ERRORE UMANO E ERRORE LATENTE NEI SISTEMI COMPLESSI
teoria dei sistemi
di Francesco Carlo Morabito (*)
Una logica implicazione, peraltro intuitivamente banale e pertanto scontata, dello stravolgente potere dei media che caratterizza i nostri giorni, è che una organizzazione socio-tecnica anche di grandi proporzioni (a vasta scala), soggetta in linea di principio a eventi catastrofici, manca di attrarre la nostra attenzione salvo che questa non ne sia guidata da un fatto accaduto, possibilmente presente. Potrei riferirmi, andando a memoria recente, alle camere iperbariche milanesi, o, più in là nel tempo, alle non meno sconvolgenti immagini degli albatri impantanati nel catrame delle petroliere affondate, o, perché no, alle alluvioni annunciate che trascinano via paesi e uomini. Potrei, con meno enfasi e maggiore pertinenza al discorso che vado a delineare, riferirmi ai frequenti incidenti dei pendolini su diverse tratte della nostra rete ferroviaria. In ognuno di questi esempi è rintracciabile l’errore umano, che ha una fondamentale incidenza spesso in fase esecutiva. Molte volte però l’errore va ricercato e eventualmente interpretato in un contesto più complicato, riconducibile alla complessiva organizzazione sociale e tecnica del processo. Quasi sempre è impossibile comprendere i delicati equilibri di sistemi complessi che si riflettono in operazioni coordinate, organizzate e con interazioni tra più componenti. Queste ultime risultano talvolta incontrollabili in quanto governate da interessi, a volte incompatibili, di diversi soggetti che influenzano il comportamento di operatori che non conoscono tali complicate relazioni. Ciò rende il sistema inaffidabile e/o inefficiente in modo latente. L’errore, in tali sistemi a larga scala, è pertanto insito già a priori nei meccanismi socio-tecnico-organizzativi degli stessi e, come tale, solo in apparenza imputabile all’uomo coinvolto in uno specifico processo o azione. La tesi che qui si sostiene tenderebbe quindi a scagionare l’uomo in quanto agente spesso inconsapevole di una reazione, ovvero, in quanto involontaria miccia di un meccanismo latente.
Si può tentare di paragonare questa situazione a quella di un organismo potenzialmente soggetto a mutamenti distruttivi e tuttavia perfettamente sano. Come il cancro o gli improvvisi crack cardiovascolari, la causa dell’evento (malattia) non è unica. L’incidente avviene per il concatenarsi di più fattori, ciascuno necessario e tuttavia non sufficiente da solo a sopraffare l’organismo. Saranno alcuni agenti patogeni residenti nel corpo umano che verranno accesi da fattori casuali (per esempio tossici chimici, stress, lutti familiari, depressione,...) a produrre la malattia. Come nel caso dell’esempio, altri sistemi complessi hanno agenti patogeni dormienti che virulentano sotto particolari condizioni.
Come si intuisce, questo discorso andrà approfondito in momenti successivi, e pertanto ci si limita in questo primo intervento a inquadrare il problema e discuterne alcune possibili conseguenze.
Come prima cosa, occorre fare alcune precisazioni e dare alcune definizioni. Uno degli obiettivi, piuttosto pretenziosi, di questo saggio, potrebbe essere la comprensione di comportamenti e operazioni in sistemi a larga scala, caratterizzati da ambienti turbolenti, con relazioni non lineari e quindi il fornire alcuni suggerimenti per la riduzione delle possibilità di incidente catastrofico in tali sistemi. Se vi dicessi ciò, mi ridereste dietro a piena ragione. Tuttavia, esistono dei ricercatori che si interessano di questo e investigando sistemi complessi e eventi già avvenuti, come il disastro della petroliera Exxon in Alaska, effettivamente determinano le cause latenti di questi eventi in cui l’errore umano ha solo un impatto accidentale, quasi casuale.
L’errore umano è certamente determinante. Intanto, nei più grandi disastri della storia dell’uomo è proprio l’errore umano a essere citato come probabile causa. Per alcuni di questi sistemi, per esempio, aerei e relativo controllo del traffico, navi e appropriato sistema di navigazione, impianti nucleari e controllo e gestione della sicurezza, l’impatto dell’errore umano è stimabile, secondo fonti ufficiali, tra il 70 e il 90 per cento. Inoltre, l’errore è evidentemente una dimensione importante della natura umana.
Il problema della sicurezza di impianti e sistemi a larga scala emerge dalle scarsamente comprese interazioni tra aspetti socio-tecnici degli stessi. La valutazione delle interazioni fra componenti del sistema è spesso superficiale, quando non sicuramente sottostimata. L’incidente è diretta conseguenza dalla mancata previsione, a livello gestionale-organizzativo, del potenziale accoppiamento tra fattori di rischio apparentemente indipendenti. I criteri di sicurezza spesso non tengono conto dell’aspetto organizzativo complessivo di un sistema. Un esempio molto banale: il proprietario di un grande albergo segue un insieme di comportamenti per difendere lo stabile da incendi accidentali. Tuttavia, l’insieme degli interventi richiedono la partecipazione fattiva di più agenti: l’impiegato deve ricordare di caricare gli estintori o verificarne il livello ogni tot mesi, la ditta fornitrice deve inviare nei tempi prestabiliti il tecnico, le porte antincendio devono essere disposte in un certo modo e in certe locazioni ben definite. Inoltre, è necessario istruire il personale e, periodicamente, valutare il livello di attenzione e competenza del personale addetto. Di fatto, in alcuni casi, i controlli sono saltuari, l’istruzione al personale quasi assente e comunque mai verificata o richiamata o aggiornata. Inoltre, gli addetti dovrebbero essere sottoposti a visite mediche periodiche, dovrebbero non essere soggetti a uso di droghe, o alcolici, e così via. E’ naturale che si vogliono considerare sistemi ancora più complicati e soggetti a relazioni interne anche di tipo diverso (per esempio, interesse di un soggetto al verificarsi o meno di un evento). L’unica cosa che riteniamo esclusa a priori in quest’analisi è il dolo.
Identificare le relazioni causali che preludono all’errore in sistemi a larga scala è dunque altrettanto importante che identificare le cause umane o tecniche di un incidente.
I sistemi a larga scala con interazioni macchina-uomo sono costituiti da una rete di risorse (per esempio computer, apparecchi di comunicazione, linee telefoniche, radar, ...) e da operatori umani che eseguono o supportano compiti finalizzati a perseguire un obiettivo comune a una o più organizzazioni. In tali sistemi, il ruolo e l’importanza delle interfacce, interconnessioni e relazioni fra elementi componenti è fondamentale. L’analisi di tali sistemi in termini socio-tecnici produce un certo insieme di risultati:
1) assicura che il progetto tecnico, le limitazioni gestionali e gli imperativi operativi simultaneamente analizzati generino un insieme di prescrizioni gestionali e operative atte a guidare il comportamento degli operatori coinvolti;
2) invita a esaminare il progetto e l’ingegnerizzazione di un sistema in termini di potenziale errore organizzativo e di conseguenti specifiche da soddisfare;
3) conduce a esplorare le relazioni tra i punti di vista del progettista, le necessità operative, le implicazioni dell’implementazione del progetto ai fini del modello comportamentale dell’operatore;
4) impone l’uso di criteri manageriali per comprendere le dinamiche sociali e tecnico-organizzative del sistema.
Poiché i sistemi di questo tipo sono difficilmente interpretabili come unico, la tendenza è decomporli in sottosistemi più piccoli: questa maniera di operare implica la definizione e lo sviluppo di un insieme di interfacce. Sistemi strettamente interconnessi richiedono uno sforzo notevole di coordinamento e comunicazione con movimenti di risorse, dati e persone. In questo senso, l’introduzione dei sistemi di posta elettronica in organizzazioni sociali articolate ha un impatto devastante! Disaccoppiando sistemi strettamente connessi mediante la tecnica della decomposizione in sistemi più semplici, si riduce la richiesta di comunicazione, ma si alzano i costi di gestione, esercizio e manutenzione dei meccanismi di disaccoppiamento. Inoltre, peggio ancora, ciascun sottosistema viene a operare in maniera sub-ottima rispetto all’obiettivo dell’organizzazione intesa come un unico derivante dall’interconnessione. Inoltre, sistemi di questo genere possono decadere, diventando instabili, disorganizzati e disordinati. Questa endemica tendenza all’aumento dell’entropia richiede un’adeguata pianificazione degli interventi e forti risorse dedicate alla gestione. In altri termini, persone appropriate e considerevoli costi.
Recenti avanzamenti nello studio dei sistemi intelligenti hanno cambiato la percezione delle capacità di sistemi a larga scala. Sottosistemi “intelligenti” capaci di prendere automaticamente decisioni trovano sempre maggiore spazio in applicazioni quali il controllo di processo, l’aerospaziale o il trasporto marino. Questi sistemi hanno lo svantaggio di introdurre nuove sorgenti di potenziale errore, per esempio dovuti a incompleti test eseguiti su un programma di calcolo.
Esaminiamo adesso un esempio di sistema a larga scala soggetto, per alcune ragioni che esporrò, a potenziale d’errore organizzativo molto elevato e comunque crescente. Pensiamo a cosa avviene oggi sullo Stretto di Messina, cosa avveniva tempo fa e cosa potrebbe avvenire in un vicino domani. Il numero di navi che attraversano lo Stretto è oggi in ovvia crescita. Il collegamento Villa (Reggio) - Messina è veramente adeguato in termini di numero di corse e affidabilità dei vettori. Tuttavia, sappiamo tutti cosa avviene in alcuni periodi dell’anno e in condizioni metereologiche avverse. Di per sé lo Stretto costituisce una sfida storica per la navigazione: vento, correnti, maree, prossimità delle coste, ... Oggi la situazione è ulteriormente complicata, ciò in relazione all’aumento del traffico correlato all’attività portuale di Gioia Tauro, che diventa un punto chiave dell’economia del Mediterraneo. Il sistema è veramente complesso, con una varietà di elementi che si influenzano reciprocamente: proprietari di navi e vessel, operatori, organizzazioni sindacali, datori di lavoro, Comuni, Provincia, Regione, compagnie marittime, compagnie di assicurazione, autorità portuali, organismi a controllo locale e internazionale, regolamenti e leggi, codici. Inoltre, da un punto di vista tecnico, tutto quello che è facile immaginare, radar, navi, sistemi di navigazione automatici, computer. Ancora, interessi economici, finanziari, e quant’altro si voglia. Infine, sicurezza dei vettori, delle coste, degli operatori, dei terzi, protezione ambientale. In un sistema come questo, naturalmente a larga scala e con interessi veramente diversificati, provate a immaginare una decomposizione in sottosistemi interagenti e non. E’ sufficiente un timoniere allegro, un radar non funzionante, un aumento improvvido del numero di corse dovuto a una maggiore richiesta, una tempesta, un guasto a un vettore, per far saltare il sistema. L’incidente, facciamo gli scongiuri, è veramente a elevata probabilità, anche tenendo conto che il sistema nel suo complesso è soggetto a regole ferme a tempi e situazioni diverse. Se Gioia Tauro dovesse veramente decollare, attenzione allo Stretto!
Cercherò di analizzare più da vicino il problema dell’errore latente riguardo a questo esempio nel prossimo intervento su Helios Magazine.
(*) Il prof. Francesco Carlo MORABITO è Docente di Teoria dei Sistemi
e Preside della Facoltà di Ingegneria di Reggio Calabria
