AIRMANSHIP ONLINE

Da Chernobyl a Linate

Incidenti tecnologici o errori organizzativi?

Questo è il titolo del libro di Maurizio Catino, dell'Istituto di Ricerca intervento sui Sistemi Organizzativi (IRSO) di Milano, docente di sociologia delle professioni e dell'impresa presso la Facoltà di Sociologia dell'Università di Milano-Bicocca.

Quello che ha attirato la nostra attenzione è stata la domanda del sottotitolo perché ad essa stiamo rispondendo da tempo su questo sito indicando nell'organizzazione la fonte dei fattori causali dei disastri nei sistemi industriali.

Nello sfogliare le pagine del libro abbiamo costatato come l'autore giunga ad analoga risposta e non poteva essere altrimenti dato che egli illustra teorie, argomenti ed incidenti che ben conosciamo e che abbiamo trattato sul sito e sul nostro libro "La Strategia del Margine".

Abbiamo anche costatato che in bibliografia è citato "La Strategia del Margine" ed il sito airmanshiponline.com; questo ci conferma nella convinzione di aver individuato correttamente nella diffusione culturale lo strumento primario per gestire i rischi delle tecnologie avanzate e le pressioni economiche che si sviluppano attorno ad esse e nei sistemi industriali che le utilizzano.

Maurizio Catino illustra le teorie che hanno rivelato le modalità di errore degli operatori umani nei sistemi ad alta potenzialità lesiva, cioé quei sistemi capaci di arrecare danni ingenti alla popolazione o all'ambiente.

Chi agisce sulla linea di produzione, pressato dal tempo, condizionato dal contesto sociale, soggetto a limitazioni psicologiche e fisiologiche, può incorrere in un "semplice" lapsus o in una serie di sviste a catena che possono essere la scintilla che fa esplodere una miscela predisposta da altri, lontano dal luogo del disastro. Questi luoghi sono generalmente uffici eleganti, con scrivanie enormi [e vuote, al massimo un display LCD per le quotazioni di borsa], oppure sale ove si riuniscono comitati o commissioni di vario tipo in cui i partecipanti, a volte ignari (se non incompetenti) dell'importanza dei temi in discussione, spesso attenti agli immancabili "interessi di parte", macinano aria per ore "costruendo percorsi preferenziali" per traiettorie di sviluppo degenerativo del sistema che dovrebbero governare.

Un quadro che ricorda l'asserzione di Bruggink? Certamente, ed anche Maurizio Catino la riferisce nel suo libro.

Abbiamo ripreso dal libro di Catino un passaggio che può far comprendere il livello degli argomenti.

1.Teorie sulle cause degli incidenti: tre approcci.

1.3.2. La Normal Accident Theory (pag. 34)

Tra i modelli organizzativi e socio-tecnici, la Normal Accidents Theory (NAT) si distingue per essere una teoria sostanzialmente "pessimistica" sui rischi derivanti dall'uso delle tecnologie pericolose nelle società moderne.

Questa situazione di pericolo costante non potrebbe essere ridotta da continui sforzi per migliorare la sicurezza e l'affidabilità in quanto gli incidenti sono il "normale" risultato di caratteristiche intrinseche dei sistemi tecnologici.

Gravi accidents nelle organizzazioni che gestiscono tecnologie pericolose potrebbero essere rari ma inevitabili nel tempo e il credere che una migliore progettazione e un management più attento possano migliorare la sicurezza di queste organizzazioni risulta essere una illusione secondo questa prospettiva.

L'autore principale di questa teoria è il sociologo americano Charles Perrow che in un libro del 1984, Normal Accidents: Living with High‑Risk Technologies, presentò le sue tesi sui sistemi organizzativi ad alto rischio come i sistemi aerei, gli impianti nucleari, le industrie petrolchimiche ecc., giungendo a conclusioni pessimistiche sulle possibilità di evitare definitivamente gli incidenti gravi in questi sistemi tecnologicamente complessi.

Vediamo più in profondità le caratteristiche di questa teoria.

Interazioni complesse e lineari. Secondo Perrow la propensione agli incidenti deriverebbe dalla complessità interattiva ovvero dal fatto che questi sistemi organizzativi sono composti da un numero elevato di componenti che possono interagire tra loro in modo inatteso e incontrollabile e, in caso di guasti e malfunzionamenti, queste interazioni potrebbero aumentare di intensità: «questa tendenza interattiva è una caratteristica di un sistema, non di una parte o di un operatore; noi chiameremo questa la complessità interattiva di un sistema» (Perrow, 1984, P. 4).

La complessità interattiva è una misura non di una parte o segmento di un sistema o di un certo numero di sub-unità che sono presenti in esso, ma è piuttosto il modo nel quale le parti sono connesse e interagiscono.

Le interazioni complesse sono quelle sequenze non conosciute, non pianificate, non previste, non visibili o non immediatamente comprensibili per gli operatori. Questa tipologia di interazioni si contrappone alle interazioni lineari che sono invece una tipologia di interazioni attese e conosciute, ben visibili anche se non pianificate. Un esempio di interazione lineare è la linea di assemblaggio di automobili, dove, seppur in presenza di multipli componenti, la produzione è articolata in fasi distinte e separate tra di loro e il processo di produzione è ben visibile e comprensibile dalle persone. In caso di incidenti, l'analisi e la rilevazione sono agevoli in funzione della visibilità del processo stesso. Le interazioni semplici sono appunto semplici nel senso che sono facilmente comprensibili.

Nessuna di queste caratteristiche è rintracciabile in un impianto nucleare. Le diverse componenti del processo di produzione nucleare sono strettamente connesse tra loro e molti aspetti del processo fisico non sono ancora, dopo molti anni, completamente noti. Infine va ricordato che gli operatori non possono osservare direttamente tutte le componenti coinvolte nel processo di produzione.

Connessione lasca e stretta. La seconda caratteristica strutturale di un certo tipo di sistemi tecnologici è data dal tipo di legami definiti come tight coupling (connessione stretta) e loose coupling (connessione lasca). In quest'ultimo caso, i legami che connettono le diverse parti di un'organizzazione sono laschi e consentono alle parti di variare in modo indipendente al variare delle altre componenti. Nel caso di un sistema tight coupling, invece, si verificano quattro situazioni particolari.

1. I sistemi tight coupled hanno processi più dipendenti dal tempo, nel senso che le interazioni avvengono rapidamente (come ad esempio in un impianto chimico) e non è prevista una fase di stand‑by.

2. Le sequenze di produzione sono invarianti. B segue sempre A perché vi è solo un determinato modo, in questi sistemi, di fare il prodotto.

3. I congegni di sicurezza, la ridondanza, i cuscinetti tra le parti di un processo di produzione, sono largamente limitati da ciò che è stato pianificato e progettato nel sistema. Ci sono poche possibilità di improvvisare quando qualcosa non va come atteso. Vanno previsti quindi adeguati meccanismi per la sicurezza, costruiti all'interno del sistema.

4. Infine, questi sistemi hanno poco slack (risorse in eccesso) poiché le quantità devono essere precise e le risorse non possono essere sostituite con altre.

Se collochiamo le due variabili (interazione e connessione) in una tabella, otteniamo quattro tipologie diverse di organizzazioni, come si evince dalla FIG. 1.4.

Le organizzazioni che sono più orientate a generare dei Normal Accidents sono quelle posizionate nel quadrante due della figura. Esse sono appunto caratterizzate da interazioni complesse e da connessione stretta. In queste tipologie di organizzazioni i disastri accadono per cause strutturali dovute al fatto che il numero elevato di componenti può interagire in modo incontrollato ed eventuali disturbi si possono propagare in tempi assai brevi rendendo impossibile una loro efficace regolazione.

Da ciò deriva che «né una migliore organizzazione né innovazioni tecnologiche sembrano capaci di ridurre la probabilità di incidenti sistemici nella maggior parte dei sistemi» (Perrow, 1984, P. 5). Le possibilità di miglioramento di questi sistemi sono quindi remote in quanto queste organizzazioni non apprendono dagli incidenti poiché i feedback che derivano dalle esperienze sono ambigui, l'apprendimento organizzativo si realizza in contesti ad alta politicizzazione e a bassa trasparenza, i reports sugli accadimenti sono basati sul "capro espiatorio" e non sono fedeli, la segretezza che avvolge questi sistemi infine rende difficile l'apprendere dai disastri accaduti in altri contesti.

In funzione di questi elementi, Perrow sostiene (in questo la sua è anche una teoria "politica") che, poiché il pericolo risiede nel sistema e non in una componente, alcuni sistemi debbano essere abbandonati, altri fortemente controllati e ridotti nella loro diffusione ed altri infine parzialmente tollerati e migliorati. Utilizzando due variabili decisionali come il costo delle alternative e il potenziale catastrofico, Perrow (1984, P.304) raggruppa le diverse tecnologie ad alto rischio in tre classi.

«La prima classe di tecnologie comprende le centrali nucleari e le armi nucleari. In questi casi, le conseguenze degli incidenti (normali appunto perché determinati dalla configurazione strutturale) sarebbero così catastrofiche che è preferibile evitare del tutto queste tecnologie. I secondi (quelli da controllare e ridurre) comprendono il trasporto marittimo (le petroliere) e gli esperimenti sul DNA. Queste tecnologie possono svolgere una funzione importante per il più ampio sistema sociale ed è quindi possibile migliorarne il controllo ma, al tempo stesso, limitarne la diffusione. Infine la terza classe di sistemi è rappresentata dal trasporto aereo, dagli impianti chimici, dalle miniere, ecc. Questi sistemi possono essere migliorati e cambiati, ma non abbandonati poiché la loro funzione è fondamentale per una società più ampia.»

Un secondo autore che ha ripreso alcuni degli assunti della teoria di Perrow è Scott. D. Sagan, che con il suo libro The Limits of Safety (1993) ha ampliato e confrontato la teoria di Perrow con le successive elaborazioni teoriche sviluppatesi nel tempo. La teoria di Perrow rispetto alle altre teorie che affronteremo, si presenta più "pessimistica" ma anche più "strutturale" e più "politica". Più strutturale perché Perrow individua alcune caratteristiche intrinseche dei sistemi tecnologici complessi (la complessità interattiva e la trasmissione incontrollata), caratteristiche strutturali appunto che ne determinano le condizioni perenni di insicurezza. E' una teoria più politica delle altre perché evidenzia gli interessi confliggenti sia all'interno delle organizzazioni, sia tra le organizzazioni e la comunità politica più ampia.

L'aspetto più originale di questa teoria è che essa si focalizza sulle proprietà di un sistema piuttosto che sugli errori che singoli operatori possono compiere. Gli incidenti non avrebbero origine quindi solo da una perdita di attenzione, da un errore umano, dalla formazione inadeguata del personale, da cause tecniche ecc., ma da una serie di proprietà sistemiche che renderebbero ineluttabile l'incidente.

Nel capitolo 2 Maurizio Catino illustra alcuni disastri che più di altri, grazie ad un processo di investigazione e di analisi approfondito, hanno permesso di ricostruire le cause organizzative dell'incidente.

Dall'incidente nucleare di Three Mile Island avvenuto nel marzo 1979 ad Harrisburg (Pennsylvania) al disastro di Chernobyl in Ucraina dell'aprile 1986.

L'autore non manca di descrivere l'incidente aereo di Tenerife del marzo 1977 di cui abbiano già fornito un'analisi in questo sito in una edizione del 1999.

Un'analisi di incidenti nel trasporto in Italia comprende un resoconto molto dettagliato del problema che si manifestò nella circolazione ferroviaria nel tratto Parma-La Spezia.

Non poteva mancare, quindi, l'analisi dell'evento di Linate che l'Autore considera emblematico, un vero caso di studio, a conferma delle teorie di causalità e dell'esistenza di un enorme baratro culturale da superare per gestire in sicurezza il sistema aviazione in Italia.

3. Normal Accident nel trasporto in Italia?

3.2.3. Alcune conclusioni (pag. 119)

Il disastro di Linate ha origine da un errore involontario da parte dei piloti del Cessna, i quali hanno confuso un raccordo per un altro. Dunque l'incidente di Linate è il risultato di un errore: ma se è vero che le persone nelle organizzazioni commettono errori, è altrettanto vero che questi errori sono socialmente organizzati e sistematicamente prodotti (Vaughan, 1996). Per questo dobbiamo parlare di errori organizzativi. Dall'analisi, emergono quattro conclusioni principali.

Una prima conclusione porta ad affermare che la causa del disastro vada ricercata nell'errore commesso dai piloti del Cessna, ma come abbiamo visto quest'errore si innesta in una situazione caratterizzata da molteplici falle latenti e difetti di funzionamento e da una situazione gestionale della sicurezza caratterizzata da superficialità e assenza di coordinamento tra gli enti preposti al compito. Linate era un error-inducing system (Perrow, 1999), come ha evidenziato l'analisi dei numerosi elementi critici latenti. Nessuno di questi, preso singolarmente, determina l'incidente, ma l'interazione tra i diversi elementi può generare una configurazione critica che mina le condizioni di sicurezza. L'incidente è accaduto perché le condizioni di pericolo hanno superato le diverse difese del sistema organizzativo di Linate, a causa sia degli errori attivi che dei preesistenti fattori latenti.

Una seconda conclusione attiene all'incapacítà di questo sistema di apprendere dai segnali di pericolo. Ciò che diventa importante capire non è soltanto i perché dell'íncidente tecnologico ma l'incapacità dei diversi attori coinvolti nel prendere atto dei segnali di pericolo e del fallace stato di sicurezza del sistema.

Segnali precedenti sia ufficiali che informali, assieme ad una diffusa percezione di qualcosa di insicuro, erano presenti prima del disastro ma tutto ciò non si è tradotto in nessuna azione migliorativa. Si può dire che si è trattato di un disastro annunciato in quanto esso è l'esito di un "periodo di incubazione" durante il quale nessun rimedio è stato attuato nonostante i segnali di pericolo e la consapevolezza di alcune falle nel sistema di sicurezza.

Una situazione che Turner (1976) ha chiamato fallimento della previsione, ovvero l'incapacità dei membri dei diversi enti coinvolti (ENAV, ENAC, SEA, compagnie aeree, associazioni dei piloti ed altri ancora) di prendere consapevolezza piena e individuare le diverse falle latenti presenti nel sistema e eliminarle. Siamo in presenza di errori e difficoltà nelle comunicazioni con eventi inosservati o fraintesi a causa di assunzioni errate (come interpretazioni tranquillizzanti), di difficoltà nella gestione delle informazioni sia a causa di un sistema di knowledge management assente che dei molteplici attori coinvolti.

Questi fenomeni di "miopia" (Turner, Pidgeon, 1997) e di "sordità" organizzativa (Baldissera, 1998) ai segnali precedenti derivano anche dallo specifico task da compiere, dal fatto che gli operatori agiscono in una situazione di accettabilità del rischio e di controllo di agibilità del volo: in questa situazione il rischio ineliminabile è trasformato, attraverso progressivi adeguamenti mentali e organizzativi taciti, in rischio residuale e accettabile. Il sistema rimane inerziale sia perché non sono chiare le responsabilità di chi deve agire per mutare le condizioni, sia perché gli operatori, per garantire il funzionamento, si fanno carico di queste debolezze compensando con una loro maggiore attenzione che, però, talvolta può collassare. Questo percorso porta ad una normalizzazione della devianza (Vaughan, 1996) per cui i segnali premonitori o la percezione che qualcosa non vada sono ridotti e assorbiti nella routine quotidiana.

Una terza conclusione riguarda la rete di attori coinvolti: si è trattato di un incidente interorganizzativo o incidente reticolare. Un elemento importante emerso dall'analisi riguarda infatti le relazioni tra la rete di attori e i rapporti non chiari tra organizzazioni controllanti e organizzazioni controllate.

Diane Vaughan (1990), a proposito del disastro del Challenger, aveva messo in evidenza come potessero essere fallaci questi rapporti tra le organizzazioni che erogano il servizio e quelle che sono dedicate al controllo e alla sicurezza. Tale difficoltà deriva, oltre che da fattori quali le dimensioni, la complessità, la specializzazione, i linguaggi specifici, anche dal rapporto tra autonomia degli enti e interdipendenza. Ne consegue che le organizzazioni controllanti si basano sulle informazioni derivanti dalle controllate compromettendo la funzione prevista e rendendo difficile scorgere le anomalie e i segnali di pericolo. Nel caso del disastro di Linate siamo in una situazione in cui non sono chiare le responsabilità dei diversi attori (come il rimpallo apparso sui giornali sulle relative competenze ha evidenziato).

Esistono delle zone d'ombra o aree cuscinetto, ovvero delle aree di attività non presidiate da nessuno o su cui non c'è una chiara responsabilità, come ad esempio la manutenzione della segnaletica e l'apposizione di nuovi e più efficaci segnali, di competenza dell'ENAC ma affidata in gestione alla SEA.

E anche le conclusioni di un rapporto ministeriale non hanno chiarito agli attori le relative responsabilità che continuano ad essere scaricate dall'uno all'altro.

Emerge che le competenze riguardo il processo della sicurezza sono frantumate tra enti e organizzazioni diverse e senza un sufficiente livello di coordinamento e integrazione (come emerge dalla criticità definita: Ruoli poco chiari). Tutto ciò genera un clima di incertezza e di scarsa attenzione per i problemi reali del volo sicuro.

Questo favorisce un fenomeno di segretezza strutturale (Vaughan, 1996) nel senso che le azioni commesse dai vari enti non sono sempre esplicite e osservabili a causa della divisione del lavoro e della dispersione fisica delle attività che ostacolano il flusso di conoscenza. Inoltre il rapporto tra ente controllante attuatore e controllato non è definito chiaramente e presenta delle lacune strutturali con un intrecciarsi di autonomia e indipendenza: l'autonomia del sistema ispettivo sconta anche il fatto di dipendere, in buona parte, da informazioni e osservazioni segnalate dai controllati.

Dall'analisi dei fatti e dalle difficoltà relative a problemi prioritari come l'installazione del radar (ritardato e bloccato da difficoltà di comunicazione e coordinamento tra più enti oltre che da una certa negligenza nell'operare), emerge una cultura della sicurezza di tipo «burocratico» (Westrum, 1995), caratterizzata da situazioni con bassa circolazione delle informazioni critiche rilevanti per la sicurezza, dall'assenza di momenti di discussione e apprendimento, da una partizione delle responsabilità per compartimenti stagni, da una logica basata sull'assunzione che gli sbagli comportano rimedi soltanto provvisori. Si può sostenere che tra i diversi attori coinvolti nel sistema sia prevalente una concezione "giuridico formale" della sicurezza, intesa come insieme di procedure vincolanti, ma sia assente o comunque inadeguata una cultura della sicurezza orientata al processo complessivo e non soltanto a parti di esso.

Una quarta conclusione riguarda il tema dell'affidabilità. Linate era un sistema potenzialmente fallace non per la nebbia ma per la debolezza delle connessioni tra le diverse parti del sistema. Le persone, anche quelle più diligenti e attente, se lavorano in solitudine possono commettere degli errori prima o poi. Come affermano Weick e Roberts (1993): l'attenzione è un atto sociale più che individuale. Questo vuol dire che attori semplici (come i piloti del Cessna che non conoscevano l'aeroporto) possono svolgere compiti complessi o in condizioni difficoltose (come individuare il raccordo giusto in condizioni di bassa visibilità) soltanto se sono attive le connessioni tra le persone. Le prestazioni coscienziose (heedful) e l'attenzione vigile (mindful) sono l'esito di connessioni sociali strette, in grado di far fronte a situazioni difficoltose, incerte, nuove. Gli incidenti come quello di Linate accadono quando, a connessioni tecnologiche strette (Perrow, 1984), non fanno fronte connessioni sociali altrettanto strette: «i normal accidents rappresentano un breakdown di processi sociali e di comprensione piuttosto che un fallimento della tecnologia» (Weick, Roberts, 1993, P. 378).

Ha ragione Gerrard Bruggink (1985), vicedirettore del Bureau of Accident Investigation del NTSB, quando afferma che:

«un fattore organizzativo diventa una componente intrinseca del meccanismo causale quando i top manager di case costruttrici, compagnie di trasporto, organizzazioni professionali e sindacali, enti di regolamentazione e di gestione di strutture aeronautiche favoriscono l'incidente ignorando le lezioni di incidenti predittivi e disastri similari avvenuti in passato o tollerando compromessi per ragioni di immagine personale, di economicità o per incompetenza.»

Questo caso conferma la tesi che gli incidenti tecnologici sono innanzitutto l'esito di errori organizzativi. Con questo non si vuol dire che non esista l'errore umano o che gli uomini non commettano errori, ma che questi ‑ gli errori ‑ sono costruiti organizzativamente.

L'incidente di Linate non è stato determinato da un'unica causa (errore del pilota Cessna), ma da una combinazione di cause di molti fattori diversi, generali e contingenti, tra loro collegati.

Se il sistema organizzativo di Linate avesse funzionato in modo efficiente e orientato alla sicurezza, ognuno di questi elementi avrebbe potuto essere eliminato. Questo incidente sembra essere il risultato sia di un'inefficienza generale sia di una non adeguata cultura della sicurezza da parte dell'intero sistema di attori coinvolti a vario titolo nel funzionamento dell'aeroporto di Linate.