Embedded Files
In questa seconda esercitazione andremo a effettuare un'analisi comparativa tra quello che è considerato l'incidente aereo più grave della storia, ossia quello di Tenerife del 1977, e i più recenti incidenti aerei dei 737 Max della Boeing avvenuti tra il 2018 e il 2019.
In questa seconda esercitazione andremo a effettuare un'analisi comparativa tra quello che è considerato l'incidente aereo più grave della storia, ossia quello di Tenerife del 1977, e i più recenti incidenti aerei dei 737 Max della Boeing avvenuti tra il 2018 e il 2019.
Al fine di comprendere in maniera più adeguata la complessità delle interazioni tra le cause che hanno portato a questi incidenti, sfrutteremo lo "swiss cheese model" di Reason.
Al fine di comprendere in maniera più adeguata la complessità delle interazioni tra le cause che hanno portato a questi incidenti, sfrutteremo lo "swiss cheese model" di Reason.
James Reason propone nel 1990 un modello detto "formaggio svizzero" caratterizzato da estrema semplicità ed efficacia nel veicolare l'idea che negli incidenti le cause effettive siano l'esito di difetti intrinseci ai sistemi, di cui poi l'errore umano è tipicamente una conseguenza sintomatica.
Per Reason il modello si manifesta naturalmente dall'analisi di alcuni degli incidenti più gravi accaduti nel decennio degli anni '70, anni in cui avvenne un cambiamento di paradigma nell'approccio alla progettazione dei sistemi di interazione tra uomo e macchina, che ai tempi prevedeva una netta separazione tra la componente automatizzata e quella umana, con quest'ultima relegata a ruoli supervisionali o di risoluzione di occorrenze problematiche, mentre dalla prima si continuava a escludere sempre di più la casistica comportamentale, esperienziale e le necessità di quanti avrebbero interagito con essa.
Ad accrescere ulteriormente questa separazione concorreva anche la quasi totale tendenza a considerare qualsiasi errore come originato esclusivamente dall'errore umano, escludendo completamente dall'equazione i possibili e ovvi problemi di progettazione.
Uno degli incidenti analizzati da Reason è il seguente.
27 Marzo 1977, Tenerife
27 Marzo 1977, Tenerife
A causa di un evento imprevedibile, due Boeing 747, uno della KLM e uno della PAN AM, si ritrovano assieme a molti altri nell'aeroporto della piccola isola. Da qui, una concatenazione di svariati errori porterò a un incidente che costerà la vita a 587 persone. Inizialmente le investigazioni restituirono valutazioni che attribuivano la colpa ai soli errori commessi dai piloti dei velivoli ma indagini successive dimostreranno come l'errore umano sia stata solo una componente in un complesso sistema di errori sia di natura latente che attiva.
Prima di procedere con la spiegazione dello swiss cheese model e prima di utilizzarlo per spiegare l'incidente di Tenerife, occorre fare delle precisazioni terminologiche utili ad agevolare la comprensione.
Si definiscono barriere tutte le strutture di varia natura che, quando presenti, permettono di limitare o impedire l'insorgenza di dati eventi indesiderati. Possono essere di tre tipi:
Barriere di natura fisica: automatizzate e indipendenti dall'azione umana, sono risposte automatiche a determinati accadimenti;
Barriere dipendenti da procedure e controlli: dipendono dall'azione umana e corrispondono a tutte le azioni di verifica di integrità, di corretto funzionamento, di gestione e di correzione normalmente previste e per le quali l'elemento umano viene formato;
Barriere dipendenti dall'estro umano: anche queste dipendono dall'azione umana ma sono di natura imprevedibile e fortemente dipendente dalla situazione contestuale.
Definiamo invece fallimenti tutta quella serie di falle che impediscono il corretto funzionamento delle barriere e sono:
Fallimenti attivi: identificati come guasti alle componenti dei sistemi oppure oppure come azioni commesse da chi è in contatto diretto con il sistema o il processo, hanno un impatto diretto e immediato sul funzionamento del sistema e sull'integrità delle barriere;
Fallimenti latenti: derivano da decisioni progettuali, di costruzione oppure da pratiche consolidate e possono essere considerati come "agenti patogeni" latenti nei sistemi che si rivelano come fallaci solo dopo l'occorrenza di incidenti; hanno come conseguenze possibili il tradursi in condizioni che possono causare errori nell'attività lavorativa e l'indebolimento permanente delle barriere.
Swiss Cheese Model
Swiss Cheese Model
Il modello di Reason permette di visualizzare le barriere a difesa dall'insorgenza di incidenti come delle fette di formaggio. Proprio come il formaggio svizzero però, queste fette sono caratterizzate dalla presenza di buchi, che rappresentano i possibili fallimenti, i quali non rappresentano un problema fino a quando non si verifica un allineamento di rischi tale da permettere la trasformazione di un pericolo in incidente.
Applichiamo ora il modello all'incidente di Tenerife.
Voli Boeing 737
Nell'Ottobre del 2018 un Boeing 737 Max in partenza da Giacarta ebbe un malfunzionamento del sensore dell'angolo di attacco (AOA) il quale, inviando dati errati al sistema di aumento delle caratteristiche di manovra (MCAS) portò l'aereo a compiere una picchiata.
Purtroppo nei mesi successivi la Boeing non corresse questo malfunzionamento sugli altri velivoli della sua flotta.
Così, a 5 mesi di distanza, un aereo in volo dall'Etiopia ebber lo stesso malfunzionamento.
Le vittime totali di entrambi i voli ammontano a 346.
Comparando i due casi in analisi si osserva facilmente che mentre nel caso dell'incidente di Tenerife possano essere considerabili come quasi equidistribuite tra fallimenti attivi e latenti, nel caso dei due Boeing 737 Max l'errore è quasi completamente da attribuire ai fallimenti di tipo latente. Per quanto riguarda la distribuzione dell'errore tra umano e da automazione invece, mentre nel primo caso in analisi l'errore non è da attribuire ai sistemi di automazione, nel secondo, è proprio l'eccessiva automazione a portare all'errore, con l'essere umano relegato a mero supervisore e risolutore di problemi, attività per le quali non ha spesso competenza data la mancanza di addestramento e, con errori di design che si ripercuotono sul sistema fino a portare a incidenti gravi.
Per concludere, è l'errore umano qui a farla da padrone, in quanto è proprio questo che, sia come fallimento attivo che come fallimento latente, porta agli incidenti, soprattutto in sistemi ad alta complessità richiedenti una progettazione, un uso e una manutenzione adeguate.
Page updated
Report abuse