nel settore aeronautico.

Si obietterà che ciascun fornitore con più clienti aeronautici, in un tale sistema quadro, dovrebbe essere soggetto a più audit da parte di diversi Clienti che possono avere requisiti diversi. Questa affermazione è, “in nuce”, sostanzialmente sbagliata, in quanto i requisiti relativi all’ottenimento di parti conformi, cioè sicure, per i PCH americani e le POA europee sono gli stessi (EASA e FAA per via della identità “pratica” dell’FAA §21.137 (Quality System) e dell’EASA 21.A.139(d)(2) ((“quality management element” of the Production management System), ex 21.A.139(b)(1) (Quality System)) ed i requisiti per la produzione di prodotti, parti ed equipaggiamenti non istallati in uso nel mondo sono o quello FAA o quello EASA (il Canada ha un ordinamento formalmente diverso ma sostanzialmente equivalente): pertanto non ci sono e non potrebbero esserci requisiti dei Clienti in produzione per parti da istallare su aeromobili certificati diversi da Cliente a Cliente, ed eventuali differenze non afferenti la conformità possono essere fatte recepire dai fornitori mediante Piani di Qualità (che comunque già vengono fatti e che adesso dovrebbero chiamarsi, più propriamente, Piani di Sicurezza).

L’idea di fondo è che un miglioramento della sicurezza della catena di fornitura aeronautica in produzione, e cioè nel sottodominio dell’aeronavigabilità iniziale, è precondizione per un miglioramento della sicurezza del volo, obiettivo imprescindibile per i “prime”/Clienti dopo il recepimento dei principi dell’SMS, e questo lo si può ottenere soltanto strutturando le organizzazioni della catena di fornitura con l’obiettivo di  soddisfare pienamente i requisiti cogenti per la sicurezza del trasporto aereo, che sono poi gli stessi che hanno i loro Clienti

ABOUT INSTRUCTOR

Enrico Deodati
Enrico Deodati

Salve, sono Enrico Deodati e sono un ingegnere aeronautico con oltre trenta anni di esperienza nel settore dell’aviazione, prima nell’Ente Nazionale Aviazione Civile e poi con aziende private di primaria importanza.

You may also like

Inattualità del CIT secondo Regolamento tecnico dell’ENAC per i manutentori di componenti aeronautici.
14 Gennaio, 2024

Nell’esperienza di consulenza presso aziende aeronautiche di manutenzione su componenti ho avuto modo di rilevare l’inattualità, potremmo parlare di “obsolescenza normativa”,  delle regole relative al rilascio dei CIT per personale che riammette in servizio, con emissione di EASA Form 1, …

Auguri di Buone Feste
17 Dicembre, 2023

Si sta chiudendo il 2023 e approfitto dell’anniversario del primo volo dei Fratelli Wright, spesso richiamato anche nei corsi, per tirare le somme di quest’anno. Daidalos Aviation Safety chiude con un bilancio straordinario l’anno appena trascorso: sono stati erogati corsi …

SMS in produzione e progettazione
12 Marzo, 2023

L’entrata in vigore del Regolamento 2022/201 chiede di istituire un Production Management System e un Design Management System nelle organizzazioni di produzione e in quelle di progettazione, rispettivamente, approvate in ambito EASA. Daidalos Aviation Safety ha emesso l’Edizione 2, Marzo …

@ 2021 Daidalos Aviations Safety | Powered by ORA Comunica