Pubblicato in: sorveglianza sanitaria, valutazione dei rischi

Tempi bui… Quando è obbligatoria la sorveglianza sanitaria?

stupore-paura-bimboSono tempi bui quelli nei quali le circolari interpretative della norma non c’hanno capito nulla della norma da interpretare.
È il caso della recente Lettera Circolare del 12 ottobre 2017, n. 3 dell’Ispettorato Nazionale del lavoro la quale, nel fornire indicazioni operative sulle sanzioni da applicare in caso di omessa sorveglianza sanitaria, esordisce così:

«Come è noto, nell’ambito della normativa in materia di salute e sicurezza la sorveglianza sanitaria dei lavoratori, così come declinata dall’art. 41 del d.lgs. n. 81/2008, diviene un obbligo nel momento in cui la valutazione dei rischi evidenzi la necessità di sottoporre il lavoratore a sorveglianza sanitaria».

No. Ma proprio no.
La sorveglianza sanitaria non è obbligatoria quando lo dice la valutazione dei rischi, ma quando lo dice la legge, che lo dice all’art. 41 e la impone:

  • nei casi previsti dalla normativa vigente, dalle indicazioni fornite dalla Commissione consultiva di cui all’articolo 6;
  • qualora il lavoratore ne faccia richiesta e la stessa sia ritenuta dal medico competente correlata ai rischi lavorativi.

Leggete da qualche parte «nel momento in cui la valutazione dei rischi evidenzi la necessità di sottoporre il lavoratore a sorveglianza sanitaria»?
Non puoi fare come ti pare. La sorveglianza sanitaria è una misura ON/OFF. O la devi fare o non la puoi fare.

L’obbligo imposto dalla norma precede l’esito della valutazione dei rischi, tanto che:

  • se hai sbagliato la valutazione, non per questo l’obbligo viene meno;
  • se secondo la valutazione dei rischi hai ritenuto di dover sottoporre a sorveglianza sanitaria i lavoratori, ma non ricadi nei casi in cui la norma la imponga… Beh, non lo puoi fare.

Ed è pieno di casi in cui la norma non la impone, tipo (per citare casi in cui ho visto effettuare la sorveglianza sanitaria):

  • lavori in quota (citati all’interno della Circolare come casi in cui la sorveglianza sanitaria sarebbe obbligatoria agli esiti della valutazione);
  • stress lavoro-correlato;
  • rischio “posturale”.

In questi ed in tutti gli altri casi in cui la norma non preveda la sorveglianza sanitaria, essa è da intendersi vietata in virtù dell’art. 5 della L. n. 300/1970 (Statuto dei lavoratori).

Pubblicato in: rischio chimico, valutazione dei rischi

Rischio chimico irrilevante e DPI: qualcosa non torna…

Wewillbefree

La valutazione del rischio chimico è una roba complessa. Molto complessa. Non a caso sono stati resi disponibili vari algoritmi e applicativi che hanno l’ambizione di supportare il valutatore in questa difficile indagine (da QUI potete scaricarne uno a cui sono particolarmente affezionato: ANA.R.CHIM. – ANAlisi del Rischio CHIMico).

Ultimamente l’ISPRA (Istituto Superiore per laProtezione e la Ricerca Ambientale) ha pubblicato un manuale ed un applicativo (li trovate QUI) che riguardano l’ambito specifico dei laboratori, ma che possono essere usati anche con riferimento ad altri settori. Come al solito, il presupposto è che il valutatore sappia ciò che fa, capisca quali sono i “limiti di batteria” delle metodologie e le usi con molta cautela.

L’argomento di cui vorrei discutere sta a monte di tutto. Siamo alle cosiddette basi, le fondamenta, quelle che se mancano, fanno cadere tutto il resto: manuale, applicativo, metodologia.

L’algoritmo dell’ISPRA (come tanti altri nel genere) contiene un coefficiente che riguarda le misure di prevenzione e protezione dal rischio chimico, citando, tra gli altri, indumenti protettivi, occhiali, guanti…

La domanda che vi pongo è:

nella valutazione del rischio chimico, è lecito tener conto degli effetti protettivi dei DPI per dire se il rischio è irrilevante?

Caso A: conoscete già la risposta. Potete fermare qua la lettura e vi sarete comunque portati a casa ben 2 (diconsi DUE) link da cui scaricare gratis materiale per fare la valutazione del rischio chimico.
Caso B: non conoscete la risposta o siete in dubbio. Potete proseguire la lettura, ma la vostra vita potrebbe non essere più la stessa, dopo (mia moglie dice che esagero sempre ma, intanto, se non avessi esagerato, lei non sarebbe diventata mia moglie).

Per quanto mi riguarda, la risposta è rigorosamente: NO, il rischio deve essere valutato senza tener conto dell’uso dei DPI.

C’è ovviamente una spiegazione, ma non è immediata, pertanto, se non avete la pazienza di leggervi tutto il post, fornirò una spiegazione semplificata e poi quella dettagliata.

Spiegazione breve

  1. Se il rischio chimico è irrilevante, che bisogno ha uno di indossare anche i DPI?
  2. Vengono mai presi in considerazione i DPI ai fini della valutazione dell’esposizione dei lavoratori ad agenti fisici o cancerogeni o biologici?
  3. Posso considerare irrilevante il rischio se lavorassi immerso in una nube di cloro gassoso indossando tute ermetiche e autorespiratore?

Mi rendo conto che così è un po’ pochino, ma non so fare meglio in poche righe.
Se volete saperne di più, da qui parte la spiegazione lunga.

Spiegone

Utilizzerò, allo scopo la Direttiva europea 98/24/CE che è stata da noi recepita nel Titolo IX, Capo I del D.Lgs. n. 81/2008. Perché la Direttiva e non direttamente il Testo unico? Domanda oziosa: perché è scritta meglio e, comunque, il paese membro non può ridurre i livelli di tutela previsti dalla Comunità europea…. Uff, va bene… ve li riporto entrambi.

Iniziamo da qui:

Art. 5, par. 1 della Direttiva 98/24/CE Art. 224, comma 2 del D.Lgs. n. 81/2008
Se i risultati della valutazione dei rischi a norma dell’articolo 4, paragrafo 1, dimostrano che, in relazione alle quantità di un agente chimico pericoloso presenti sul luogo di lavoro, per la sicurezza e la salute dei lavoratori vi è solo un rischio moderato e che le misure adottate a norma dei paragrafi 1 e 2 del presente articolo sono sufficienti a ridurre il rischio, non si applicano le disposizioni degli articoli 6, 7 e 10 della presente direttiva. Se i risultati della valutazione dei rischi dimostrano che, in relazione al tipo e alle quantità di un agente chimico pericoloso e alle modalità e frequenza di esposizione a tale agente presente sul luogo di lavoro, vi è solo un rischio basso per la sicurezza e irrilevante per la salute dei lavoratori e che le misure di cui al comma 1 sono sufficienti a ridurre il rischio, non si applicano le disposizioni degli articoli 225, 226, 229, 230.

Ora lasciate perdere la faccenda che la Direttiva parli di rischio “moderato” (ci siamo passati tutti e non è mia intenzione riaprire una ferita quasi rimarginata ma che continua a puzzare, emettere pus, siero e ogni tanto sanguina nuovamente)… quello che entrambe le norme dicono è che in presenza di rischio moderato/irrilevante, la necessità di ricorrere a ulteriori misure (da noi: art. 225, 226, 229. 230) è scongiurata se altre misure sono state sufficienti a ridurre ulteriormente il rischio.
Tenete bene a mente il riferimento all’art. 225, uno di quelli che non si applicano se il rischio è talmente basso da fare schifo (che poi è la definizione di “irrilevante”)

Quali sono invece le misure che devo adottare se il rischio è irrilevante per non dover applicare quelle degli arti. 225, 226, ecc.? Eccole:

Art. 5, par. 2 della Direttiva 98/24/CE Art. 224, comma 1 del D.Lgs. n. 81/2008
– la progettazione e l’organizzazione dei sistemi di lavorazione sul luogo di lavoro;
– la fornitura di un equipaggiamento al lavoro con agenti chimici e metodi di manutenzione tali da preservare la salute e la sicurezza dei lavoratori sul luogo di lavoro;
– la riduzione al minimo del numero di lavoratori che sono o potrebbero essere esposti;
– la riduzione al minimo della durata e dell’intensità dell’esposizione;
– misure igieniche adeguate;
– la riduzione della quantità di agenti chimici presenti sul luogo di lavoro al minimo necessario per il tipo di lavoro svolto;
– metodi di lavoro appropriati, comprese disposizioni per il trattamento, l’immagazzinamento e il trasporto sicuri sul luogo di lavoro di agenti chimici pericolosi nonché dei rifiuti che contengono detti agenti chimici.
a) progettazione e organizzazione dei sistemi di lavorazione sul luogo di lavoro;
b)  fornitura di attrezzature idonee per il lavoro specifico e relative procedure di manutenzione adeguate;
c)  riduzione al minimo del numero di lavoratori che sono o potrebbero essere esposti;
d)  riduzione al minimo della durata e dell’intensità dell’esposizione;
e)  misure igieniche adeguate;
f)  riduzione al minimo della quantità di agenti presenti sul luogo di lavoro in funzione delle necessità 
della lavorazione; 
g)  metodi di lavoro appropriati comprese le disposizioni che garantiscono la sicurezza nella manipolazione, nell’immagazzinamento e nel trasporto sul luogo di lavoro di agenti chimici pericolosi nonché dei rifiuti che contengono detti agenti chimici.

Come vedete, non si parla di DPI. Quantomeno non se ne parla esplicitamente. Poi, volendo, possono essere rintracciati tra le righe di alcuni di questi punti. Resta il fatto che non se ne parla esplicitamente.
La faccenda si fa interessante (lo so, mi entusiasmo facilmente) leggendo uno degli articoli che non si dovrebbero applicare se il rischio è irrilevante e lo si è, per di più, ulteriormente ridotto (principio della massima sicurezza tecnologicamente fattibile):

Art. 6, par. 2 della Direttiva 98/24/CE Art. 225, comma 1 del D.Lgs. n. 81/2008
Quando la natura dell’attività non consente di eliminare il rischio attraverso la sostituzione, prendendo in considerazione l’attività lavorativa e la valutazione dei rischi di cui all’articolo 4, il datore di lavoro garantisce che il rischio sia ridotto mediante l’applicazione di misure di protezione e di prevenzione, coerenti con la valutazione dei rischi effettuata a norma dell’articolo 4.
Esse comprenderanno, in ordine di priorità:
Quando la  natura dell’attività non consente di eliminare il rischio attraverso la sostituzione il datore di lavoro garantisce che il rischio sia ridotto mediante l’applicazione delle seguenti misure da adottarsi nel seguente ordine di priorità:

È qui che la norma Europea è scritta meglio e dice una cosa in più che non è stata trascritta nel recepimento italiano. Dice la Direttiva: tu, datore di lavoro, che mi hai valutato il rischio come non irrilevante, se non lo puoi eliminare, allora prendi la tua valutazione dei rischi e scegli le misure compensative necessarie in questo ordine:

Art. 6, par. 2 della Direttiva 98/24/CE Art. 225, comma 1 del D.Lgs. n. 81/2008
a)  la progettazione di adeguati processi lavorativi e controlli tecnici, nonché l’uso di attrezzature e materiali adeguati, al fine di evitare o ridurre al minimo il rilascio di agenti chimici pericolosi che possano presentare un rischio per la sicurezza e la salute dei lavoratori sul luogo di lavoro;

b)  l’applicazione di misure di protezione collettive alla fonte del rischio, quali un’adeguata ventilazione e appropriate misure organizzative;

c) l’applicazione di misure di protezione individuali, comprese le attrezzature di protezione individuali, qualora non si riesca a prevenire con altri mezzi l’esposizione.

 

a) progettazione di appropriati processi lavorativi e controlli tecnici, nonché uso di attrezzature e materiali adeguati;

b) appropriate misure organizzative e di protezione collettive alla fonte del rischio;

c) misure di protezione individuali, compresi i dispositivi di protezione individuali, qualora non si riesca a prevenire con altri mezzi l’esposizione;

d) sorveglianza sanitaria dei lavoratori a norma degli articoli 229 e 230.

 

Eccoli finalmente i DPI. Compaiono solo tra le misure specifiche di prevenzione e protezione come conseguenza della valutazione del rischio (come mostra meglio la Direttiva), non come suo presupposto. Valutazione, che tra l’altro, deve avere avuto esito di rischio non irrilevante, altrimenti non si sarebbe applicato l’art. 225 (o l’art. 6 della Direttiva).

Sono una misura di protezione rispetto ad un rischio non irrilevante ab origine, impiegata al fine di controllare e gestire il rischio residuo.

Questo sono, nient’altro.

Ragionando in modo differente da questo, arriveremmo all’assurdo che utilizzando i DPI si potrebbe evitare la sorveglianza sanitaria: che li visiti a fare se tanto l’esposizione sotto la maschera di protezione delle vie respiratorie è irrilevante?

Quindi se volete utilizzare l’algoritmo dell’ISPRA, non vi consiglio di considerare l’impiego dei DPI.
Non è un caso se voglio bene ad ANA.R.CHIM.: lì la valutazione è fatta al netto dell’uso dei DPI.

Prima di chiudere, vorrei farvi una recensione del materiale dell’ISPRA, ma non ne ho voglia. Quindi:

  1. Non entrerò nel merito del manuale, ma posso dirvi che, se non è il vostro primo approccio alla materia, sarete in grado da soli di trovare le inesattezze (poche) che vi sono contenute e che, volendo, si possono perdonare data la complessità della materia.
  2. Non entrerò nemmeno nel merito dell’applicativo, ma posso dirvi che è fatto molto bene per essere un foglio di calcolo (tra l’altro, oltre che per Excel è disponibile anche per Access).
  3. E figuratevi, a questo punto, se mi viene in mente di entrare nel merito della metodologia proposta. Posso però dirvi che non è dissimile da altre (Movarisch, per esempio), anzi, a differenza di molte altre, tiene conto dell’effetto cumulato delle sostanze impiegate. Inoltre fa anche una valutazione del rischio chimico per la sicurezza e degli agenti cancerogeni. Insomma, sembra roba buona.
    Piuttosto la faccenda è sempre la solita: da dove caspita escono fuori i valori dei vari coefficienti associati, per dire, alle frasi di rischio, alle misure di prevenzione, ecc.? Si dice nella prefazione che l’algoritmo è stato testato, ma sarebbe interessante sapere quale sia stato il campione, su quante sostanze e tante altre belle cose che aiutano a giudicare l’affidabilità scientifica di una metodica.
Pubblicato in: miti della sicurezza, valutazione dei rischi

La messa a terra sui ponteggi spiegata semplice

Non capisco come  sia possibile ma, nell’anno di grazia 2017 d.C., a molti non è chiaro se il ponteggio in un cantiere abbia la necessità o meno della messa a terra.

Enucleo di seguito i casi che possono presentarsi, sperando di fare chiarezza sull’argomento.

  • Caso 1 – Il ponteggio è una massa;
  • Caso 2 – Il ponteggio è una massa estranea;
  • Caso 3 – Il ponteggio non è autoprotetto dalle scariche atmosferiche.

Vediamoli singolarmente.

Caso 1

Il punto 23.2 della norma CEI 64-8 definisce la massa nel seguente modo:

«Parte conduttrice di un componente elettrico che può essere toccata e che non è in tensione in condizioni ordinarie, ma che può andare in tensione in condizioni di guasto.
Nota – Una parte conduttrice che può andare in tensione solo perché è in contatto con una massa non è da considerare una massa».

Cominciamo col fare delle esclusioni semplici.

160px-Double_insulation_symbol.svg

Supponiamo che sul ponteggio venga utilizzato un frullatore ad immersione, uno di quelli che gli operai generalmente usano per prepararsi il milk-shake (è noto che l’operaio mi è ghiotto di frullati). Quasi certamente, il minipimer in questione sarà di classe II, riconoscibile dal simbolo dei due quadrati concentrici.
In questo caso, per definizione, l’apparecchio è intrinsecamente progettato per non necessitare di connessione a terra. Insomma, lui stesso non è una massa. Figuriamoci se può esserlo il ponteggio.

Per alimentare il minipimer, quasi certamente l’operaio goloso, mi avrà steso una prolunga. Se il cavo è H07RN-F (tipico), vale lo stesso ragionamento: trattasi di cavo di classe II.

Insomma, quando avete a che fare con roba di classe II, il problema non ve lo dovete proprio porre.

Può succedere, tuttavia, che l’operaio debba utilizzare un’attrezzatura di classe I. Supponiamo ad esempio che abbia la necessità di fare il bucato sul ponteggio e installi una lavatrice.
La lavatrice, non so perché, è l’elettrodomestico più ricorrente a livello didattico quando si tratta di spiegare il rischio da contatti indiretti. La trovate in una moltitudine di slides sul rischio elettrico. Ma se preferite, potete usare anche un argano a motore elettrico (anche se non so come farete a fare un bucato con l’argano).

Gli apparecchi di classe I hanno solo un isolamento principale, per cui, in caso di cedimento dello stesso, il loro involucro diverrebbe una massa, per come è stata prima definita. Il caso vuole che la norma imponga che tali attrezzature siano dotate di una messa a terra di protezione che, attraverso il suo conduttore, finirà dritta nell’impianto di messa a terra del cantiere (del cantiere eh, non del ponteggio. Del cantiere). In poche parole hanno la loro messa a terra.
La magicabula che spezza l’incantesimo, in questo caso, è la nota al punto 23.2 della norma CEI: un ponteggio (parte conduttrice) a contatto con una massa (lavatrice o argano) non diventa massa.

Quindi, anche con la roba di classe I non c’è motivo di mettere a terra il ponteggio.

Se per alimentare la lavatrice l’operaio ha utilizzato i cavi unipolari senza guaina (quelli che corrono nelle pareti di casa vostra, per capirci…), beh in quel caso lo avrà sicuramente posato all’interno del suo tubo protettivo.
Come dite? Non l’ha fatto??!? La soluzione in quel caso non è mettere a terra il ponteggio, ma infilare il cavo nel tubo protettivo, perché la posa non è a norma.

Considerando che gli apparecchi di classe 0 (quelli che hanno solo un isolamento principale, ma nessun conduttore di protezione per la messa a terra) sono vietatissimi ed è più facile trovare un chilo di eroina pura al fruttivendolo sotto casa, direi che abbiamo finito.

Ah no, già… apparecchi di classe III. Vabbeh, questi sono alimentati a tensione di sicurezza… Lo dice la parola stessa. Quindi no, manco in questo caso ci vuole la messa a terra.

Caso 2

Il punto 23.3 della solita norma CEI, ci dice è che una massa estranea è una:

«parte conduttrice non facente parte dell’impianto elettrico in grado di introdurre un potenziale, generalmente il potenziale di terra».

Il ponteggio è una parte conduttrice? Sì.
Fa parte dell’impianto elettrico? No.
Quindi è una massa estranea!

Non è detto. Si tratta di vedere se può introdurre un potenziale pericoloso (non roba che esce dal ponteggio, ma roba che può entrarci) a causa della sua bassa resistenza rispetto a terra.
In questo caso, siccome i cantieri sono un ambiente a maggior rischio elettrico, si deve misurare se la resistenza verso terra è maggiore di 200 Ohm. Se lo è NON devi collegare a terra o vanifichi l’isolamento naturale.

Quando una roba è sicura, la devi lasciare com’è. Te lo dice anche la norma CEI 64-17:

« Si ricorda che tutti i manufatti metallici di cantiere (recinzioni, ponteggi, tettoie ecc.) che non siano né masse né masse estranee non devono essere collegate all’impianto di terra».

Chiaro no?

Caso 3

Fulmini. Se leggendo questo post ti è venuto qualche dubbio, ti sfugge qualcosa o altro, allora non sei in grado di valutare il rischio che il ponteggio sia colpito da un fulmine.
Affidati ad un tecnico capace che ti faccia il calcolo ai sensi della norma CEI EN 62305 e vivi sereno. Non ti inventare niente.
Se dal calcolo emerge che la struttura è autoprotetta, la messa a terra non serve.

Pubblicato in: dove sta scritto?, valutazione dei rischi

Dove sta scritto?…. Data certa

Non avrei mai voluto scrivere questo «Dove sta scritto?», dato che il tema è davvero tedioso, ma la sua necessità nasce da un’obiezione che mi è stata sollevata da un avvocato.
Tra l’altro un bravo avvocato, ma pur sempre un avvocato, ovvero una persona dotata di conoscenze avvocatesche, in grado di esercitare la propria avvocataggine con competenza in tutte le sedi in cui è richiesta avvocatazione. Appena, però, egli esce dal labirintico e mal tracciato sterrato del diritto per immettersi nel più certo e rettilineo sentiero della scienza e della tecnica, mi si perde. I paradossi dell’orientamento…

Eravamo lì, che si discuteva della consegna di un DVR che avevo redatto per l’azienda cliente e dico: «Ah, e mi raccomando, ricordate di assegnare data certa al DVR. Potete fare come vi pare, ma il mio consiglio è quello di inviare dal vostro indirizzo PEC al mio indirizzo PEC un messaggio contenente in allegato il DVR firmato dal datore di lavoro»

AVV. (in tutta la sua avvocatosità): «Gli allegati di una PEC non sono opponibili ai terzi in quanto dalla ricevuta di consegna non è possibile desumere il contenuto dell’allegato. Solo il corpo della mail è “certo”».

IO: «È una sciocchezza, tecnicamente non sta né in cielo, né in terra».

DOVE STA SCRITTO?

Doverosa premessa: noto in rete che questa leggenda metropolitana è piuttosto diffusa in rete ed è propalata, in particolare, su siti avvocateschi.

Più in fondo trovate metodi alternativi a quelli “canonici” per dare data certa ai DVR, ma ora concentriamoci sulla PEC.

Innanzitutto, che in termini di “certezza della data”, in una PEC non ci sia differenza tra corpo della mail e allegato, sta scritto nel D.P.R. n. 68/2005 «Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata», il quale all’art. 1, comma 1, lett. f) mi precisa cos’è un messaggio di PEC:

un documento informatico composto dal testo del messaggio, dai dati di certificazione e dagli eventuali documenti informatici allegati.

Sappiamo quindi per certo che, per legge, un messaggio di PEC comprende anche gli allegati, ma questo non è sufficiente a rispondere all’obiezione dell’avvocato che possiamo dividere in due sotto-obiezioni:

  1. guardando la ricevuta di consegna non possiamo dire nulla sull’effettivo avvenuto invio dell’allegato;
  2. guardando la ricevuta di consegna non possiamo sapere quale sia il contenuto dell’allegato alla PEC, né dire se esso sia stato successivamente modificato.

Da qui segue lo spiegone del perché quello che dice l’avvocato non sta né in cielo, né in terra e, comunque, potrei sollevare analoghe obiezioni di inaffidabilità su altri modi che la giurisprudenza e la norma definiscono idonei per assegnare data certa ai documenti.

La risposta alle due obiezioni deve essere rintracciata nel disciplinare tecnico che spiega come deve essere un servizio di PEC per essere considerato fatto per benino.

In sostanza ti viene spiegato che il messaggio che vuoi inviare tramite PEC (con tutti i pezzi) arriva al tuo gestore PEC che lo infila in una «busta di trasporto» (si chiama così), chiude la busta e ti invia una mail di accettazione, firmata con una chiave (sigillo). È analogo a quanto avverrebbe nel mondo materiale: scrivi un DVR, lo stampi e lo infili, con una lettera di accompagnamento, in una busta di carta gialla che poi chiudi e sigilli con ceralacca (chi non ha un anello con il proprio stemma nobiliare da usare come stampo?): la lettera di accompagnamento è il corpo della mail, il DVR rappresenta l’allegato alla mail e la busta gialla costituisce la busta di trasporto.

A quel punto, la busta chiusa e sigillata viene inoltrata al gestore PEC del destinatario (in mezzo succedono una serie di cose che non vi riferisco e che però garantiscono che il messaggio non sia stato modificato e sia completo) il quale ti invia una ricevuta di consegna, anch’essa firmata digitalmente, che può essere:

  • completa, caratterizzata dal contenere in allegato i dati di certificazione ed il messaggio originale;
  • breve, caratterizzata dal contenere in allegato i dati di certificazione ed un estratto del messaggio originale.
  • sintetica, caratterizzata dal contenere in allegato i dati di certificazione

La ricevuta completa risponde facilmente alla sotto-obiezione 1, poiché contiene anche l’allegato alla PEC e quindi possiamo sapere che esso è stato inviato e volendo, possiamo anche visualizzarlo. Con la breve, la stessa cosa si può fare mediante il codice hash contenuto nella ricevuta di consegna. Con la sintetica devi chiedere al tuo gestore di mandarti il documento allegato.

La sotto-obiezione 2 viene meno se si conosce  come funziona tecnicamente il sistema. Come scrivevo prima, tutte le varie ricevute sono firmate (sigillate) dai vari gestori. È la firma la garanzia che l’allegato sia quello che avevi inviato e che non sia stato successivamente modificato durante il viaggio. per questo viene usato lo standard di crittografia S/MIME.

Quindi, con certezza, ciò che mandi è quello che arriva (che poi è il fine della PEC).

Se un allegato viene modificato dal destinatario, dopo averlo scaricato, è sempre possibile controllare se esso non coincide con l’originale inviato, poiché i due file devono essere identici, informaticamente parlando.

Veniamo ai metodi alternativi per dare data certa ai DVR:

  1. Ingoiare il DVR e presentarsi al pronto soccorso accusando crampi e dolori addominali. Dopo essersi sottoposti all’operazione chirurgica, allegare al documento estratto dalla panza la radiografia e il certificato medico ai fini dell’attestazione della data;
  2. Rapire una persona, fotografarla con il DVR in mano ed inviare ad un giornale a diffusione nazionale la foto. Il giorno dopo acquistare il giornale ed allegare la prima pagina con la foto in questione al DVR;
  3. Uccidere una persona con il DVR e lasciare il documento lì sul luogo, come arma del delitto. La data di registrazione da parte dell'”ufficio depositi prove” della Polizia assegna data certa al DVR. L’unico problema è che, per consultarlo, dovrete costituirvi;
  4. Fare un figlio e, subito dopo il parto, lanciarlo nello spazio, in un’apposita navetta che viaggia a velocità nota, con una copia del DVR, quanto più possibile vicina alla velocità della luce (è importante che l’astronave vada molto veloce per aumentare i tempi di validità del metodo, così il bambino mi invecchia meno velocemente). Grazie alle leggi della relatività speciale, nota l’età del bambino, sarà possibile calcolare la data del DVR.

Ce ne sarebbero molti altri e sono sicuro che i commentatori non si faranno pregare in tale senso.

Sì, la data certa del DVR è una cagata pazzesca.

Pubblicato in: cultura della sicurezza, incidenti, miti della sicurezza, valutazione dei rischi

1° mito: valutazione dei rischi, l’arte di cucinare la pasta all’amatriciana senza guanciale

«Ciò che è stato sarà
e ciò che si è fatto si rifarà;
non c’è niente di nuovo sotto il sole»
Ecclesiaste 1:9 

A partire da questo post parlerò di quelli che considero i miti della sicurezza.

Il primo mito, di cui ho già scritto in vari post, risiede nella volontà del legislatore di considerare la valutazione dei rischi la pietra angolare dell’intero sistema prevenzionistico, l’amuleto che ci difenderà dallo spettro dell’infortunio, l’agnello che toglie i peccati dal mondo.

Per chi si fosse perso le ultime puntate, la ragione per cui considero tale pretesa un mito, deriva dalla banale osservazione che dietro la definizione di rischio si nasconde il concetto di probabilità e l’atto della valutazione consiste, ancor più banalmente, nel determinare se un evento possa accadere o meno e, se sì,  con quale probabilità.

Ecco, appunto… intervenire o non intervenire; prevenire o proteggere; agire in tempi rapidi o tempi lunghi… tutte queste decisioni dipendono dalla nostra valutazione, che dipende dalle probabilità, la quale discende dal possesso e dalla conoscenza di dati storici. Solo di dati storici. Nient’altro.

E, anche ammesso che si abbiano questi dati, nulla si può dire rispetto a ciò che non ha precedenti.

Te lo dice anche l’Antico Testamento, nell’Ecclesiaste, di cui ho riportato un estratto all’inizio di questo post (sì, l’Ecclesiaste è quella roba di «C’è un tempo per nascere e un tempo per morire, ecc.»): tutto quello che accade è già accaduto in passato.

Sapevatelo!

Il problema è infatti questo: non abbiamo dati. Puoi raccogliere tutti i “near miss” che ti pare, continuerai a non avere dati. Nel mondo reale è così.

Così ci ritroviamo una norma che ci impone di fare una valutazione dei rischi e ci dà una definizione di rischio che discende dal concetto di probabilità ma, pur con tutto l’impegno di questo mondo, manca l’ingrediente fondamentale: la conoscenza della probabilità.

Fattela te la pasta all’amatriciana senza guanciale.

Ma se venissi autorizzato ad usare la salsiccia, mi dico:

  1. Mi hanno chiesto di fare pasta all’amatriciana
  2. Non ho guanciale, solo salsiccia,
  3. Questi qui non hanno precedenti; non hanno mai mangiato pasta all’amatriciana,
  4. la salsiccia, in fondo, sempre maiale è,
  5. il protocollo europeo della pasta all’amatriciana consente di sostituire il guanciale con la salsiccia, anche se il guanciale è fortemente consigliato,
  6. ci metto molto pecorino e così la butto in caciara,

alla fine la maggior parte non si lamenta, anzi si abitua a quel gusto.

Perché questo è quello che succede nella realtà di tutti i giorni: la valutazione dei rischi che viene servita non è nient’altro che un mito, un piatto la cui ricetta è stata stravolta secondo le attitudini soggettive del cuoco a causa della carenza di ingredienti. È come il parmisan venduto in Olanda, la mozzarella che si mangiano in Inghilterra, il vino in polvere bevuto in Finlandia. Sono dei miti, delle credenze credibili. Ti danno l’illusione di stare mangiando il prodotto originale, mentre invece ti stai nutrendo della sua narrazione, del racconto di ciò che è il concetto di parmigiano, mozzarella o vino.

La P inserita nel calcolo PxD del rischio è salsiccia, non è guanciale. La valutazione del rischio, non è amatriciana ma pasta con la salsiccia ed il pecorino.

Chi è che alimenta il mito?

  1. La comunità europea e gli stati membri che basano tutto il sistema prevenzionistico sulla valutazione del rischio (no, non sono favorevole all’uscita dalla UE);
  2. Modelli teorici come la “Domino theory” di Heinrich o il “Swiss Cheese Model” di Reason che, utilizzati a valle di un incidente per la sua analisi, generano questa strana impressione di linearità tra causa ed effetto che rende tutto prevedibile e, conseguentemente, prevenibile;
  3. La rarità degli incidenti e l’impossibilità di affermare con certezza se essi non accadono perché noi stiamo impedendo che accadano o se, semplicemente, non accadono per i fatti loro;

Su queste basi, io posso affermare di essere il maggior esperto al mondo in fatto di terremoti. Ho, tra l’altro, scoperto un metodo che mi consente di sapere, con un giorno di anticipo, se ci sarà o meno un terremoto di grado superiore al 6° della scala Richter. Tranquilli, oggi non ci sarà nessun terremoto 🙂

Se il mio racconto fosse sufficientemente credibile, se io fossi sufficientemente credibile grazie al pubblico riconoscimento delle autorità circa la validità del mio metodo, le mie valutazioni lo sarebbero altrettanto. Molto probabilmente, in effetti, il 1° giorno il terremoto non accadrebbe. E nemmeno il 2°, il 3° e così via…

La credibilità circa la prevedibilità dei terremoti, si autoalimenterebbe. Proseguendo la narrazione, potrebbero passare anni prima del verificarsi di un terremoto di grado superiore alla mia soglia di rilevabilità.

Se dovesse accadere, è inutile che ve la prendiate con me: io, in realtà, ho avuto ragione il 99% del tempo.

E infatti, praticamente nessuno si lamenta dell’amatriciana con la salsiccia.

 

Pubblicato in: valutazione dei rischi

Siamo intelligenti, non razionali!

Siete andati a fare un safari fotografico in Namibia e, imprudentemente, scendete dal fuoristrada per fotografare un leone che stava placidamente prendendo il sole. Improvvisamente, il leone fiutando la vostra presenza si alza e vi viene incontro minaccioso. Avete con voi una balestra e, guardandovi indietro, siete in grado di stimare a che distanza si trova il vostro 4×4.

Il vostro cervello inizia a lavorare freneticamente: dovete scegliere se correre verso la salvezza rappresentata dall’abitacolo del fuoristrada o puntare la balestra contro il leone.

Per fortuna, vi tornano in mente le pallide rimembranze dei vostri studi di fisica: stimando la velocità apparente del leone siete in grado di calcolare se raggiungereste per tempo la vettura. In alternativa, usando le relazioni del moto del proiettile, potete colpire il leone con la freccia della vostra balestra.

Tra la teoria e la pratica, purtroppo, mai come in questi casi, ci sono distanze incolmabili: il nostro cervello non ha le capacità computazionali necessarie per affrontare situazioni come queste nei tempi richiesti.

Nel corso dell’evoluzione, infatti, l’uomo, per sopravvivere, ha sviluppato due differenti modalità di pensiero: una lenta (perfettamente razionale, rappresentata, ad esempio, dalla capacità di sfruttare la logica e le proprie conoscenze “scientifiche”) ed una veloce.

Quest’ultima si avvale delle euristiche, algoritmi inconsci che ci permettono di scegliere strategie e prendere decisioni senza usare la logica (lenta), affidandoci piuttosto ad intuito ed esperienza (veloci). Le euristiche, normalmente, ci permettono di pervenire a risultati notevoli e corretti ma, in alcuni casi, ci fanno toppare in modo clamoroso (io colleziono bias cognitivi come altri collezionano farfalle).

Questa capacità sono state studiate approfonditamente da due psicologi, Amos Tversky e Daniel Kahneman, in un ambito ben preciso: le discipline economiche (Kahneman vinse il premio nobel per l’economia grazie a questi studi).

Grazie ad una serie di esperimenti semplicemente geniali, T. & K. dimostrarono come gli esseri umani, messi di fronte a determinati processi decisionali, violassero sistematicamente alcuni principi elementari di razionalità.

Il test che ho proposto nel precedente post è la mia rielaborazione di quello che – a detta di Kahneman – costituisce il più noto e discusso dei loro esperimenti: il problema di Linda (seguendo il link troverete il testo originale, tradotto in italiano).

Torniamo al mio test, di cui ripropongo la traccia per rendere più semplice seguire il percorso logico che vi presento:

Un lavoratore, con mansione di magazziniere, esperto della propria mansione, viene trasportato al pronto soccorso a seguito di un grave incidente.
Quale tra i seguenti scenari ne è stata la causa probabile?
1. Un pallet, correttamente collocato, cadde da una scaffalatura ferendo gravemente il lavoratore;
2. A causa di un errore di manovra, un carrello elevatore urtò accidentalmente la scaffalatura, determinando la caduta di un pallet, correttamente collocato, che ferì gravemente il lavoratore.

La prima cosa che vorrei notaste, è che è espressamente richiesto che la valutazione circa lo scenario da preferire, debba essere condotta secondo criteri di probabilità.

A questo punto analizziamo i due scenari.

Nel primo viene proposta la caduta di un pallet correttamente collocato su una scaffalatura, senza che ne siano state specificate le cause.

Nel secondo viene proposta la caduta di un pallet correttamente collocato su una scaffalatura, per una causa ben precisa (urto della scaffalatura da parte di un carrello elevatore).

Ragionate in termini di insiemi (come ce li hanno fatti studiare alle elementari. Da grande, all’Università, ho scoperto che si chiamavano diagrammi di Eulero-Venn ed erano meno divertenti che alle scuole elementari): l’insieme dei pallet, correttamente collocati, caduti da una scaffalatura a causa di un urto della scaffalatura da parte di un carrello elevatore (insieme B) è interamente contenuto nell’insieme dei pallet, correttamente collocati, caduti da una scaffalatura (insieme A).

DiagrammaVenn

Eppure, la maggioranza di quelli che hanno commentato il precedente post, ha ritenuto preferibile optare per il secondo scenario, violando la logica delle probabilità. Siete comunque in buona compagnia: anche nell’esperimento di T. & K. il 90% dei soggetti costituenti il campione intervistato è cascato nella medesima fallacia logica.

Questo genere di errori si può generare quando utilizziamo le cosiddette euristiche del giudizio e, nello specifico, quando ci affidiamo all’euristica della rappresentatività.

Per farla breve, il motivo per cui avete ritenuto preferibile la seconda alternativa è che era semplicemente più credibile, si conformava ai racconti che sentiamo in genere, alle nostre proiezioni mentali, agli stereotipi. Tutto questo nonostante fosse illogica e violasse il calcolo delle probabilità (vorrei che questo punto fosse chiaro: la risposta 2 è sbagliata, senza se e senza ma) che è uno dei parametri che utilizziamo nelle valutazioni dei rischi.

Nei prossimi post cercherò di proseguire il ragionamento, ricollegandomi, ancora una volta, ai rischi insiti nelle valutazioni dei rischi che svolgiamo.
Ora vorrei lasciare spazio ad eventuali commenti.

Pubblicato in: incidenti, valutazione dei rischi

Facciamo un piccolo test…

Studiamo sempre gli incidenti dopo che sono avvenuti.

Proviamo a mettere alla prova le nostre capacità deduttive. Non abbiate paura, è una cosetta semplice, semplice…

Questo il testo:

Un lavoratore, con mansione di magazziniere, esperto della propria mansione, viene trasportato al pronto soccorso a seguito di un grave incidente.
Quale tra i seguenti scenari ne è stata la causa probabile?

  1. Un pallet, correttamente collocato, cadde da una scaffalatura ferendo gravemente il lavoratore;
  2. A causa di un errore di manovra, un carrello elevatore urtò accidentalmente la scaffalatura, determinando la caduta di un pallet, correttamente collocato, che ferì gravemente il lavoratore.

Sarebbe bello se inseriste la risposta nei commenti al post ma, nel caso, per favore, non indicate anche i vostri ragionamenti per non influenzare gli altri partecipanti. È sufficiente scrivere 1 o 2.

Tra qualche giorno vi dirò come la vedo io 🙂

 

Pubblicato in: cultura della sicurezza, incidenti, valutazione dei rischi

Il rischio è un concetto borghese

Ho provato a schematizzare la supercazzola di Rumsfeld alla quale mi ero ispirato nel mio precedente post per evidenziare quanto possa essere inefficiente un approccio prevenzionistico basato sulla valutazione dei rischi.

Vale la pena riprenderla qui per rimirarne ancora una volta la perfetta mascettitudine e lo stile antaneggiante che stuzzica prematuramente.

“Ci sono fatti noti conosciuti, le cose che sappiamo di sapere. Ci sono fatti ignoti conosciuti, vale a dire le cose che ora sappiamo di non sapere. Ma ci sono anche fatti ignoti sconosciuti, le cose che non sappiamo di non sapere.”

Il tutto può essere riassunto sulla base della presenza di due parametri:

  • Consapevolezza;
  • Conoscenza.

Non mi soffermerò sulla loro definizione: ritengo sia più che sufficiente, a tal fine, il senso comune che viene assegnato a questi termini.

Quello che piuttosto vorrei evidenziare è che la relazione tra i due aiuta a comprendere bene la differenza che esiste tra «incertezza» e «rischio».

Se, come me, vi occupate professionalmente di sicurezza sul lavoro, il rischio è il vostro mestiere. Ormai dovreste riuscire a maneggiarlo come un piatto di bucatini all’amatriciana, riuscendo a non schizzarvi la camicia col sugo mentre li avvolgete con la forchetta (modestamente, sono cintura nera di avvolgimento del bucatino… e le mie camicie sono più immacolate di un giglio).

Del rischio, dopo tutti questi anni di applicazione della norma, ormai dovremmo conoscere ogni più recondito anfratto. Tutti sappiamo, per esempio che il concetto di rischio è correlato al concetto di probabilità: ce lo dice la definizione stessa riportata nel D.Lgs. n. 81/2008.

Se usiamo l’approccio di Rumsfeld, il rischio ha a che fare con un fatto ignoto generato da un insieme noto di possibili esiti.

Secondo l’approccio normativo, il rischio è associato alla consapevolezza: è tutta una questione di impegno, ma se ti applichi puoi davvero riuscire a valutare tutti  i rischi. Questo è il mantra…

L’incertezza, al contrario, non è definita nel D.Lgs n. 81/2008, anzi non è nemmeno contemplata. Essa, in effetti, ha a che fare con un fatto ignoto generato di un insieme ignoto di possibili esiti. L’incertezza è roba che ha a che fare con la conoscenza. Essa è di natura epistemica, non aleatoria (per chi volesse approfondire, consiglio la lettura di «Giocati dal caso» di N.N. Taleb); in pratica, l’incertezza consiste in una mancanza di conoscenza dei possibili esiti.

Quando giochiamo alla roulette in un casinò, non esiste l’incertezza: le regole del gioco sono chiare, tutto funziona esattamente come è raccontato nei libri di statistica e calcolo delle probabilità. Un casinò è un luogo magico in cui ogni incertezza DEVE essere assente. Lì dentro deve esistere solo il rischio ed è nell’interesse del gestore del casinò che le cose si mantengano tali. Il gestore, infatti, avendo il monopolio del banco, ha la certezza di vincere sul lungo termine (ha una chance di vittoria in più rispetto a tutti gli altri e questo è sufficiente), ma per mantenerla, deve eliminare ogni possibile fonte di disturbo: gente che bara, carte truccate, macchine difettose, roulette sbilanciate, cioè ogni elemento che possa farlo precipitare, dal magico mondo del rischio, negli inferi dell’incertezza.

Molto banalmente, chi gestisce un casinò ha un modo abbastanza sicuro per sospettare se c’è gente che sta barando nel locale: è sufficiente calcolare se i loro esiti positivi sono coerenti con le probabilità di vittoria per riuscire a concentrare tutte le attenzioni solo su quelle situazioni che presentano possibili anomalie. Non si scappa…

È come guardare l’aerofotogrammetria di un impianto chimico o di un cantiere, scoprendo in anticipo chi sta per infortunarsi e dove… Minority Report applicato alla sicurezza.

Detto in breve, dunque:

  • Il rischio è un’incertezza misurabile;
  • L’incertezza è un rischio non misurabile.

Ora, chiedetevi: sulla base della vostra esperienza, nel mondo reale degli ambienti di lavoro avete a che fare con rischi o incertezze?

L’attuale approccio normativo postula la conoscibilità del rischio, confina il mondo reale al salone di un casinò, eliminando l’incertezza che, al contrario, governa la gran parte dell’universo che ci circonda.

Perpetuare la logica suggerita dalla norma è utile solo a soddisfare il nostro bisogno atavico di sicurezze e di ordine mentale.

Il rischio è un concetto borghese (semicit. Cartier-Bresson).

Pubblicato in: cultura della sicurezza, incidenti, valutazione dei rischi

Una farfalla ci seppellirà

Nel 1684 E. Halley (sì, quello della cometa, tra le altre cose) andò a Cambridge per parlare con I. Newton (sì, quello delle leggi della dinamica, tra le altre cose) di una cosetta su cui si era fissato e quando ti fissi è brutto.

Tutto era iniziato una sera al pub. Halley e R. Hooke (sì, quello della legge sulla forza elastica, tra le altre cose) accettarono una scommessa su chi sarebbe stato il primo a trovare la legge matematica che descrive il moto dei pianeti intorno al sole (chi non fa scommesse del genere al pub con gli amici?) postulato da Keplero.

Hooke sosteneva di conoscere già la risposta, ma era quel tipo di amici ai quali devi sempre fare la tara di ciò che ti raccontano (ed infatti, non tira fuori la soluzione).

Siccome non riusciva a venirne a capo, Halley va a parlarne a Newton (ricorre cioè all’aiuto a casa… Di Newton), nella speranza che quello potesse dargli qualche dritta, un po’ di polvere puffa, suggerirgli una magicabula per vincere la scommessa e farsi il grosso con Hooke.

Qui viene il bello… inizia a parlarne a Newton e quello fa: «Ah sì, quella faccenda… L’ho risolta 5 anni fa! C’ho le carte qui, da qualche parte sulla scrivania!».

Newton aveva già risolto il problema del moto dei corpi in orbita (senza il quale oggi non avremmo le leggi della dinamica e quella di gravitazione universale, il calcolo infinitesimale e tante altre cosette utili), ma non avendo pubblicato nulla era come se tutto ciò non fosse mai accaduto (se non per Newton).

Facciamo un salto di quasi tre secoli. Siamo nel 2002 ad una conferenza stampa e il segretario della difesa statunitense D. Rumsfeld, alla domanda su legami tra governo iracheno e armi di distruzione di massa e terrorismo, risponde:

“Ci sono fatti noti conosciuti, le cose che sappiamo di sapere. Ci sono fatti ignoti conosciuti, vale a dire le cose che ora sappiamo di non sapere. Ma ci sono anche fatti ignoti sconosciuti, le cose che non sappiamo di non sapere.”

Considerando che l’Iraq non aveva armi di distruzione di massa, che lui lo sapeva e che doveva intortarla, per questa frase Rumsfeld ha vinto il premio Antani D’oro che la Fondazione Conte Mascetti assegna a chiunque riesca a giustificare una guerra con una supercazzola.

Ora, però, fermatevi un attimo a rileggere quello che ha detto Rumsfeld. Scoprirete che una bella fetta di epistemologia è racchiusa là dentro.

Per esempio, mentre per Halley la legge matematica che descriveva il moto delle orbite dei pianeti era un “fatto ignoto conosciuto” (cioè: «So cosa non so»), la stessa cosa non si poteva dire di Newton per il quale la medesima legge era un “fatto noto conosciuto” (cioè: «So cosa so»).

Quando facciamo una valutazione dei rischi, noi valutiamo solo i “fatti noti conosciuti”. Considerando che la maggioranza dei “fatti noti” è “conosciuta” ai più, non serve un vero esperto: quasi tutti sono in gradi di rendersi conto se c’è un rischio di caduta dall’alto o di natura meccanica o elettrica, ecc.

Una percentuale piuttosto elevata del lavoro di Consulente per la sicurezza lo potrebbe fare chiunque abbia un po’ di esperienza nel campo specifico in cui il consulente sta consigliando.

Le cose cambiano quando si supera il variabile confine dei “fatti noti conosciuti”.

Qui molte certezze vengono meno e si può cadere nelle sabbie mobili dei “fatti ignoti conosciuti” o risucchiati nel gorgo dei “fatti ignoti sconosciuti”. Eh già…

Quando ti trovi davanti ad una persona apparentemente inanimata all’interno di uno spazio confinato, o sai di non sapere o sei spacciato.

Ed in molti casi, purtroppo, è la seconda a prevalere: se non sai di non sapere, non farai nemmeno nulla per difenderti. I fatti ignoti sconosciuti sono semplicemente le domande che non sono ancora state poste. L’assenza totale di percezione (in molti casi) di rischi all’interno degli spazi confinati, accompagnata con la mancanza di conoscenza dei rischi propri degli spazi confinati è un esempio tipico di quello che fanno i “fatti ignoti sconosciuti”.

Chi invece sa di non sapere, idealmente si astiene dall’entrare nello spazio confinato, ma non sa che fare. E qui entriamo in gioco noi.

Infatti, quando si supera la soglia dei “fatti noti conosciuti”, quello è il momento in cui ci vuole l’esperto. L’esperto fa proprio questo di mestiere: incrementa l’area dei fatti noti conosciuti. È in grado di fare valutazioni dei rischi complesse; ha competenze che gli permettono di sapere che certe cose esistono e che devono essere tenute in considerazione; ha un bagagliaio pieno zeppo di soluzioni.

Qual è il problema? L’errore dell’esperto.

Quello che Rumsfeld non ha detto è che ci sono anche i “fatti noti sconosciuti” (cioè: «Non so ciò che so»). Secondo me sono i peggiori, perché sono i più comuni, quella che ci sono sempre e non si vedono praticamente mai, se non quando qualcosa ne appalesa l’esistenza.

La cosa brutta, brutta è che sbagliamo con rigore e serietà, dato che quella è la nostra materia, l’abbiamo studiata, ci hanno chiamato anche per quello… Un “fatto noto sconosciuto” non è altro che un “fatto noto conosciuto” in cui non siamo riusciti (per vari motivi) ad usare tutte le nostre risorse per risolvere il problema (pensate a tutti quei compiti in classe di fisica in cui conoscevate la teoria, avevate inquadrato il problema, ma che avete risolto in modo errato. Semplicemente perché non avete considerato un elemento minuscolo ma essenziale nella traccia del problema, ma non ne siete stati consapevoli finché non avete visto la correzione del professore).

Sono quei fatti che abbiamo sotto gli occhi, ma di cui non cogliamo la rilevanza. E non possiamo usare ciò che sappiamo se gli elementi che analizziamo ci appaiono irrilevanti e dunque vengono scartati.

Il guaio è che, quando ci si incappa, prima che ci si accorga del problema per noi quelli sono “fatti noti conosciuti” e li trattiamo come tali.

Come dico sempre nei miei corsi di formazione sulla valutazione dei rischi: «Quando guardate una scaffalatura alta, dovete chiedervi “Dov’è la scala che serve a raggiungere i ripiani più alti?”».

Volete esempi di “fatti noti sconosciuti”?

11 settembre 2001 (sì, quello dell’attentato): se tutti gli arei fossero stati dotati di cabine di pilotaggio protette da porte blindate, tutto quello che sappiamo di quell’evento non sarebbe mai avvenuto. Attentatori armati di taglierino non sarebbero mai potuti entrare nel cock-pit, sopprimere i piloti e prendere il comando degli aerei.

Immaginate un modello causale lineare tipo “domino”: con una misura così semplice e a basso costo, avreste impedito che l’attentato dell’11 settembre 2001 avvenisse con le modalità che conoscete, Rumsfeld non avrebbe detto quella frase, avreste evitato un paio di guerre in medio oriente e qualche centinaio di migliaio di morti.

Questo è il fantastico mondo dei modelli causali lineari: basta mettere una barriera e le tessere di domino a valle restano in piedi.

Tuttavia, 14 anni dopo aver evitato il più grave attentato della storia moderna (cosa di cui, però, nessuno vi avrebbe ringraziato, non essendo mai accaduto), il copilota di un aereo di linea in volo tra Barcellona e Dusseldorf avrebbe usato la vostra porta per suicidare sé stesso, portandosi dietro, già che c’era, le 150 persone che si trovavano a bordo.

Fin qui è facile: l’analisi retrospettiva (hindsight bias) fa apparire tutto prevedibile e prevenibile.

Lascio ai risolutori particolarmente abili il compito di dimostrare mediante congetture come il ricorso alla presenza contemporanea e costante di almeno due piloti nella cabina di pilotaggio, ovvero la misura posta a difesa del ripetersi di eventi come quello appena su narrato, generi nuovi scenari incidentali.

Benvenuti nel magico mondo delle complessità, nel quale ogni soluzione genera nuovi problemi, la ridondanza aumenta la complessità e non si possono valutare e impedire tutti i rischi, dove gli errori sono latenti, dove causa ed effetto non sono lineari ed in cui il battito d’ali delle farfalle è preso molto sul serio.

Ecco, in conclusione, quello che per me è un altro dei grossi problemi degli approcci basati sulle valutazioni dei rischi, ovvero sulla conoscenza: a fronte di un solo modo di funzionamento che garantisca il successo e che consiste nel valutare bene i fatti noti conosciuti, ne abbiamo ben altri tre che possono danneggiarci e nei confronti dei quali possiamo fare poco o nulla.

Una farfalla ci seppellirà.

Butterfly effect

 

Pubblicato in: cultura della sicurezza, incidenti, valutazione dei rischi

La normalità degli incidenti

In un precedente post ho cercato di rappresentare alcuni limiti dell’attuale approccio prevenzionistico basato sulla valutazione dei rischi.

Come sappiamo, l’uso di questo strumento è stato introdotto dai recepimenti delle direttive comunitarie di fine anni ’80 come misura complementare alla prevenzione/protezione di natura puramente tecnologica che, storicamente, dalla rivoluzione industriale in poi, ha rappresentato il paradigma stesso di “sicurezza”.

Questa faccenda della valutazione dei rischi nasce da studi iniziati nella seconda parte degli anni ’70 che avevano evidenziato come molti incidenti che, a prima vista, sembravano avere natura tecnologica, in realtà nascondevano anche (o soprattutto) tutta una serie di fallimenti, errori, omissioni a livello organizzativo.

Ciò che ha solleticato l’interesse del legislatore comunitario è l’apparente, ovvia conclusione che, dopo aver attuato le misure tecnologicamente fattibili, se valuti i rischi rimanenti e ti organizzi adeguatamente, è praticamente impossibile che qualcosa possa andar male (e se qualcosa va male è, ovviamente, perché hai eseguito male qualcuno dei passaggi precedenti).

Su queste premesse è costruito l’intero paradigma della sicurezza del D.Lgs. n. 81/2008.

Ora, io sostengo con forza che questo approccio è totalmente insufficiente, velleitario, platonico e ci sta facendo spendere un mucchio di energie e risorse.

Se guardiamo le statistiche INAIL, in particolare le serie storiche di dati dal 1951 al 2010[1], mostrano come dal 1994 (anno di introduzione del D.Lgs n. 626/1994) il numero degli infortuni mortali e non mortali sia sì lentamente decresciuto, ma seguendo una tendenza già abbondantemente avviata in precedenza.

2

1

Analogamente dal 2008 (anno di introduzione del D.Lgs. n. 81/2008) al 2015.

3

4

Occorre inoltre tenere conto che:

  • Questi numeri sono assoluti, mentre si sarebbe dovuto analizzare il tasso infortunistico sul numero di ore lavorate, ma l’INAIL non fornisce questo dato (e io un po’ mi rompo a incrociarlo con le statistiche ISTAT);
  • Dal 2008 al 2015 il numero di ore lavorate si è ridotto drasticamente a causa della crisi economica. L’INAIL stessa afferma che questo spiega in parte la riduzione del numero di infortuni degli ultimi anni;
  • Non c’è mica solo la normativa ad essersi evoluta dal 1951 ad oggi, eh… anche la tecnologia, la consapevolezza e la cultura hanno fatto passi da giganti e possono contribuire a spiegare il trend infortunistico.

A mio avviso, pur non potendo trarre conclusioni definitive, ci sono forti elementi di dubbio sull’efficacia di questo approccio come arma finale nella lotta al fenomeno degli infortuni sul lavoro.

La questione è che tutta ‘sta faccenda è nata già vecchia perché, mentre varavano la direttiva comunitaria, altri approcci teorici tendevano a smontare questa rappresentazione platonica del rischio il cui principale difetto è quello di non tenere conto della complessità dei sistemi.

Nel 1984 Charles Perrow disegnò la Normal Accidents Theory che, in sostanza, afferma che, eventi apparentemente stupidi e errori/fallimenti non critici possono a volte interagire tra loro in modi totalmente inattesi, fino a produrre disastri. Egli arriva ad affermare che, in sistemi particolarmente complessi, l’incidente è sostanzialmente inevitabile (da cui la denominazione di incidente “normale”).

C’è un famoso grafico che, in funzione di due parametri che Perrow considera cruciali (interazione e connessione), permette di sapere dove si colloca un’ipotetica organizzazione rispetto alla sempre maggiore ineluttabilità dell’incidente (angolo in alto a destra).

3-Perrow-from-Accidents-Normal

La faccenda è che anche questo grafico (risalente all’edizione del 1984) dovrebbe essere aggiornato alla complessità crescente di oltre 30 anni di evoluzione tecnologica e organizzativa.

Oggi qualunque linea e processo di produzione si è spostato verso l’alto e verso destra.

Un cantiere odierno è abbondantemente nel quadrante 2, oggi molto più che in passato.

Ciò che rende sempre più normali gli incidenti è la sempre minore comprensione del funzionamento delle cose e dei sistemi da parte di chi lavora e di chi organizza e ciò a causa dell’incremento della complessità tecnologica (compreso l’uso l’uso di software) e organizzativa che fanno sì che gli incidenti siano il prodotto di persone normali che fanno lavori normali in organizzazione normali.

A valle dell’incidente, al contrario, tutto sarà spiegato ricorrendo alla rappresentazione di eventi eccezionali prodotti da scorrette decisioni determinate da errate valutazioni dei rischi.

La verità è che, con un approccio di tipo riduzionista possiamo anche mettere in sicurezza le singole parti di un sistema, ma non è detto che il sistema nel suo complesso sarà sicuro, poiché non si possono studiare, a causa della complessità, le interazioni tra le parti. Insistere sulla necessità di eliminare o ridurre tutti i rischi attraverso la loro valutazione non renderà la realtà più semplice e gli incidenti meno inevitabili.

 

 

[1] Purtroppo l’INAIL, dal 2010 in poi, ha modificato la modalità di aggregazione dei dati, per cui i grafici dal 1951 al 2010 e quello dal 2008 al 2015 non possono essere comparati, nemmeno come tendenze di andamento, ma devono essere analizzati separatamente