Pubblicato in: cultura della sicurezza, incidenti, miti della sicurezza

Affidabile ma non sicuro

AereodicartaIl tragico incidente aereo del Boeing 737 Max 8 della Ethiopian Airlines mette in discussione l’affidabilità del sistema e la sicurezza dei voli aerei.

Le cause dell’incidente non sono ancora note, ma trovo molto interessante discussione che ne è emersa perché, a mio avviso, si continua a ragionare secondo un paradigma che andrebbe superato.

Partiamo dalla distinzione tra «affidabilità» e «sicurezza».
Già, perché, nonostante in continuazione (anche su questo incidente) si tenda a considerare sicuri i sistemi affidabili, questo assioma non è vero.

Un sistema può essere affidabile ma non sicuro o sicuro ma non affidabile.

In generale, l’uno non implica l’altro.

È un argomento che ho anche accennato nel mio libro, ma qui vorrei meglio esplicitare alcuni concetti.

L’aereo precipitato era dotato di un sensore chiamato “Angle of attack” (“Angolo di attacco”, cioè l’angolo tra l’ala e la direzione relativa del vento) che invia ad un software input che permettono al sistema di correggere automaticamente il profilo del volo.

Se, semplicemente per ipotesi, venisse confermata la tesi secondo la quale il software avesse interpretato le indicazioni del sensore come una condizione di stallo (per un possibile errore nella scrittura del software), laddove il sensore non fosse stato guasto, il sistema avrebbe fatto proprio ciò per cui era stato progettato.
Se, per errore, dici ad un software di fare una certa cosa e quello poi la fa, non puoi prendertela con il software. Anche se quello che fa è indesiderato.
In poche parole, il sistema era affidabile, ma non sicuro.

Prendi adesso Chesley “Sully” Sullenberger, il celeberrimo pilota del Volo 1549 che salvò la vita dei passeggeri e dell’equipaggio facendo ammarare il suo aereo sul fiume Hudson a causa della perdita di un motore avvenuta, dubito dopo il decollo, a seguito dello scontro con uno stormo di oche.
Lì per lì, la commissione che indagava sull’accaduto voleva fargli il culo perché le procedure prevedevano che dovesse tornare all’aeroporto e non prendere la decisione, più rischiosa, di atterrare sull’acqua.
Solo dopo si dimostrò che, se avesse seguito le procedure, l’aereo sarebbe precipitato prima del rientro e che “affiumare” fu la decisione corretta.
Il comportamento del pilota fu, dunque, sicuro ma inaffidabile (non avendo seguito le procedure).

La questione non è solo che «sicurezza» e «affidabilità» sono due cose diverse, ma anche che agiscono a livelli diversi.

L’affidabilità è una proprietà del componente. Una valvola è affidabile e la sua affidabilità, intesa come il tempo medio che intercorre prima del fallimento, può essere testata in condizioni standard.

Nei sistemi complessi, invece, la sicurezza è una proprietà emergente del sistema (cioè qualcosa che non deriva dalle proprietà note dei componenti del sistema). Il singolo componente può anche non essere affidabile e, perfino, non sicuro, ma il comportamento complessivo del sistema può essere sicuro (è il caso dei sistemi fail safe progettato in modo che un malfunzionamento termini sempre in uno stato sicuro).

Nei sistemi complessi l’incidente non è generato solo da malfunzionamenti dei singoli componenti: tutto potrebbe funzionare correttamente, ma le interazioni tra i componenti potrebbero generare un incidente.

L’analisi degli incidenti si è sempre concentrata sui malfunzionamenti (sulle cause), ma le interazioni divengono sempre più rilevanti man mano che i sistemi si fanno complessi.
Più il sistema è complesso, più il malfunzionamento di un componente pressoché irrilevante potrebbe avere effetti catastrofici nella sua interazione con altre componenti.

E non è semplice prevedere tutti i possibili modi di interazione tra le componenti (es. Albero dei guasti) e gli effetti di tali interazioni perché ciò che può essere previsto, può essere progettato e la complessità non può essere progettata.
Ciò implicherebbe la sua concentrazione nella testa del progettista e, in questo caso, il sistema non sarebbe complesso ma semplicemente complicato.

Quando parlo di interazioni tra componenti, non mi riferisco solo a quelle tecnologiche. Il tutto è inserito all’interno di un sistema socio-tecnico più complesso del sistema aereo, che vede coinvolte:

  • Vincoli economici: scelte derivanti dagli obiettivi di profitto delle compagnie aeree che devono risparmiare carburante e uno dei vantaggi del Boeing 737 Max 8 era proprio quello;
  • Prestazioni umane: ogni modifica richiede l’aggiornamento della formazione del personale che con la modifica dovrà convivere (es. i piloti che devono sapere come bypassare il sistema di correzione automatica del profilo di volo). Ma questo significa aggiungere o modificare procedure consolidate, essere certi che le modifiche siano state recepite;
  • Requisiti di progettazione: difficilmente chi progetta un aereo sa scrivere un software e pilotare il velivolo. Così l’uno dà le specifiche all’altro. E il problema è spesso la completezza delle specifiche, non la correttezza del software;
  • componenti politiche: modifiche alle regole che gestiscono l’aviazione civile e che comportano continui aggiustamenti organizzativi e tecnologici che devono convivere con le esigenze di sicurezza, del mercato.

In tutto questo l’aereo deve anche volare.

Nei sistemi complessi, gli incidenti non possono essere descritti con una “catena di eventi”, ma sono generati dalle interazioni tra tutte le componenti socio-tecniche e dalla loro naturale tendenza a spostarsi verso stati di rischio più elevato per esplorare nuovi modi per ottimizzare le proprie prestazioni.

Il paradigma che cerca la spiegazione degli incidenti nelle cause deve essere superato e, con esso, i suoi proclami, come per esempio: «L’80% degli incidenti è causato dal fattore umano».

Bisogna andare oltre le cause e guardare ai meccanismi, smettendo di limitarsi ad osservare gli errori operativi o umani per concentrarsi, piuttosto, sui cambiamenti e le migrazioni del sistema verso stati di rischio maggiore.


V.I.P.S. (Very Important Post Scriptum)
È la prima volta che leggi questo blog?
Allora è probabile che ci ritornerai. Senti a me: ti conviene ricevere delle notifiche quando scriverò nuovi post.
Guarda in alto a destra, c’è la mia foto. Indipendentemente dal tuo sesso, resisti alla tentazione carnale e  guarda sotto, dove dice «Segui ottantunozerotto.it».
Se invece non era la prima volta che leggevi questo blog, allora lo vedi che c’avevo ragione? Fai come ti dico, senti a me…

 

 

Pubblicato in: cultura della sicurezza

La soluzione definitiva al problema della sicurezza sui luoghi di lavoro

Hai speso mostrilioni di euro in formazione e-learning ma i lavoratori continuano a fare come gli pare?
Nonostante la valutazione dei rischi, fatta col migliore software in circolazione, dica che il rischio sia accettabile ovunque, i lavoratori si ostinano a farsi male?
Sei convinto che almeno l’88% degli incidenti sia legato ad azioni insicure?

Ho quello che fa per te: la BBBS®!

Baseball Bat Based Safety®

Testato in Italia nella prima metà del secolo scorso su oppositori politici, minoranze etniche e altre eccezioni, l’introduzione della BBBS® nella tua azienda unirà l’efficacia e il basso costo del metodo alla soddisfazione derivante dalla sua applicazione.

Efficacia
Una sola randellata ben assestata sulla schiena dice più di 16 ore di formazione conforme ai requisiti dell’Accordo Stato-Regioni.
Considerata l’evoluzione delle più classiche tecniche comportamentali, è scientificamente provato che la somministrazione di massimo 3 sedute di BBBS® modifica il 98% dei comportamenti indesiderati.

Basso costo
Consulenti superpagati, modelli organizzativi, organismi di vigilanza saranno solo un ricordo.
Con soli 49,00 € ti porti a casa tutto quello che serve per l’applicazione della BBBS® (offerta valida per un solo utilizzatore):

BBBS

Con l’acquisto di 10 unità avrai uno sconto del 10% e la possibilità di partecipare ad un corso di addestramento per la somministrazione efficace del metodo BBBS®.

Soddisfazione
Diciamoci la verità: la compilazione dei moduli per la denuncia dei near-miss è deprimente, ti passa la voglia di “fare” sicurezza.
Al contrario, l’applicazione della BBBS® crea dipendenza nel somministratore, grazie alla immediata produzione di adrenalina e serotonina che gratificano la tua funzione di educatore. Non potrai più farne a meno!

La sicurezza nella tua azienda è una questione di impugnatura.

Non esitare a contattarmi.


Questo post è dedicato a coloro i quali pensano che esistano soluzioni semplici a problemi complessi.

Pubblicato in: cultura della sicurezza, incidenti, miti della sicurezza, valutazione dei rischi

1° mito: valutazione dei rischi, l’arte di cucinare la pasta all’amatriciana senza guanciale

«Ciò che è stato sarà
e ciò che si è fatto si rifarà;
non c’è niente di nuovo sotto il sole»
Ecclesiaste 1:9 

A partire da questo post parlerò di quelli che considero i miti della sicurezza.

Il primo mito, di cui ho già scritto in vari post, risiede nella volontà del legislatore di considerare la valutazione dei rischi la pietra angolare dell’intero sistema prevenzionistico, l’amuleto che ci difenderà dallo spettro dell’infortunio, l’agnello che toglie i peccati dal mondo.

Per chi si fosse perso le ultime puntate, la ragione per cui considero tale pretesa un mito, deriva dalla banale osservazione che dietro la definizione di rischio si nasconde il concetto di probabilità e l’atto della valutazione consiste, ancor più banalmente, nel determinare se un evento possa accadere o meno e, se sì,  con quale probabilità.

Ecco, appunto… intervenire o non intervenire; prevenire o proteggere; agire in tempi rapidi o tempi lunghi… tutte queste decisioni dipendono dalla nostra valutazione, che dipende dalle probabilità, la quale discende dal possesso e dalla conoscenza di dati storici. Solo di dati storici. Nient’altro.

E, anche ammesso che si abbiano questi dati, nulla si può dire rispetto a ciò che non ha precedenti.

Te lo dice anche l’Antico Testamento, nell’Ecclesiaste, di cui ho riportato un estratto all’inizio di questo post (sì, l’Ecclesiaste è quella roba di «C’è un tempo per nascere e un tempo per morire, ecc.»): tutto quello che accade è già accaduto in passato.

Sapevatelo!

Il problema è infatti questo: non abbiamo dati. Puoi raccogliere tutti i “near miss” che ti pare, continuerai a non avere dati. Nel mondo reale è così.

Così ci ritroviamo una norma che ci impone di fare una valutazione dei rischi e ci dà una definizione di rischio che discende dal concetto di probabilità ma, pur con tutto l’impegno di questo mondo, manca l’ingrediente fondamentale: la conoscenza della probabilità.

Fattela te la pasta all’amatriciana senza guanciale.

Ma se venissi autorizzato ad usare la salsiccia, mi dico:

  1. Mi hanno chiesto di fare pasta all’amatriciana
  2. Non ho guanciale, solo salsiccia,
  3. Questi qui non hanno precedenti; non hanno mai mangiato pasta all’amatriciana,
  4. la salsiccia, in fondo, sempre maiale è,
  5. il protocollo europeo della pasta all’amatriciana consente di sostituire il guanciale con la salsiccia, anche se il guanciale è fortemente consigliato,
  6. ci metto molto pecorino e così la butto in caciara,

alla fine la maggior parte non si lamenta, anzi si abitua a quel gusto.

Perché questo è quello che succede nella realtà di tutti i giorni: la valutazione dei rischi che viene servita non è nient’altro che un mito, un piatto la cui ricetta è stata stravolta secondo le attitudini soggettive del cuoco a causa della carenza di ingredienti. È come il parmisan venduto in Olanda, la mozzarella che si mangiano in Inghilterra, il vino in polvere bevuto in Finlandia. Sono dei miti, delle credenze credibili. Ti danno l’illusione di stare mangiando il prodotto originale, mentre invece ti stai nutrendo della sua narrazione, del racconto di ciò che è il concetto di parmigiano, mozzarella o vino.

La P inserita nel calcolo PxD del rischio è salsiccia, non è guanciale. La valutazione del rischio, non è amatriciana ma pasta con la salsiccia ed il pecorino.

Chi è che alimenta il mito?

  1. La comunità europea e gli stati membri che basano tutto il sistema prevenzionistico sulla valutazione del rischio (no, non sono favorevole all’uscita dalla UE);
  2. Modelli teorici come la “Domino theory” di Heinrich o il “Swiss Cheese Model” di Reason che, utilizzati a valle di un incidente per la sua analisi, generano questa strana impressione di linearità tra causa ed effetto che rende tutto prevedibile e, conseguentemente, prevenibile;
  3. La rarità degli incidenti e l’impossibilità di affermare con certezza se essi non accadono perché noi stiamo impedendo che accadano o se, semplicemente, non accadono per i fatti loro;

Su queste basi, io posso affermare di essere il maggior esperto al mondo in fatto di terremoti. Ho, tra l’altro, scoperto un metodo che mi consente di sapere, con un giorno di anticipo, se ci sarà o meno un terremoto di grado superiore al 6° della scala Richter. Tranquilli, oggi non ci sarà nessun terremoto 🙂

Se il mio racconto fosse sufficientemente credibile, se io fossi sufficientemente credibile grazie al pubblico riconoscimento delle autorità circa la validità del mio metodo, le mie valutazioni lo sarebbero altrettanto. Molto probabilmente, in effetti, il 1° giorno il terremoto non accadrebbe. E nemmeno il 2°, il 3° e così via…

La credibilità circa la prevedibilità dei terremoti, si autoalimenterebbe. Proseguendo la narrazione, potrebbero passare anni prima del verificarsi di un terremoto di grado superiore alla mia soglia di rilevabilità.

Se dovesse accadere, è inutile che ve la prendiate con me: io, in realtà, ho avuto ragione il 99% del tempo.

E infatti, praticamente nessuno si lamenta dell’amatriciana con la salsiccia.

 

Pubblicato in: cultura della sicurezza, incidenti, valutazione dei rischi

Una farfalla ci seppellirà

Nel 1684 E. Halley (sì, quello della cometa, tra le altre cose) andò a Cambridge per parlare con I. Newton (sì, quello delle leggi della dinamica, tra le altre cose) di una cosetta su cui si era fissato e quando ti fissi è brutto.

Tutto era iniziato una sera al pub. Halley e R. Hooke (sì, quello della legge sulla forza elastica, tra le altre cose) accettarono una scommessa su chi sarebbe stato il primo a trovare la legge matematica che descrive il moto dei pianeti intorno al sole (chi non fa scommesse del genere al pub con gli amici?) postulato da Keplero.

Hooke sosteneva di conoscere già la risposta, ma era quel tipo di amici ai quali devi sempre fare la tara di ciò che ti raccontano (ed infatti, non tira fuori la soluzione).

Siccome non riusciva a venirne a capo, Halley va a parlarne a Newton (ricorre cioè all’aiuto a casa… Di Newton), nella speranza che quello potesse dargli qualche dritta, un po’ di polvere puffa, suggerirgli una magicabula per vincere la scommessa e farsi il grosso con Hooke.

Qui viene il bello… inizia a parlarne a Newton e quello fa: «Ah sì, quella faccenda… L’ho risolta 5 anni fa! C’ho le carte qui, da qualche parte sulla scrivania!».

Newton aveva già risolto il problema del moto dei corpi in orbita (senza il quale oggi non avremmo le leggi della dinamica e quella di gravitazione universale, il calcolo infinitesimale e tante altre cosette utili), ma non avendo pubblicato nulla era come se tutto ciò non fosse mai accaduto (se non per Newton).

Facciamo un salto di quasi tre secoli. Siamo nel 2002 ad una conferenza stampa e il segretario della difesa statunitense D. Rumsfeld, alla domanda su legami tra governo iracheno e armi di distruzione di massa e terrorismo, risponde:

“Ci sono fatti noti conosciuti, le cose che sappiamo di sapere. Ci sono fatti ignoti conosciuti, vale a dire le cose che ora sappiamo di non sapere. Ma ci sono anche fatti ignoti sconosciuti, le cose che non sappiamo di non sapere.”

Considerando che l’Iraq non aveva armi di distruzione di massa, che lui lo sapeva e che doveva intortarla, per questa frase Rumsfeld ha vinto il premio Antani D’oro che la Fondazione Conte Mascetti assegna a chiunque riesca a giustificare una guerra con una supercazzola.

Ora, però, fermatevi un attimo a rileggere quello che ha detto Rumsfeld. Scoprirete che una bella fetta di epistemologia è racchiusa là dentro.

Per esempio, mentre per Halley la legge matematica che descriveva il moto delle orbite dei pianeti era un “fatto ignoto conosciuto” (cioè: «So cosa non so»), la stessa cosa non si poteva dire di Newton per il quale la medesima legge era un “fatto noto conosciuto” (cioè: «So cosa so»).

Quando facciamo una valutazione dei rischi, noi valutiamo solo i “fatti noti conosciuti”. Considerando che la maggioranza dei “fatti noti” è “conosciuta” ai più, non serve un vero esperto: quasi tutti sono in gradi di rendersi conto se c’è un rischio di caduta dall’alto o di natura meccanica o elettrica, ecc.

Una percentuale piuttosto elevata del lavoro di Consulente per la sicurezza lo potrebbe fare chiunque abbia un po’ di esperienza nel campo specifico in cui il consulente sta consigliando.

Le cose cambiano quando si supera il variabile confine dei “fatti noti conosciuti”.

Qui molte certezze vengono meno e si può cadere nelle sabbie mobili dei “fatti ignoti conosciuti” o risucchiati nel gorgo dei “fatti ignoti sconosciuti”. Eh già…

Quando ti trovi davanti ad una persona apparentemente inanimata all’interno di uno spazio confinato, o sai di non sapere o sei spacciato.

Ed in molti casi, purtroppo, è la seconda a prevalere: se non sai di non sapere, non farai nemmeno nulla per difenderti. I fatti ignoti sconosciuti sono semplicemente le domande che non sono ancora state poste. L’assenza totale di percezione (in molti casi) di rischi all’interno degli spazi confinati, accompagnata con la mancanza di conoscenza dei rischi propri degli spazi confinati è un esempio tipico di quello che fanno i “fatti ignoti sconosciuti”.

Chi invece sa di non sapere, idealmente si astiene dall’entrare nello spazio confinato, ma non sa che fare. E qui entriamo in gioco noi.

Infatti, quando si supera la soglia dei “fatti noti conosciuti”, quello è il momento in cui ci vuole l’esperto. L’esperto fa proprio questo di mestiere: incrementa l’area dei fatti noti conosciuti. È in grado di fare valutazioni dei rischi complesse; ha competenze che gli permettono di sapere che certe cose esistono e che devono essere tenute in considerazione; ha un bagagliaio pieno zeppo di soluzioni.

Qual è il problema? L’errore dell’esperto.

Quello che Rumsfeld non ha detto è che ci sono anche i “fatti noti sconosciuti” (cioè: «Non so ciò che so»). Secondo me sono i peggiori, perché sono i più comuni, quella che ci sono sempre e non si vedono praticamente mai, se non quando qualcosa ne appalesa l’esistenza.

La cosa brutta, brutta è che sbagliamo con rigore e serietà, dato che quella è la nostra materia, l’abbiamo studiata, ci hanno chiamato anche per quello… Un “fatto noto sconosciuto” non è altro che un “fatto noto conosciuto” in cui non siamo riusciti (per vari motivi) ad usare tutte le nostre risorse per risolvere il problema (pensate a tutti quei compiti in classe di fisica in cui conoscevate la teoria, avevate inquadrato il problema, ma che avete risolto in modo errato. Semplicemente perché non avete considerato un elemento minuscolo ma essenziale nella traccia del problema, ma non ne siete stati consapevoli finché non avete visto la correzione del professore).

Sono quei fatti che abbiamo sotto gli occhi, ma di cui non cogliamo la rilevanza. E non possiamo usare ciò che sappiamo se gli elementi che analizziamo ci appaiono irrilevanti e dunque vengono scartati.

Il guaio è che, quando ci si incappa, prima che ci si accorga del problema per noi quelli sono “fatti noti conosciuti” e li trattiamo come tali.

Come dico sempre nei miei corsi di formazione sulla valutazione dei rischi: «Quando guardate una scaffalatura alta, dovete chiedervi “Dov’è la scala che serve a raggiungere i ripiani più alti?”».

Volete esempi di “fatti noti sconosciuti”?

11 settembre 2001 (sì, quello dell’attentato): se tutti gli arei fossero stati dotati di cabine di pilotaggio protette da porte blindate, tutto quello che sappiamo di quell’evento non sarebbe mai avvenuto. Attentatori armati di taglierino non sarebbero mai potuti entrare nel cock-pit, sopprimere i piloti e prendere il comando degli aerei.

Immaginate un modello causale lineare tipo “domino”: con una misura così semplice e a basso costo, avreste impedito che l’attentato dell’11 settembre 2001 avvenisse con le modalità che conoscete, Rumsfeld non avrebbe detto quella frase, avreste evitato un paio di guerre in medio oriente e qualche centinaio di migliaio di morti.

Questo è il fantastico mondo dei modelli causali lineari: basta mettere una barriera e le tessere di domino a valle restano in piedi.

Tuttavia, 14 anni dopo aver evitato il più grave attentato della storia moderna (cosa di cui, però, nessuno vi avrebbe ringraziato, non essendo mai accaduto), il copilota di un aereo di linea in volo tra Barcellona e Dusseldorf avrebbe usato la vostra porta per suicidare sé stesso, portandosi dietro, già che c’era, le 150 persone che si trovavano a bordo.

Fin qui è facile: l’analisi retrospettiva (hindsight bias) fa apparire tutto prevedibile e prevenibile.

Lascio ai risolutori particolarmente abili il compito di dimostrare mediante congetture come il ricorso alla presenza contemporanea e costante di almeno due piloti nella cabina di pilotaggio, ovvero la misura posta a difesa del ripetersi di eventi come quello appena su narrato, generi nuovi scenari incidentali.

Benvenuti nel magico mondo delle complessità, nel quale ogni soluzione genera nuovi problemi, la ridondanza aumenta la complessità e non si possono valutare e impedire tutti i rischi, dove gli errori sono latenti, dove causa ed effetto non sono lineari ed in cui il battito d’ali delle farfalle è preso molto sul serio.

Ecco, in conclusione, quello che per me è un altro dei grossi problemi degli approcci basati sulle valutazioni dei rischi, ovvero sulla conoscenza: a fronte di un solo modo di funzionamento che garantisca il successo e che consiste nel valutare bene i fatti noti conosciuti, ne abbiamo ben altri tre che possono danneggiarci e nei confronti dei quali possiamo fare poco o nulla.

Una farfalla ci seppellirà.

Butterfly effect

 

Pubblicato in: cultura della sicurezza, incidenti, valutazione dei rischi

La normalità degli incidenti

In un precedente post ho cercato di rappresentare alcuni limiti dell’attuale approccio prevenzionistico basato sulla valutazione dei rischi.

Come sappiamo, l’uso di questo strumento è stato introdotto dai recepimenti delle direttive comunitarie di fine anni ’80 come misura complementare alla prevenzione/protezione di natura puramente tecnologica che, storicamente, dalla rivoluzione industriale in poi, ha rappresentato il paradigma stesso di “sicurezza”.

Questa faccenda della valutazione dei rischi nasce da studi iniziati nella seconda parte degli anni ’70 che avevano evidenziato come molti incidenti che, a prima vista, sembravano avere natura tecnologica, in realtà nascondevano anche (o soprattutto) tutta una serie di fallimenti, errori, omissioni a livello organizzativo.

Ciò che ha solleticato l’interesse del legislatore comunitario è l’apparente, ovvia conclusione che, dopo aver attuato le misure tecnologicamente fattibili, se valuti i rischi rimanenti e ti organizzi adeguatamente, è praticamente impossibile che qualcosa possa andar male (e se qualcosa va male è, ovviamente, perché hai eseguito male qualcuno dei passaggi precedenti).

Su queste premesse è costruito l’intero paradigma della sicurezza del D.Lgs. n. 81/2008.

Ora, io sostengo con forza che questo approccio è totalmente insufficiente, velleitario, platonico e ci sta facendo spendere un mucchio di energie e risorse.

Se guardiamo le statistiche INAIL, in particolare le serie storiche di dati dal 1951 al 2010[1], mostrano come dal 1994 (anno di introduzione del D.Lgs n. 626/1994) il numero degli infortuni mortali e non mortali sia sì lentamente decresciuto, ma seguendo una tendenza già abbondantemente avviata in precedenza.

2

1

Analogamente dal 2008 (anno di introduzione del D.Lgs. n. 81/2008) al 2015.

3

4

Occorre inoltre tenere conto che:

  • Questi numeri sono assoluti, mentre si sarebbe dovuto analizzare il tasso infortunistico sul numero di ore lavorate, ma l’INAIL non fornisce questo dato (e io un po’ mi rompo a incrociarlo con le statistiche ISTAT);
  • Dal 2008 al 2015 il numero di ore lavorate si è ridotto drasticamente a causa della crisi economica. L’INAIL stessa afferma che questo spiega in parte la riduzione del numero di infortuni degli ultimi anni;
  • Non c’è mica solo la normativa ad essersi evoluta dal 1951 ad oggi, eh… anche la tecnologia, la consapevolezza e la cultura hanno fatto passi da giganti e possono contribuire a spiegare il trend infortunistico.

A mio avviso, pur non potendo trarre conclusioni definitive, ci sono forti elementi di dubbio sull’efficacia di questo approccio come arma finale nella lotta al fenomeno degli infortuni sul lavoro.

La questione è che tutta ‘sta faccenda è nata già vecchia perché, mentre varavano la direttiva comunitaria, altri approcci teorici tendevano a smontare questa rappresentazione platonica del rischio il cui principale difetto è quello di non tenere conto della complessità dei sistemi.

Nel 1984 Charles Perrow disegnò la Normal Accidents Theory che, in sostanza, afferma che, eventi apparentemente stupidi e errori/fallimenti non critici possono a volte interagire tra loro in modi totalmente inattesi, fino a produrre disastri. Egli arriva ad affermare che, in sistemi particolarmente complessi, l’incidente è sostanzialmente inevitabile (da cui la denominazione di incidente “normale”).

C’è un famoso grafico che, in funzione di due parametri che Perrow considera cruciali (interazione e connessione), permette di sapere dove si colloca un’ipotetica organizzazione rispetto alla sempre maggiore ineluttabilità dell’incidente (angolo in alto a destra).

3-Perrow-from-Accidents-Normal

La faccenda è che anche questo grafico (risalente all’edizione del 1984) dovrebbe essere aggiornato alla complessità crescente di oltre 30 anni di evoluzione tecnologica e organizzativa.

Oggi qualunque linea e processo di produzione si è spostato verso l’alto e verso destra.

Un cantiere odierno è abbondantemente nel quadrante 2, oggi molto più che in passato.

Ciò che rende sempre più normali gli incidenti è la sempre minore comprensione del funzionamento delle cose e dei sistemi da parte di chi lavora e di chi organizza e ciò a causa dell’incremento della complessità tecnologica (compreso l’uso l’uso di software) e organizzativa che fanno sì che gli incidenti siano il prodotto di persone normali che fanno lavori normali in organizzazione normali.

A valle dell’incidente, al contrario, tutto sarà spiegato ricorrendo alla rappresentazione di eventi eccezionali prodotti da scorrette decisioni determinate da errate valutazioni dei rischi.

La verità è che, con un approccio di tipo riduzionista possiamo anche mettere in sicurezza le singole parti di un sistema, ma non è detto che il sistema nel suo complesso sarà sicuro, poiché non si possono studiare, a causa della complessità, le interazioni tra le parti. Insistere sulla necessità di eliminare o ridurre tutti i rischi attraverso la loro valutazione non renderà la realtà più semplice e gli incidenti meno inevitabili.

 

 

[1] Purtroppo l’INAIL, dal 2010 in poi, ha modificato la modalità di aggregazione dei dati, per cui i grafici dal 1951 al 2010 e quello dal 2008 al 2015 non possono essere comparati, nemmeno come tendenze di andamento, ma devono essere analizzati separatamente