Pubblicato in: cultura della sicurezza, incidenti, miti della sicurezza

Affidabile ma non sicuro

AereodicartaIl tragico incidente aereo del Boeing 737 Max 8 della Ethiopian Airlines mette in discussione l’affidabilità del sistema e la sicurezza dei voli aerei.

Le cause dell’incidente non sono ancora note, ma trovo molto interessante discussione che ne è emersa perché, a mio avviso, si continua a ragionare secondo un paradigma che andrebbe superato.

Partiamo dalla distinzione tra «affidabilità» e «sicurezza».
Già, perché, nonostante in continuazione (anche su questo incidente) si tenda a considerare sicuri i sistemi affidabili, questo assioma non è vero.

Un sistema può essere affidabile ma non sicuro o sicuro ma non affidabile.

In generale, l’uno non implica l’altro.

È un argomento che ho anche accennato nel mio libro, ma qui vorrei meglio esplicitare alcuni concetti.

L’aereo precipitato era dotato di un sensore chiamato “Angle of attack” (“Angolo di attacco”, cioè l’angolo tra l’ala e la direzione relativa del vento) che invia ad un software input che permettono al sistema di correggere automaticamente il profilo del volo.

Se, semplicemente per ipotesi, venisse confermata la tesi secondo la quale il software avesse interpretato le indicazioni del sensore come una condizione di stallo (per un possibile errore nella scrittura del software), laddove il sensore non fosse stato guasto, il sistema avrebbe fatto proprio ciò per cui era stato progettato.
Se, per errore, dici ad un software di fare una certa cosa e quello poi la fa, non puoi prendertela con il software. Anche se quello che fa è indesiderato.
In poche parole, il sistema era affidabile, ma non sicuro.

Prendi adesso Chesley “Sully” Sullenberger, il celeberrimo pilota del Volo 1549 che salvò la vita dei passeggeri e dell’equipaggio facendo ammarare il suo aereo sul fiume Hudson a causa della perdita di un motore avvenuta, dubito dopo il decollo, a seguito dello scontro con uno stormo di oche.
Lì per lì, la commissione che indagava sull’accaduto voleva fargli il culo perché le procedure prevedevano che dovesse tornare all’aeroporto e non prendere la decisione, più rischiosa, di atterrare sull’acqua.
Solo dopo si dimostrò che, se avesse seguito le procedure, l’aereo sarebbe precipitato prima del rientro e che “affiumare” fu la decisione corretta.
Il comportamento del pilota fu, dunque, sicuro ma inaffidabile (non avendo seguito le procedure).

La questione non è solo che «sicurezza» e «affidabilità» sono due cose diverse, ma anche che agiscono a livelli diversi.

L’affidabilità è una proprietà del componente. Una valvola è affidabile e la sua affidabilità, intesa come il tempo medio che intercorre prima del fallimento, può essere testata in condizioni standard.

Nei sistemi complessi, invece, la sicurezza è una proprietà emergente del sistema (cioè qualcosa che non deriva dalle proprietà note dei componenti del sistema). Il singolo componente può anche non essere affidabile e, perfino, non sicuro, ma il comportamento complessivo del sistema può essere sicuro (è il caso dei sistemi fail safe progettato in modo che un malfunzionamento termini sempre in uno stato sicuro).

Nei sistemi complessi l’incidente non è generato solo da malfunzionamenti dei singoli componenti: tutto potrebbe funzionare correttamente, ma le interazioni tra i componenti potrebbero generare un incidente.

L’analisi degli incidenti si è sempre concentrata sui malfunzionamenti (sulle cause), ma le interazioni divengono sempre più rilevanti man mano che i sistemi si fanno complessi.
Più il sistema è complesso, più il malfunzionamento di un componente pressoché irrilevante potrebbe avere effetti catastrofici nella sua interazione con altre componenti.

E non è semplice prevedere tutti i possibili modi di interazione tra le componenti (es. Albero dei guasti) e gli effetti di tali interazioni perché ciò che può essere previsto, può essere progettato e la complessità non può essere progettata.
Ciò implicherebbe la sua concentrazione nella testa del progettista e, in questo caso, il sistema non sarebbe complesso ma semplicemente complicato.

Quando parlo di interazioni tra componenti, non mi riferisco solo a quelle tecnologiche. Il tutto è inserito all’interno di un sistema socio-tecnico più complesso del sistema aereo, che vede coinvolte:

  • Vincoli economici: scelte derivanti dagli obiettivi di profitto delle compagnie aeree che devono risparmiare carburante e uno dei vantaggi del Boeing 737 Max 8 era proprio quello;
  • Prestazioni umane: ogni modifica richiede l’aggiornamento della formazione del personale che con la modifica dovrà convivere (es. i piloti che devono sapere come bypassare il sistema di correzione automatica del profilo di volo). Ma questo significa aggiungere o modificare procedure consolidate, essere certi che le modifiche siano state recepite;
  • Requisiti di progettazione: difficilmente chi progetta un aereo sa scrivere un software e pilotare il velivolo. Così l’uno dà le specifiche all’altro. E il problema è spesso la completezza delle specifiche, non la correttezza del software;
  • componenti politiche: modifiche alle regole che gestiscono l’aviazione civile e che comportano continui aggiustamenti organizzativi e tecnologici che devono convivere con le esigenze di sicurezza, del mercato.

In tutto questo l’aereo deve anche volare.

Nei sistemi complessi, gli incidenti non possono essere descritti con una “catena di eventi”, ma sono generati dalle interazioni tra tutte le componenti socio-tecniche e dalla loro naturale tendenza a spostarsi verso stati di rischio più elevato per esplorare nuovi modi per ottimizzare le proprie prestazioni.

Il paradigma che cerca la spiegazione degli incidenti nelle cause deve essere superato e, con esso, i suoi proclami, come per esempio: «L’80% degli incidenti è causato dal fattore umano».

Bisogna andare oltre le cause e guardare ai meccanismi, smettendo di limitarsi ad osservare gli errori operativi o umani per concentrarsi, piuttosto, sui cambiamenti e le migrazioni del sistema verso stati di rischio maggiore.


V.I.P.S. (Very Important Post Scriptum)
È la prima volta che leggi questo blog?
Allora è probabile che ci ritornerai. Senti a me: ti conviene ricevere delle notifiche quando scriverò nuovi post.
Guarda in alto a destra, c’è la mia foto. Indipendentemente dal tuo sesso, resisti alla tentazione carnale e  guarda sotto, dove dice «Segui ottantunozerotto.it».
Se invece non era la prima volta che leggevi questo blog, allora lo vedi che c’avevo ragione? Fai come ti dico, senti a me…

 

 

6 pensieri riguardo “Affidabile ma non sicuro

  1. Grazie dei tuoi articoli Andrea.
    La tendenza a scaricare le colpe sui piloti (errori comportamentali) è titpica anche dei luoghi di lavoro (la colpa è di chi muore….il morto allo stato dell’arte, ecc…).
    Ho un mezzo amico pilota di linea in pensione da un pò di anni. Mi dice che i piloti ricevono un sacco di aggiornamenti comportamentali, che spesso lasciano molte perplessità.

    Piace a 1 persona

    1. Sono ing. aeronautico e faccio con una certa frequenza perizie su incidenti aerei e confermo anche la da sempre persistente tendenza indicata dal blogger Renato a dare le colpe ai piloti perché serve quasi ovunque a salvare il fondoschiena ai vivi ed il businness ai vivi (manutentori, gestori di compagnie aere ed aeroporti, aeroclub, costruttori di velivoli e, non ultimi, gli ispettori dei vari enti che dovrebbero controllare ma non controllano e non sanno controllare bene e persino gli operai di fabbriche che altrimenti dovrebbero fallire e chiudere); ciò accade perché condannare i vivi non farà resuscitare nessuno ed alle famiglie dei morti ci penseranno le assicurazioni mentre i piloti morti non potranno resuscitare per dire che cosa é realmente successo. Ciò non ostante accade molto spesso che i piloti di aeroclub si sentano tutti degli esperti docenti di aeronautica generale, dinamica del volo e pilotaggio mentre scrivono e dicono cose molto imprecise, molto discutibili e da bar, dove chiunque ha giocato a calcio nella squadra della parrocchia é abile per fare il CT della nazionale di calcio.

      "Mi piace"

  2. Gent.mo Collega,
    apprezzo sempre moltissimo tutto ciò che scrive ma questa volta devo dissentire sia nei dettagli che nell’insieme da quanto scritto sull’incidente aereo.
    Premetto, come già scritto al blogger Renato, che sono ing. aeronautico e faccio con una certa frequenza perizie su incidenti aerei e parlo con un po’ di cognizione dei vari aspetti anche come progettista e come scrittura ed analisi del software.
    Pur condividendo che affidabilità e sicurezza non sono la stessa cosa (ovvio dato che sono due distinti vocaboli), tuttavia la affidabilità é certamente un componente della sicurezza del sistema.
    Fail Safe… e dove mettiamo il criterio Safe Life ed il criterio Damage Tolerance? Dove mettiamo l’availability A di un componente e del sistema rispetto alla reliability R di un componente e del sistema? E così via con domande su ridondanza, diversità, e su acronimi quali MTBF, RAMS, FMEA, FMECA, OEE, KPI, e su tutte le varie norme ISO sulla qualità al cui cospetto la ISO 9001 è una pura formalità cartacea per bambini.
    Nell’articolo sono state citati molti termini e concetti che sono stati mescolati un po’ come le verdure in un minestrone dando ai lettori che nulla sanno di aeronautica l’idea che i vari aspetti citati siano normalmente trattati da dilettanti alquanto ingenui anziché da professionisti mediamente esageratamente preparati rispetto alla preparazione mediamente fornita in qualsiasi altro corso di laurea (guardare le statistiche dei vari corsi e guardare la qualifica, per esempio, della stragrande maggioranza dei progettisti di F1, fatta eccezione per il superlativo Ing. meccanico Luca Marmorini, ex Ferrari F1 ed ex Toyota F1, che, a tempo perso, si leggeva d’un fiato i libri di noi aeronautici e ci capiva più di tutti noi aeronautici messi assieme).
    Quasi tutti gli ingegneri aeronautici sanno programmare in qualche linguaggio software a partire dai vecchi ma validi Fortran e Basic sino al C ed al Python ed a molti altri linguaggi più moderni: la maggior parte di noi laureati in ingegneria aeronautica hanno scritto complessi programmi di calcolo (e persino di output a video) sia per specifici esami che per la tesi che per gestire acquisizione dati. Ciò non significa che chi progetta una parte del motore vada a pontificare su ciò che fa il suo collega di un’altra azienda che ha scritto il sw di controllo di un aspetto della dinamica del velivolo, così come un pediatra di Roma non va a pontificare su quanto fa l’anestesista di un ospedale di Milano pur essendo entrambi medici chirurghi.
    Le procedure esistenti per ogni cosa, le abilitazioni ad operare, gli obblighi di aggiornamento sono a livelli assai più elevati di qualsiasi altro settore (persino del nucleare); ciò non può escludere né una serie fortuita di errori e/o guasti concatenati né la scoperta di qualche altro fenomeno o tipo di errore e/o guasto prima ignoto.
    Sicuramente qualcosa di non corretto è accaduto nei due incidenti dei due Boeing; le analisi e perizie determineranno da cosa dipendono i due incidenti di volo, ma nessuno che lavori in aeronautica può rispecchiarsi nella sensazione di ingenua e beata ignoranza di interazione di una cosa col tutto e di confusione fra affidabilità e sicurezza che l’articolo suggerisce implicitamente al lettore non esperto di aeronautica.
    Tutto ciò premesso, ribadisco che leggere OTTANTUNOZEROTTO.IT è sempre un piacere ed è sempre fonte di apprendimento.
    Cordialmente
    Sauro Baietta

    Piace a 2 people

    1. Mi dispiace se le ho dato l’impressione di sottovalutare le competenze e la professionalità dei colleghi che, per un ruolo o per l’altro, partecipano a rendere sicuri i nostri voli.
      Pur rileggendo il post dopo la sua osservazione, non ho ben capito dove sarebbe nato questo fraintendimento (per scrivere delle scuse, se non altro).
      Tanto per essere chiari, il post non intende giudicare o criticare nessuno (progettisti, piloti, compagnie, ingegneri…. Nessuno). La mia attitudine alla gestione del rischio è ben lontana dalla “blame culture” e sono consapevole e concordo con lei che il settore aeronautico sia uno dei migliori modelli oggi esistenti (pensi che faccio salire mio figlio sugli aerei… Mentre non lo porterei con me in scooter per tutto l’oro del mondo).

      Terminata la mia difesa d’ufficio, Lei dice: «la affidabilità é certamente un componente della sicurezza del sistema» e io le rispondo: «l’affidabilità è una componente che sostiene la sicurezza ma non è una componente sufficiente o necessaria per un sistema sicuro».
      Banalmente l’affidabilità (questo era il concetto che intendevo trasmettere) è quanto di meglio e spendibile abbiamo. Come scrivevo, al contrario della sicurezza, l’affidabilità dei singoli componenti è misurabile (le cose diventano più difficili quando si vuole misurare l’affidabilità dell’intero sistema, se complesso) e ciò che si fa (parlo di approccio mentale, non mi riferisco a nulla in particolare) è usare la misura dell’affidabilità come misura della sicurezza.
      Non è un caso che la ISO 31010 tra le tecniche di valutazione del rischio, citi la FMEA, la Reliability centred maintenance, Fault Trees, HACCP e altre tecniche che, in realtà, sono tecniche per la valutazione dell’affidabilità.

      All’inizio del post ho parlato di paradigma da superare: l’affidabilità si misura su guasti, rotture, fallimenti e, finora, anche la sicurezza l’abbiamo misurata così (si contano i near miss, gli incidenti, gli infortuni).
      Io ritengo si debba guardare oltre.

      Al di là delle incomprensioni, la ringrazio (sinceramente) per il suo interessante, cordiale, professionale, argomentato commento.

      "Mi piace"

    2. Gentile collega,
      trovo sempre singolare che per avvalorare le proprie tesi si ricorra a sciolinare l’intero curriculum vitae, corredandolo da sigle altisonanti. In una discussione quello che deve prevalere e’ la qualita’ dei concetti, a prescindere da chi li esprime. Pur lavorando anche io da molti anni nel settore, non condivido la sua interpretazione dell’articolo di Andrea, che propone una disamina piu’ filosofica della problematica. Nonostante sia anch’io uno strenuo sostenitore dei processi che governano il mondo dell’aviazione e non metterei mai in dubbio la qualitá del lavoro degli ingegneri del settore (perche’ significherebbe dubitare del mio stesso operato), questi non devono essere presi come dei dogmi.

      "Mi piace"

      1. Guarda che mi tocca fare…
        Marco secondo me sei troppo severo con l’Ing. Baietta. È vero quanto dici circa la prevalenza della qualità dei concetti rispetto alla loro paternità ma non mi pare che l’Ing. Baietta si sia posto nella discussione con «Lei non sa chi sono io» o, detta alla Marchese del Grillo, «Io sono io, e voi non siete un cazzo».
        E ci sta anche un fraintendimento rispetto a quello che ho scritto, ci mancherebbe. Nonostante i miei post siano lunghi rispetto ai normali criteri dei blog, rimangono troppo brevi per esprimere concetti complicati e poi ci sono i miei limiti di espressione.
        Comunque hai colto in effetti il punto: il mio voleva essere un intervento di natura filosofica, non tecnica e sono consapevole e colpevole di aver ultrasemplificato la complessità del reale funzionamento della sicurezza aerea per i miei scopi “didattici”.
        Per chi lavora in quel campo (io non ci lavoro) una cosa del genere può dare fastidio e lo comprendo, ma invoco su questo la pazienza e clemenza dell’Ing. Baietta.
        Dopo il suo intervento, ho ritenuto importante verificare se effettivamente le mie parole fossero offensive della categoria e, sinceramente, per quella che è la mia sensibilità e capacità empatica, non mi è sembrato così. Per me questo era importante, poi il disaccordo fa parte del gioco.

        E comunque, più passano i giorni, più aumentano gli elementi che lasciano comprendere meglio quello che intendevo esprimere… Mentre i giornali e, forse, anche le commissioni di inchiesta si concentrano sul cercare cause e colpe (carenza di formazione dei piloti, commistioni tra la Boeing e la FAA, sistemi di sicurezza contro i guasti sul MCAS venduti come optional e via dicendo), io vedo come ognuna di queste cause sia da sola insufficiente a impedire o generare l’incidente e piuttosto annoto come queste singole cause:
        – appaiano in una luce differente se analizzate col senno di poi, ad incidente avvenuto;
        – possano essere frutto di scelte politiche influenzate dalla sudditanza psicologica (la questione FAA Vs Boeing), dal lobbismo e da altri fattori di scelta che non implicano necessariamente corruzione o altri reati di evidente commissione, anzi molti di essi (es. il lobbismo) sono considerati cardini dell’economia capitalista;
        – i sistemi di sicurezza erano opzionali perché non richiesti dalla norma. È legittima la scelta economica della Boeing di vendere a parte ciò che non è strettamente richiesto per ricavarne profitto? Credo che sia proprio lo scopo stesso dell’esistenza della Boeing massimizzare i profitti. Anche quando si tratta di sicurezza? Secondo me, sì.
        – ….

        Alla fine si comprenderanno le singole cause tecniche e organizzative che hanno generato l’incidente, le si correggeranno, ma i meccanismi di fondo resteranno sempre lì e continueranno a “tramare” per generare altri incidenti.

        Nonostante l’elevatissimo livello di sicurezza raggiunto dal settore, resta pur sempre un settore a interazione complessa e accoppiamento stretto a livello tecnico e organizzativo, ovvero soggetto al cosiddetto “incidente normale” (“Normal Accident Theory” di C. Perrow).
        Raro, ma quando accade, sarà pur sempre normale.
        Intrinsecamente inserito nei meccanismi che governano questo sistema

        Piace a 1 persona

Rispondi a Marco D'Alessio Cancella risposta

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...