[Presentazione ed analisi di Aldo C. Pezzopane]

La descrizione sinottica del sottotitolo consente di conoscere solamente che cosa è accaduto e non fornisce alcun elemento per proseguire lungo un percorso logico che parta da qualche ipotesi.
Questa è, d’altra parte, la configurazione di una notizia di agenzia d’informazione ed è la materia da cui possono avere origine notizie al pubblico come gli articoli apparsi su alcuni quotidiani all’indomani dell’evento che tratteremo nella seconda parte di questo studio.
In realtà la descrizione sinottica è tecnicamente corretta mentre le agenzie di stampa quotarono in modo ben diverso, con frasi del tipo: «Disastro sfiorato a Fiumicino», «Lo scontro di due jumbo in pista: poteva essere un'altra Tenerife» e via di questo passo.

Quest’aspetto della comunicazione ci porta a considerare il livello di comprensione di un evento accidentale in aviazione e dimostra che il fattore umano che per primo si manifesta nella circostanza di un incidente è la reazione di chi, in un modo o nell’altro, è sollecitato o coinvolto dall’evento stesso. Più esattamente l'uomo ha limitazioni percettive legate alla cultura individuale, alla cultura del gruppo, al contesto, ecc.
Comprendere un evento significa capirne la dinamica, quindi vuol dire individuare le origini e le concatenazioni causa-effetto di ogni aspetto che alla luce di fatti e di argomentazioni, possa aver avuto il peso di fattore causale nella vicenda.

Ma la miglior comprensione delle ragioni dell'incidente e l'approfondimento che portò a mettere in luce quelle ragioni, fu il risultato di precise metodologie di investigazione che si rifanno a consolidati modelli di generazione causale di incidenti. (accident causation model).
Essi sono essenziali per risalire la complessa ramificazione di cause che dalle azioni (od omissioni) che hanno provocato l’incidente si snoda a ritroso rivelando le condizioni che hanno predisposto tali azioni.
Prima di parlare del fatto come lo vissi in prima persona e dei molti fattori causali che contribuirono al suo verificarsi, illustrerò sinteticamente alcune teorie e modelli concettuali che consentono la investigazione sistematica di cause prossime e remote degli incidenti partendo dalle basi della prevenzione.

Prima di addentrarci nei criteri di gestione della sicurezza in un sistema aeronautico [che vuol dire prevenzione incidenti e di cui l'investigazione è una fase essenziale], è utile indicare alcuni termini e definizioni ricorrenti.

[In una tal matrice una condizione in grado di provocare danno catastrofico non deve avere probabilità superiori ad estremamente improbabile, generalmente un coefficiente di 10^-9. Eventi che abbiano reso evidente il rischio di danno catastrofico, come le intrusioni in pista, richiedono provvedimenti tali da rendere pressoché nullo un tal rischio e non dovrebbero essere tollerate reiterazioni dello stesso tipo di evento soltanto perché non si hanno esiti disastrosi.]

Il termine Accident Prevention Loop è traducibile come Modello sequenziale di prevenzione incidenti e rappresenta una concatenazione di tre funzioni che andremo ad illustrare singolarmente in sequenza.
Queste tre funzioni sono espletate da elementi umani del sistema.
Il primo è costituito dal personale che svolge l'attività produttiva, cioè la funzione operativa esposta più delle altre alla dinamica di generazione di incidenti.
Il personale che può commettere errori e a cui si attribuisce, in caso di incidente, la patologia degli human factors.
Il secondo elemento sono gli specialisti di sicurezza che sorvegliano l'andamento degli inconvenienti [occurrences], analizzano gli eventi e le condizioni di pericolo (hazards), investigano gli incidenti (incidents).
Se il sistema che prendiamo in considerazione è l'aviazione civile nazionale, l'investigazione [inchiesta tecnica] riguarda anche gli incidenti gravi (serious incidents) e i disastri (accidents).
Questi esperti espletano la funzione investigativa.
Il terzo elemento sono i manager che con la funzione gestionale determinano la destinazione di risorse per realizzare il contenimento dei rischi e gli interventi correttivi in seguito ai risultati della funzione investigativa, quindi attuano la funzione di prevenzione vera e propria.
Entriamo ora nella descrizione di queste funzioni e vediamo secondo quali dinamiche si attuano.

Esso indica che per un incidente grave (accident) avvengono alcune decine di incidenti di gravità minore, si rilevano alcune centinaia di condizioni di pericolo e vengono registrate alcune migliaia di anomalie di esercizio.
La dinamica di generazione degli incidenti può essere riassunta in una sequenza grafica. Infatti ogni condizione anomala, evento di pericolo o incidente sono, ognuno, un prerequisito per un evoluzione in un fatto di maggior gravità finché non venga arrestata la sequenza degenerativa.

Parlare di sequenza degenarativa equivale a dire che accident generation ha per sinonimo: system degeneration.

Esaminiamo in dettaglio questi aspetti che ritroveremo nell'analisi dell'evento di studio.

Gli elementi sono:
S = Software (rules & procedures,symbology, task allocation,etc)
H = Hardware (machine)
E = Environment
L = Liveware (human)

Al centro viene posto l’uomo, ed il vocabolo Liveware viene usato per omogeneità fonetica con Hardware e Software e per creare l'acronimo SHELL di immediato riferimento. Esso rappresenta l’individuo che opera in front line, svolgendo funzioni coerenti con la propria capacità ed esperienza, quindi con i requisiti necessari per adempiere a questa funzione.
Le aree critiche sono quelle dove l’individuo interagisce (comunica) con gli altri elementi. E tra questi elementi che lo circondano ritroviamo ancora l’uomo che stavolta è costituito da qualsiasi altra persona che agisce nello stesso ambiente di lavoro (ogni membro d’equipaggio o di gruppo operativo (ATC, manutenzione aeromobili, ecc.).  

Ancora una volta queste fasi possono essere messe in sequenza ricordando che rappresentano il lato destro dell'Accident Prevention Loop.
Esse sono:

Ad esempio un progetto di sistema aeronautico può essere anche la realizzazione di una nuova compagnia e non c'è dubbio che un gruppo finanziario che abbia tale intenzione, non possa fare a meno di considerare oltre ai requisiti normativi per attuare il progetto, anche l'esperienza di mezzo secolo di prevenzione incidenti nelle operazioni volo. La compagnia svizzera che prenderà il posto della liquidata Swissair, nonostante l'indubbia esperienza che potrebbe aver ereditato, utilizzerà il know-how della Flight Safety Foundation per realizzare il miglior livello di qualità nella sicurezza.

In termini molto riassuntivi, evitando il dettaglio delle matrici di valutazione del rischio, possiamo indicare quattro diverse tipologie di attuazione della prevenzione, ancora una volta poste in sequenza, che costituiscono la base del triangolo dell'Accident Prevention Loop.
Il verso è da destra a sinistra per rispecchiare la sequenza dell'Accident Prevention Loop.
Le misure di prevenzione devono essere tanto più restrittive quanto più è elevata la gravità del danno che un certo evento può arrecare, pertanto si può:

Torniamo ora alla rappresentazione grafica iniziale [l'Accident Prevention Loop di Alan Diehl] e su ogni lato disponiamo le funzioni brevemente descritte nelle loro fasi.

Questa rappresentazione ha la caratteristica di far iniziare il processo investigativo a valle dell'incidente grave, del disastro (accident). Ma la finalità concettuale dell'Accident Prevention Loop che costituisce, evidentemente, un circolo vizioso che passa per l'incidente grave, va ben oltre e consente di individuare attività di prevenzione interne al sistema in grado di modificare, ridurre o arrestare le dinamiche degenerative. Infatti, se la funzione investigativa risale a monte e va ad analizzare eventi di minor gravità che, tra l'altro, sono più frequenti e posseggono fattori causali che si ritrovano nell'incidente grave, si possono realizzare interventi correttivi più tempestivi ed efficaci.
L'ideale sarebbe analizzare il sistema ancor prima che si manifestino condizioni di pericolo (hazard), ed evidenziare i fattori che danno origine alle anomalie di esercizio.
Questi fattori sono generalmente il risultato di anomalie di gestione per cui, spingersi fino all'analisi di questi processi attraverso attività di auditing, un'attività di naturale competenza della funzione investigativa, consente di trasformare l'anello sequenziale da circolo vizioso in circolo virtuoso che permette di "by-passare" il lato negativo della generazione degli incidenti che porta all'evento grave.
Anche questo concetto è rappresentabile graficamente.

In altre parole la riduzione del numero di anomalie di esercizio e delle condizioni di pericolo avrebbe un risultato concreto sulla diminuzione degli incidenti di minor gravità e ridurrebbe la probabilità di quell'unico incidente grave. L'accident che sta sulla sommità della piramide del rapporto statistico tra eventi di diversa gravità che abbiamo illustrato all'inizio.

Ciò equivarrebbe ad eliminare la parte sommersa di un iceberg.

Il paragone è leggittimo in quanto il grave incidente costituisce la parte visibile dell'iceberg mentre il grosso, costituito da una miriade di fatti e misfatti è sottovalutato, è sommerso. Ridurre questa porzione enorme, che può essere ben conosciuta dagli addetti ai lavori, contribuirebbe a rendere meno consistente la parte emersa, visibile solo al grande pubblico.

Nonostante la notevole riduzione del tasso di incidenti in aviazione rispetto agli anni 60-70, sono avvenuti nel periodo successivo altri incidenti catastrofici che, dopo vasta e approfondita analisi, hanno portato alla elaborazione di teorie di generazione di incidenti in grado di risalire quanto più possibile a monte del processo degerenerativo del sistema, svelando fattori apparentemente lontani dal luogo e dal momento dell'evento accidentale.

E così emersero i fattori organizzativi, delle vere e proprie falle che vengono disseminate dai processi interni del sistema, aventi origine da decisioni gestionali, che rimangono latenti fino a quando favoriscono o provocano errori o violazioni procedurali da parte di operatori di prima linea.

Gerrard Bruggink indicò una fisionomia colposa nella generazione di questi fattori, attribuendoli a comportamenti, atteggiamenti e politiche manageriali improntate a incapacità, superficialità o altri obiettivi personali, come si può osservare dalla sua definizione di policy factors.

Motivazioni dei managers a parte, anche il prof. James Reason dell'Università di Manchester, individuò nei processi di gestione le fonti delle falle disseminate nei sistemi industriali a rischio di incidente rilevante. Egli non si limitò, come Bruggink, ai soli incidenti d'aviazione ma stabilì l'esistenza di queste dinamiche causa-effetto anche in altri eventi molto noti come l'incidente di Chernobyl, l'incidente ferroviario di Clapham Junction, l'incidente marittimo dell'Herald of Free Enterprises.
Anche stavolta i modelli grafici ci permettono di osservare queste dinamiche.
Nella figura che segue vediamo gli elementi fondamentali di ogni sistema di trasporto o produttivo.
Il primo elemento che incontriamo, da sinistra a destra, è costituito dal livello decisionale (top management) responsabile di definire lo scopo del sistema e di gestire le risorse disponibili per ottenere e bilanciare due obiettivi (in aviazione): la sicurezza delle operazioni e il regolare ed efficace trasporto di passeggeri e merci.
Un secondo elemento è il livello di gestione subordinato che deve attuare le decisioni del primo livello per ogni area di propria competenza.
I due livelli di gestione realizzano le condizioni di lavoro in cui gli operatori svolgeranno l'attività produttiva interagendo con macchine ed ambiente secondo le prescritte procedure.
Queste procedure di impiego sono un esempio dell'ultimo elemento, cioè le difese intrinseche del sistema.

Reason evidenziò la presenza di fattori legati ai processi interni al sistema che costituivano i precursori di azioni errate o violazioni di norme e procedure commesse da chi opera nella linea produttiva.
Egli definì active failure (falle attive) gli errori degli operatori e latent failure (falle latenti) gli errori di origine manageriale.

Active failures sono le azioni commesse da personale di prima linea del sistema (piloti, controllori ATC, tecnici di manutenzione). Le loro azioni possono avere conseguenze negative immediate.
Sono denominate anche deviazioni comportamentali, dal momento che possono assumere la configurazione di errori o violazioni.
Su questo tipo di azioni, fino a poco tempo fa si concentrava l’attenzione degli investigatori.

Latent failures sono il risultato di scelte non ortodosse (decisioni incorrette), di solito scaturite dai livelli più elevati della struttura organizzativa o da chi scrive le regole.
Le loro potenziali conseguenze dannose possono giacere sopite per lungo tempo, per divenire improvvisamente evidenti quando entrano in combinazione con eventi scatenanti locali (criticità, avarie tecniche, condizioni atipiche, ecc.), riuscendo a penetrare le barriere difensive del sistema.

Questi modelli e le teorie che li supportano sono il risultato di un approccio culturale che non tende ad attribuire colpa, biasimo o responsabilità giuridiche. Essi hanno lo scopo di evitare gli incidenti identificando i problemi che l'uomo deve affrontare quando è a diretto contatto con il processo produttivo e quando è inserito nel ruolo gestionale. Quest'ultimo presenta, per certi versi, maggiori complessità dovute al ritardo enorme tra decisioni ed effetti; è essenziale, quindi, che la conoscenza degli effetti sui margini di sicurezza faccia parte della cultura di un management orientato alla Sicurezza di Sistema, cioè una configurazione di sicurezza "pro-active", non solo la "compliance safety" del rispetto dei requisiti minimi della norma.

E' utile una nota a conclusione di questa prima parte sul termine proactive.
La traduzione "proattivo" che generalmente viene fatta in italiano, fa parte di quei termini "vernice" che molti nell'ambiente usano impropriamente, italianizzando in modo spicciolo ed arbitrario termini che hanno significati originari diversi [come avviene per "to implement" con il pessimo "implementare"] oltre ai termini che ci troviamo costretti ad usare a causa di sviste linguistiche del legislatore ["inconveniente" e "inconveniente grave" già ricordati all'inizio].
Quando in inglese incontriamo preposizioni di origine greca e latina dovremmo tener conto del significato originario e non dare adito all'uso in italiano di termini assonanti e di cui, forse, non si coglie il vero significato.
Gli autori inglesi hanno creato il neologismo pro-active in quanto ha un connotato più forte del generico preventive.
Pertanto è opportuno che si operi la stessa trasformazione dal nostro altrettanto generico preventivo e dal momento che si deve cercare un neologismo, tanto vale evitare termini "vernice" e usare il termine concettualmente corretto antero-attivo.

[fine prima parte]