Promuovere la sicurezza - Fabrizio Bracco

biblioteca di testi e studi / 850

psicologia

I lettori che desideranoinformazioni sui volumi

pubblicati dalla casa editricepossono rivolgersi direttamente a:

Carocci editoreCorso Vittorio Emanuele ii, 229

00186 Romatelefono 06 / 42 81 84 17

fax 06 / 42 74 79 31

Visitateci sul nostro sito Internet:http://www.carocci.it

Fabrizio Bracco

Promuovere la sicurezzaLa gestione dei rischi

nelle organizzazioni complesse

Carocci editore

1a edizione, maggio 2013© copyright 2013 by Carocci editore S.p.A., Roma

Realizzazione editoriale: Studio Editoriale Cafagna, Barletta

Finito di stampare nel maggio 2013dalla Litografia Varo (Pisa)

isbn 978-88-430-6936-1

Riproduzione vietata ai sensi di legge(art. 171 della legge 22 aprile 1941, n. 633)

Senza regolare autorizzazione,è vietato riprodurre questo volume

anche parzialmente e con qualsiasi mezzo,compresa la fotocopia, anche per uso interno

o didattico.

7

Indice

Introduzione 11

1. Cos’è la sicurezza? 17

1.1. Perché è difficile parlare di sicurezza? 17 1.1.1. La sicurezza è difficile da vedere / 1.1.2. La sicurezza è

difficile da misurare / 1.1.3. La sicurezza è una questione per tecnici / 1.1.4. La sicurezza fa perdere tempo / 1.1.5. La sicurez-za è in contrasto con il business

1.2. Cambiare paradigma 231.3. Sicurezza e pensiero sistemico 261.4. La coppa della sicurezza 33

2. La sicurezza spiegata da un gorilla 41

2.1. La difficoltà di vedere i rischi 412.2. L’importanza dei segnali deboli 452.3. La matrice segnali per risposte 47 2.3.1. Risposte deboli a segnali forti: verso il collasso / 2.3.2.

Risposte deboli a segnali deboli: la lenta deriva / 2.3.3. Risposte forti a segnali forti: sicurezza reattiva / 2.3.4. Risposte forti a segnali deboli: sicurezza proattiva

2.4. I fondamenti di una cultura della sicurezza 51

3. Come le persone sbagliano 53

3.1. Incidenza del “fattore umano” nella genesi degli incidenti 53 3.1.1. Il fattore umano in aviazione / 3.1.2. Il fattore umano in

8

indice

medicina / 3.1.3. Il fattore umano nei trasporti stradali / 3.1.4. Il fattore umano nel settore marittimo

3.2. Psicologia dell’errore umano 60 3.2.1. Livello Skill / 3.2.2. Livello Rule / 3.2.3. Livello Knowledge3.3. Sicurezza secondo il modello srk 68

4. Perché le persone sbagliano 71

4.1. Razionalità limitata e dintorni 71 4.1.1. Euristica della disponibilità / 4.1.2. Euristica della rappre-

sentatività / 4.1.3. Euristica dell’ancoraggio e aggiustamento4.2. Limitazioni cognitive e assunzione di rischi 76 4.2.1. Tra fatalismo e illusione del controllo4.3. Violazioni e normalizzazione della devianza 804.4. Il principio etto 844.5. Il modello shell 87

5. Oltre l’errore umano 89

5.1. Perché è sbagliato parlare di “errore umano” 89 5.1.1. Quello che le statistiche non dicono / 5.1.2. Cosa nasconde

l’etichetta “errore umano”5.2. Le trappole mentali di chi analizza gli incidenti 96 5.2.1. Errare è umano. Cercare il colpevole lo è ancora di più /

5.2.2. La trappola del senno di poi / 5.2.3. La trappola del lieto fine / 5.2.4. La trappola della simmetria / 5.2.5. La trappola della conferma / 5.2.6. La trappola del “ma se…”

5.3. Le insidie delle trappole 106

6. Analizzare gli incidenti nei sistemi complessi 107

6.1. Cercare le cause 1076.2. Limiti dei modelli causali 1096.3. Cercare le condizioni 110 6.3.1. Limiti del modello epidemiologico6.4. Bilanciare sicurezza e responsabilità: verso una “cultura giusta” 113 6.4.1. Segnare il limite tra responsabilità individuali e fattori si-

stemici / 6.4.2. Dare potere alle persone tutelando uno spazio di discrezionalità

9

indice

7. Progettare sistemi resilienti 123

7.1. La necessaria immaginazione per anticipare i rischi 1237.2. Le dinamiche dei sistemi socio-tecnici complessi 127 7.2.1. La deriva verso l’incidente7.3. Approcci per la gestione dei sistemi complessi 131 7.3.1. Le organizzazioni ad alta affidabilità / 7.3.2. La teoria del

controllo7.4 La Resilience Engineering 134 7.4.1. L’importanza della varietà / 7.4.2. Il dilemma dell’inter-

vento / 7.4.3. Il dilemma della quantità / 7.4.4. Varietà delle prestazioni, informazione e incidenti / 7.4.5. Caratteristiche delle organizzazioni resilienti / 7.4.6. La risonanza funzionale

8. Un modello per la promozione della resilienza 147

8.1. Dalla teoria alla pratica 147 8.1.1. Occhiali nuovi per vedere i segnali deboli8.2. La matrice della resilienza 150 8.2.1. Capacità di muoversi liberamente lungo la matrice /

8.2.2. Capacità di scegliere il livello appropriato in base alla situazione / 8.2.3. Capacità di ottimizzare la varietà grazie alla mindfulness / 8.2.4. Capacità di condividere la varietà / 8.2.5. Capacità di adattamento dinamico / 8.2.6. Capacità di verifica e normalizzazione degli adattamenti

8.3. Vedere i gorilla e fare il proprio lavoro è possibile 1658.4. Come rendere la sicurezza una risonanza virtuosa 1668.5. Le competenze non tecniche per la resilienza 167

9. Conclusioni 173

Bibliografia 177

11

Introduzione

Trattando di rischi viene spesso in mente la famosa legge di Murphy: “se qualcosa può andare storto, certamente lo farà”. Se fosse davvero così, fare sicurezza sarebbe facile, ma purtroppo la realtà è diversa e la sicu-rezza è un tema complesso e insidioso. La legge di Murphy è falsa perché le cose, normalmente, vanno bene! Ci sono persone che non hanno mai avuto un incidente stradale, né mai lo avranno, industrie che non hanno gravi danni, compagnie aeree senza disastri, ospedali dove la gente non muore ogni giorno a causa di errori medici. Siccome le cose vanno bene, nella maggior parte dei casi, la sicurezza diventa difficile da sostenere, perché la percezione del rischio si affievolisce e aumenta lo spazio per comportamenti e soluzioni organizzative che portano alla deriva verso l’incidente. Noi non siamo particolarmente bravi con la stima delle pro-babilità degli eventi e quindi sarebbe facile fare sicurezza se sapessimo che qualcosa certamente potrebbe accadere. Ad esempio, sappiamo che se non mettiamo i guanti non possiamo toccare una pentola bollente, quindi sarà molto raro dimenticarsene o non usarli volontariamente. Ma se l’evento è solo probabile, e se il comportamento sicuro richiede dei co-sti, in termini di tempo o risorse, allora sarà più frequente notare azioni insicure, che sottostimano i rischi.

Il libro nasce da anni di esperienza, sia come ricerca sia come forma-zione, presso aziende grandi e piccole, sparse sul territorio nazionale. I temi che saranno trattati nelle prossime pagine derivano dalla letteratura scientifica sull’argomento, ma sono stati cesellati, impostati e adattati al fine di risultare utili e congruenti con le realtà operative a cui si rivolgono. Ospedali, aziende chimiche, industrie, sistemi di trasporto aereo, navale, su gomma, società di servizi, società portuali e di produzione e gestione di energia sono i principali contesti nei quali sono stati messi in pratica i temi e i modelli presentati. Le ragioni che mi hanno spinto a scrivere un testo

12

promuovere la sicurezza

del genere sono due: aggiornare la letteratura esistente in Italia sugli ap-procci non tecnici alla sicurezza e, allo stesso tempo, fornire materiale utile e interessante non solo per ricercatori e accademici, ma soprattutto per chi promuove la sicurezza nei suoi contesti lavorativi: operatori, responsabili, preposti, dirigenti. I modelli e le teorie più adottati risalgono ad almeno venti anni fa, la ricerca internazionale ha fatto passi avanti e sembra utile mettere a disposizione queste nuove prospettive. Tuttavia, uno dei motivi della resistenza ad aggiornamenti teorici e metodologici è legato alla loro distanza da logiche, bisogni e dinamiche dei contesti operativi. Un approc-cio alla sicurezza deve essere quindi valido e aggiornato, ma soprattutto usabile, applicabile.

Il punto di vista fornito in questo libro è quello psicologico, che pone una particolare attenzione a come le persone pensano, si rappresentano e tutelano la sicurezza intorno a sé. Questo non significa che approcci di tipo sociologico, tecnico o legale siano trascurabili, tutt’altro. Sembra però ne-cessario dare eguale valore alla componente psicologica, oltre che agli altri aspetti, perché la sicurezza non nasce da ottime leggi, procedure, strumen-tazioni, ma da persone che usano tali strumenti in modo virtuoso, grazie ad interventi culturali, organizzativi e psicologici. Il punto di vista centrato sulla persona serve a giustificare il cambiamento di prospettiva auspicato in queste pagine. La tesi del libro è che noi esseri umani siamo stati capaci di costruire sistemi complessi molto avanzati, ma non siamo capaci di ge-stirli in modo efficace. Rischiamo di adottare modelli e strumenti di gestio-ne antiquati, adatti a tipi di sistemi precedenti. Abbiamo creato macchine che non sappiamo guidare; servono quindi nuovi occhiali per vedere gli elementi adeguati e nuovi modi di pensare per poterli gestire.

Adotteremo un approccio non tecnico, quindi, trattando soprattutto la percezione dei rischi e i modelli di analisi degli incidenti da un punto di vista psicologico e organizzativo. Possiamo definire la sicurezza come la libertà da rischi inaccettabili. Siccome non esistono attività a rischio zero, la sicurezza si orienta alla gestione di quei rischi che non sono tollerabili, in base a principi, valori, bisogni definiti a livello personale, culturale, so-ciale, politico, economico. Tali rischi possono essere affrontati riducendo la probabilità che verifichino gli incidenti, oppure eliminando del tutto la possibilità che accadano o, infine, riducendone le conseguenze negative. In ogni caso sono coinvolte le persone, con le loro scelte, immerse nelle dinamiche del gruppo e dell’organizzazione.

Il volume è articolato in modo da porre le basi per un cambio di pro-spettiva sulle tematiche legate alla sicurezza. Per agevolare la comprensio-

13

introduzione

ne, sono riportati molti casi di incidenti tratti dal settore sanitario, aeronau-tico, industriale. Il cap. 1 tenta una definizione di sicurezza, evidenziando le difficoltà concettuali e pratiche che si riscontrano nel trattare di quello che è stato definito un “non-evento dinamico”. Questo ci porterà alla pro-posta di una visione diversa della sicurezza, secondo il paradigma delle teorie della complessità, dove si abbandonano le logiche di causa ed effetto e di errore, in favore di una visione sistemica degli incidenti, interpretati come effetto di normali interazioni fra gli elementi del sistema. Si propor-rà, infine, la coppa della sicurezza, una rappresentazione grafica che possa rendere un’immagine dei concetti, a volte molto astratti, che caratterizzano le dinamiche della complessità.

Il cap. 2 è dedicato all’interpretazione della sicurezza come adozione di nuovi punti di vista, a partire dagli operatori in prima linea. La principale capacità di un sistema sicuro sarà quella di dare risposte forti a segnali de-boli, cioè a situazioni che potrebbero portare ad incidenti gravi, ben prima che si sviluppino e degradino in evento avverso. Per imparare a notare i segnali deboli e per poter dare risposte forti è necessaria una cultura della sicurezza che punti sulla circolazione delle informazioni, sulla fiducia delle persone nell’organizzazione, sulla spinta al cambiamento e all’apprendi-mento dalle esperienze.

Il cap. 3 è dedicato alle teorie dell’errore umano, dal momento che, stando alle statistiche, l’incidenza di prestazioni erronee negli eventi avver-si è molto alta. Si illustrerà un modello largamente condiviso per spiegare le dinamiche mentali delle persone coinvolte in incidenti, aprendo anche a una riflessione su come si potrebbero adeguare i contesti di lavoro in base a tali caratteristiche.

Il cap. 4 introduce al tema della razionalità limitata, al come e perché le persone non sono razionali come ci si aspetta e ai tipici ragionamenti che potrebbero portarli ad assumersi rischi inappropriati. Questo ci permet-terà di passare dal tema degli errori a quello delle violazioni, ossia azioni intenzionali che infrangono regole e procedure. Un tema di particolare rilievo sarà quello della normalizzazione della devianza, intesa come lenta deriva delle pratiche verso una consolidata e sistematica violazione di pro-cedure operative.

Il cap. 5 vuole in parte mettere in discussione quanto menzionato in precedenza a proposito dell’errore umano, evidenziando come questa ca-tegoria sia fallace e rischiosa, perché porterà sempre e comunque alla ricer-ca di un colpevole, di un guasto nel sistema. Ma se questo potrebbe valere per sistemi semplici e lineari, non è detto che accada per sistemi complessi,

14


dove gli incidenti non avvengono sempre e solo come effetto di comporta-menti irresponsabili. In particolare saranno esaminate le trappole mentali di chi analizza gli incidenti, spesso legate a una lettura a posteriori dei fatti, in cui la serietà delle conseguenze serve come misura per valutare la gravità dei presunti comportamenti che le hanno prodotte. Studiare le dinamiche psicologiche sottostanti azioni erronee e violazioni è molto importante, ma non con lo scopo di evidenziare le nostre manchevolezze, quanto piuttosto la nostra natura. Se smetteremo di paragonarci a macchine e computer, forse capiremo che i nostri “limiti” sono tali solo se adottiamo certi criteri (potenza di calcolo, memoria, logicità dei processi), ma se ci valutassimo in termini di flessibilità, creatività, sensibilità al contesto, ci troveremmo ben più sicuri e affidabili degli attuali computer. Siccome i sistemi complessi sono caratterizzati proprio da grandi variabilità, la flessibilità umana di-venta un ingrediente fondamentale per fare sicurezza.

Il cap. 6 illustra l’evoluzione dei modelli di analisi degli incidenti nei sistemi complessi, mostrando i limiti dei modelli lineari e causali, passando poi a quelli sistemici, dove si abbandona il concetto di causa e si predilige quello di condizioni latenti. Il limite dei modelli basati sulle condizioni latenti è quello di trovare fattori così ampi e generali da non poterli gestire. Si affronterà, quindi, il tema della cultura “giusta”, dove il limite tra re-sponsabilità individuale e fattori sistemici può e deve essere chiarito.

Il cap. 7 presenta quanto di più recente la letteratura propone in termi-ni di modelli per la gestione dei rischi, la cosiddetta Resilience Engineering. Questo approccio si fonda sui presupposti delle teorie della complessità, dove l’errore umano è sintomo e non causa, dove gli incidenti accadono come effetto di una risonanza funzionale tra gli elementi del sistema, ognu-no dotato di naturale e ineliminabile varietà di prestazione. La sicurezza sarà quindi vista come la capacità di rilevare i segnali deboli prima che evolvano in incidenti, studiando come i vari elementi del sistema potreb-bero risuonare e portare a conseguenze indesiderate.

Il cap. 8, infine, propone un modello molto concreto per aiutare lo sviluppo di un sistema resiliente basato sulla capacità degli operatori di notare e condividere i segnali deboli potenzialmente rischiosi. Tali segnali saranno visti come una forma di varietà che il sistema accoglie e di cui si nutre, per poi metabolizzarla a livello organizzativo e arricchire il sistema adattandolo alle nuove condizioni. In conclusione, saranno illustrate le principali competenze non tecniche (comunicazione, capacità di decisio-ne, gestione dello stress ecc.) che vanno stimolate e coltivate per agevolare la resilienza del sistema.

15

introduzione

Essendo un libro nato dall’incontro tra accademia e realtà operative, l’auspicio è che possa risultare stimolante e aggiornato per chi si occupa di ricerca, ma sia anche utile e applicabile per i contesti professionali dove la sicurezza è una questione imprescindibile.

Il mio interessamento ai temi della sicurezza e dell’ergonomia cognitiva è iniziato molti anni fa, seguendo gli stimoli di un maestro, e poi collega, e soprattutto amico, il prof. Giuseppe Spinelli. Il mio rammarico è che non abbia potuto vedere come i suoi stimoli abbiano prodotto risultati interes-santi e imprevisti. Questo libro è quindi un tributo alla sua memoria.

Come ho detto, il libro nasce dal confronto e arricchimento che ho potuto avere con operatori di diversi settori operativi, dall’aviazione alla sanità, all’industria. Per questo desidero ringraziare persone illuminanti e illuminate come i comandanti Luciano Pisano, Michele Pilia, Vittorio Coletta, che mi hanno aiutato ad entrare nel mondo degli human factors in aviazione. Un ringraziamento speciale va ai comandanti Franco Lodi, Aldo Carlo Pezzopane e Silvano Silenzi, per avermi permesso di seguire e poi organizzare corsi con docenti del calibro di James Reason ed Erik Hollnagel e per avermi arricchito con la loro amicizia ed esperienza in tutti questi anni. A Franco va inoltre un ringraziamento personale e privato, ma lui sa a cosa mi riferisco. Infine l’amico, comandante Antonio Chialastri, per le stimolanti conversazioni sulla resilienza e la sicurezza. Un thank you al comandante Gavin McKellar, per le appassionanti conversazioni sulla sicurezza e sulla vita: non lo ringrazierò mai abbastanza per ciò che mi ha donato.

In campo sanitario, e non solo, devo uno speciale ringraziamento a Rita Gianatti: lei ha corretto le bozze del libro, ha redatto gli esempi in cam-po sanitario, ma soprattutto mi ha dato il privilegio di compiere insieme questo percorso di studio sulla sicurezza. Paolo Ferrara mi ha fatto capire come stare nella relazione con i curanti, non sopra, né dietro o davanti o dentro, ma accanto. Grazie anche a Dimitri Sossai e Franco Pugliese, disponibili e sempre pronti ad aprire nuove strade per lo studio della si-curezza. Grazie ad Anna Apicella, Nadia Guisa, Monica Lavagna ed Elio Garbarino, per il loro entusiastico e ricco sostegno nella diffusione delle competenze non tecniche e della resilienza nel loro contesto sanitario.

A livello industriale, marittimo e dei trasporti devo un ringraziamento a persone come Alessandra Cavaterri, Giuseppina Mussetola, Fabio Viola, Francesco Perra, Natalino Dazzi, Aldo Guagnano, Stefania Ricco, Giu-seppe Caprino, Antonella Molini, Andrea Lommi, Rocco Bonomo, Fabio

16


Monti, Paola Magrini, Luigi Traverso, Andrea Bianchin, Susanna Marotta, tutti loro mi hanno permesso di capire quanto le teorie proposte fossero applicabili e utili nei rispettivi contesti. Grazie anche ai progettisti, consu-lenti e amici che mi hanno dato fiducia, mi hanno insegnato e stimolato. Fra tutti ricordo Gianfranco Di Maira e il suo brillante team, e poi Marco Bucchieri, Giorgio Dorigatti, Micaela Morocutti, Lino Cama, Maria Grazia Cipero, Attilio Pagano e la magnifica Chiara Mattarelli. Un tributo speciale va a Gianni Andrea Belgrano, per tutto ciò che abbiamo costruito insieme, e a Giovannella Nasta Stropeni, per avermi avvicinato alla psicologia di Carl Rogers, che tanto mi ha aiutato nello studio di una sicurezza centrata sulle persone. Paolo Ferraris e Graziella Cavanna mi hanno aperto le porte della psicologia dell’emergenza, grazie per la stima e la fiducia.

Fra i colleghi devo un ringraziamento a Fabrizio Montanari, per aver creato una realtà come Ticonzero.info, uno spazio ideale per presentare le idee sulla sicurezza. E poi grazie a Maurizio Catino, che ha aperto la strada a una nuova visione della sicurezza in Italia; Guido Franco Amoretti, per avermi sempre sostenuto negli studi sull’ergonomia cognitiva; Francesco Benso, per gli studi sull’attenzione; Andreina Bruno, per tutte le ricerche in comune e le sue fondamentali competenze sulla psicologia delle organiz-zazioni; Manila Vannucci, per i ricchi scambi di idee, e Carlo Chiorri, per i tanti studi condotti insieme e per la sua costante disponibilità e competen-za; Cinzia Modafferi, Tommaso Piccinno, Michele Masini, i migliori colla-boratori che si potrebbero desiderare, persone da cui posso imparare.

Un grazie alle centinaia di medici, infermieri, piloti, controllori di volo, operai, gruisti, macchinisti, camionisti, dirigenti, coordinatori, responsabi-li della sicurezza che ho incontrato in questi anni. Il libro non sarebbe nato senza il confronto con tutti loro.

Ringrazio infine la mia famiglia, per il suo sostegno e amore. E soprat-tutto Mikaela, che ha disegnato alcune illustrazioni del volume, ma soprat-tutto mi ha sempre supportato in questo progetto con la sua speciale cura. Lei è la mia fonte di resilienza.

Genova, marzo 2013

17

1

Cos’è la sicurezza?

1.1Perché è difficile parlare di sicurezza?

Come spesso accade, le cose più vicine a noi sono quelle più difficili da capire e definire. Forse proprio per la loro pervasività, per la loro pre-senza costante in parole, narrazioni, pratiche e strumenti sono così ovvie che non ci si cura di definirle. Così è per la sicurezza. Sicurezza è non farsi male, è fare le cose bene, è non fare errori, è fare la cosa giusta; si direbbe. Lo scopo di questo libro è anche quello di provare a definire la sicurezza andando oltre queste scontate (e insidiose) definizioni. Occor-re certamente capire ciò che limita il ragionamento sulla sicurezza, quali luoghi comuni ruotano intorno a questo concetto, quali retaggi e aspet-tative. Questo perché in base agli “occhiali” concettuali che indossiamo vediamo una situazione come più o meno sicura. Ogni punto di vista ha elementi di forza e di debolezza. Soprattutto è focalizzato su alcuni aspet-ti che caratterizzano la situazione, ma spesso la visione è solo parziale. Forse non esiste ancora un approccio globale, integrato e soddisfacente alla sicurezza. La stiamo ancora affrontando da prospettive parziali, an-che se la tendenza è verso una progressiva integrazione. Un primo im-portante passo è, però, quello di capire che si stanno indossando occhiali che filtrano una situazione, lasciandoci intravedere solo alcuni aspetti. Pensare che la sicurezza sia solo ciò che vediamo è illusorio e pericoloso. Da un lato potremmo rischiare di giudicare sicura una situazione solo perché il nostro filtro non ci lascia intuire elementi di rischio. Dall’al-tro lato potremmo valutare la situazione non sicura focalizzandoci sulle anomalie riscontrate, perdendo però di vista come queste possano essere inserite (e talvolta mitigate) nella complessità della situazione. Facciamo qualche esempio.

18


Se adottiamo una prospettiva tecnico-ingegneristica vedremo la sicu-rezza sul versante tecnologico: quanto i macchinari e gli strumenti utiliz-zati siano affidabili, quanto i processi siano standardizzati e controllati, quanto l’automazione risulti capace di compensare le naturali limitazioni umane. Da questo punto di vista una situazione sicura si baserà sulla ma-nutenzione dei macchinari, la formazione costante del personale (in fon-do, un altro tipo di manutenzione), la valutazione del tasso di rischio delle attività, della affidabilità degli elementi del sistema (tecnologia e persone). Se accadesse un incidente si cercherebbero quegli elementi che hanno provocato il danno, le cause che si sono concatenate per condurre all’esito infausto.

Se adottiamo una prospettiva di tipo normativo cercheremo le confor-mità della situazione di lavoro rispetto alla legge di riferimento, andremo in cerca di violazioni e valuteremo se e come queste potrebbero essere san-zionabili. La sicurezza deriverebbe, quindi, dall’adesione il più possibile completa del lavoro alle procedure e alle normative e in caso di incidente si cercherebbe chi o cosa non è stato in linea con tali regole.

Se adottiamo un approccio di tipo organizzativo vedremo la sicurezza come emergente da processi di lavoro definiti opportunamente, da come i ruoli e i compiti siano chiari, condivisi, efficaci ed efficienti. Se accadesse un incidente si cercherebbero le falle organizzative che hanno permesso al problema di manifestarsi.

Se adottiamo un approccio di tipo psicologico vedremo la sicurezza come ciò che viene creato dalle persone, dalle loro azioni, pensieri, moti-vazioni. In caso di incidente si cercherà di capire chi ha commesso errori, perché ha sbagliato, quali dinamiche mentali erano in atto e come fare per evitare che si ripetano in futuro. Si tenterà di indagare le naturali limitazio-ni umane, elaborando pratiche e modelli per contenerne il rischio.

Ogni approccio è di per sé corretto, ha una sua tradizione che ben giustifica la sua diffusione. Come abbiamo detto prima, ciò che è rischio-so non è l’adozione di una prospettiva, ma il confondere ciò che vedia-mo tramite questa prospettiva con la situazione nella sua complessità. Se guardiamo la fig. 1.1 capiamo subito che qui la sicurezza manca. Eppure, provocatoriamente, potremmo dire che qui esiste un certo tipo di sicurez-za. Proviamo a ragionare per estremi e diciamo che, fino a qualche anno addietro, quando dominavano un approccio tecnico e normativo alla sicu-rezza, questa situazione lavorativa avrebbe potuto essere giudicata sicura. I due lavoratori indossano i dispositivi di protezione individuale (i cosid-detti dpi), ossia le scarpe antinfortunistica, i guanti, gli occhiali protettivi,

19

1. cos’è la sicurezza?

il casco. Gli strumenti utilizzati funzionano bene, stanno applicando alla perfezione quanto appreso al corso tecnico di taglio dell’acciaio e sono giustamente concentrati sul loro lavoro, consapevoli di utilizzare strumenti pericolosi in una postazione lavorativa sopraelevata e quindi intrinseca-mente rischiosa. Sono davvero focalizzati sul compito, come spesso si sono sentiti dire dai loro capi e dai responsabili della sicurezza, perché hanno imparato che “bisogna stare attenti”. Un mero approccio normativo alla sicurezza, una visione tecnica centrata sugli strumenti, una lettura parziale della situazione porterebbero, quindi, a una valutazione contraria all’evi-denza: i due operai sono sicuri. Di farsi male… aggiungiamo noi. Cosa manca? Evidentemente in questo esempio manca il coordinamento, la co-municazione, la consapevolezza della situazione nella sua interezza. Tutti temi che saranno trattati nel corso di questo volume.

figura 1.1Un lavoro svolto in “sicurezza”

1.1.1. La sicurezza è difficile da vedere

Un altro elemento di difficoltà rispetto alla comprensione della sicurezza sta, oltre che nei modelli interpretativi di partenza, anche nelle sue ca-ratteristiche intrinseche. Prima di tutto la sicurezza è qualcosa di difficile da vedere. È un fenomeno ontologicamente ambiguo, perché spesso la si

20


nomina solo in sua assenza, quando accade un incidente. Si “vede” un gesto sicuro quando si agisce per evitare che accada qualcosa di negativo; ad esempio, mettere il casco per proteggersi, o frenare all’improvviso per evitare di tamponare l’auto che precede. Ma la sicurezza non è solo questo, essa è profondamente inserita nei nostri gesti, in ogni istante, ogni pensie-ro, ogni progetto. Immaginiamo il percorso che facciamo ogni giorno per andare a lavorare. Andiamo in auto, con i mezzi pubblici o a piedi. Spesso non vediamo la sicurezza in ciò che facciamo, lo facciamo e basta. Non ci rendiamo conto che sterziamo al momento giusto, che freniamo in modo opportuno, che controlliamo pedoni e auto intorno a noi. Non sappiamo come e quanto il controllo dei freni fatto sei mesi prima ci abbia permesso di non tamponare quell’auto che ha frenato improvvisamente e il cambio gomme recente ci abbia evitato di slittare sull’asfalto bagnato durante la frenata. Non vediamo nemmeno come la nostra guida sia resa sicura anche da come l’auto è stata progettata, da come si muove sul manto stradale più o meno omogeneo, da come l’illuminazione pubblica ci permetta di vedere il contesto intorno a noi, dalle abitudini dei pedoni di attraversare sulle strisce pedonali e degli altri guidatori di rispettare le norme del codice stradale. La sicurezza non si vede, si fa. Come ha giustamente detto Weick (Weick, Sutcliffe, 2001; 2007), la sicurezza è un «non-evento dinamico». È un non-evento perché non ha una sua consistenza ontologica “normale”, non dipende tanto da cosa si fa, ma da come si fa quella cosa. Possiamo indossare il casco ma guidare in modo distratto, possiamo frenare all’im-provviso ma essere comunque troppo vicini all’auto che ci precede per evitare un tamponamento. La sicurezza è un modo di essere e, in quanto tale, è un non-evento dinamico. Cambia nel tempo, perché cambiamo noi e cambia il mondo circostante.

1.1.2. La sicurezza è difficile da misurare

Un altro elemento di difficoltà a proposito di sicurezza è dovuto alla sua misurabilità. Nella nostra società siamo a nostro agio con ciò che è misu-rabile, lasciando l’incommensurabile al dominio dell’arte, della religione o di altre discipline non scientifiche. È certamente difficile misurare la si-curezza proprio perché, come abbiamo detto prima, essa è un non-evento dinamico. Questo non significa che sia impossibile, ma certamente non disponiamo, al momento, di strumenti teorici e metodologici adeguati a dire quanta sicurezza si trovi in un sistema e se sia a livelli opportuni o meno. Possiamo misurare alcuni aspetti come la presenza di sostanze peri-

21


colose (ad esempio radiazioni), di rischi dovuti alle condizioni ambientali (ad esempio pavimenti scivolosi, lavori in elevazione), di strumenti esposti a usura e rottura (ad esempio affidabilità di macchinari). Possiamo anche misurare il tasso di errore degli esseri umani, i loro tempi di reazione ri-spetto a un segnale di allarme. Ci sappiamo spingere fino alla misurazione dello stress collegato al lavoro, degli atteggiamenti degli operatori, della loro percezione del rischio. Possiamo ritenerci soddisfatti se riusciamo ad avere un quadro della cultura organizzativa che indichi come e quanto la sicurezza rientri nelle priorità del sistema. Ad ogni livello i nostri strumen-ti di misura sono sempre meno efficaci e precisi e sappiamo oramai che la sicurezza, quella vera, nasce soprattutto da questi livelli difficilmente misurabili.

1.1.3. La sicurezza è una questione per tecnici

Vista la sua difficoltà, la cura della sicurezza è spesso stata demandata a fi-gure specifiche: i responsabili della sicurezza, gli ispettori del lavoro, i tec-nici, i normatori. Questo ha avuto diversi effetti negativi. Prima di tutto si è caduti in quella visione parziale di cui abbiamo parlato all’inizio, portando ad intendere la sicurezza solo nell’ottica dell’adeguatezza tecnica o nor-mativa. Essere sicuri significherebbe essere conformi a regole e standard predefiniti. Ma vedremo che non è solo questo. In secondo luogo, e forse anche più gravemente, pensare che la sicurezza sia materia per tecnici ha tolto alle persone la possibilità di renderla un modo di essere. Ha portato a pensare il lavoro come qualcosa di diverso dal lavoro sicuro. In questa aberrazione, esiste il lavoro per come viene normalmente fatto e il lavoro “sicuro”, per come lo vogliono i tecnici e i legislatori. Ecco, quindi, che la sicurezza diventa solo un problema burocratico, un’esigenza di pochi (i tecnici) subita da molti (i lavoratori) e da evitare il più possibile, cercando di fare il minimo indispensabile per superare la valutazione di conformità. Occorre precisare con forza che la sicurezza non è il casco che può essere indossato o meno. Il lavoro non sicuro non è lavoro. La sicurezza non è un’aggiunta, o peggio un appesantimento di ciò che si sta facendo, ma è l’unico modo possibile per pensare ed eseguire un lavoro che voglia chia-marsi tale. Pensare alla sicurezza solo in termini tecnici, oltre a derespon-sabilizzare tutti gli attori del sistema, la trasforma in qualcosa di tecnico. La vera sicurezza, intesa come modo di essere, non può essere stimolata in un sistema senza che lo interessi nella sua totalità. Se, ad esempio, un datore di lavoro volesse erogare un corso sull’uso di certi strumenti adot-

22


terebbe un approccio tecnico. Incaricherebbe un esperto per trasferire questa competenza nei suoi lavoratori, ma non sarebbe necessario che lui stesso fosse formato sullo strumento. La sicurezza spesso è stata vista alla stregua di uno strumento, un semplice dpi, un casco che viene presentato ai lavoratori insegnando loro come indossarlo. Ma la sicurezza è anche altro, è qualcosa che interessa tutti e richiede che tutti i livelli del sistema si mettano in gioco.

1.1.4. La sicurezza fa perdere tempo

Questa visione della sicurezza come aggiunta che appesantisce il lavoro ci porta a considerare un altro elemento di difficoltà: la sicurezza fa perdere tempo. È qui in atto un principio di bilanciamento costi e benefici che di-scuteremo in modo approfondito in seguito. Vediamo qui le implicazioni immediate di questa visione distorta: siccome sicurezza e lavoro sono due entità distinte, è preferibile svolgere il lavoro in modo più efficiente senza rallentare od ostacolare l’attività. Dal momento che è difficile stimare la probabilità di un evento, siamo portati ad assumerci rischi in favore di un risparmio di tempo e fatica. D’altro canto è ovvio che la bilancia tra costi e benefici propenda per un vantaggio quasi certo (un lavoro svolto in “eco-nomia”) rispetto a un rischio solo probabile (la possibilità di un incidente). Se la sicurezza sarà vista sempre e solo come costo e rallentamento, non sarà mai promossa e stimolata in modo efficace.

1.1.5. La sicurezza è in contrasto con il business

Infine, collegato al punto precedente, c’è l’ultimo elemento di difficoltà. La sicurezza come aspetto in contrasto con il business. La sicurezza è cer-tamente declinabile in termini di costi, diretti e indiretti. Formare il perso-nale, adeguare e manutenere i macchinari, controllare gli ambienti, seguire le normative, adottare e rispettare procedure, avere cura dei lavoratori, sono tutte attività che hanno un peso economico immediato che, in alcuni casi, potrebbe essere più saliente del costo potenziale dovuto a un inci-dente. Se dovessimo ragionare nel breve termine questa strategia sarebbe condivisibile, ma nel lungo termine l’erosione della sicurezza in favore del risparmio o del guadagno è rischiosa perché i costi finali saranno molto maggiori di quanto risparmiato. Veniamo poi al caso della perdita di vite umane, dove il costo non è stimabile e quindi il bilanciamento tra business e sicurezza perde di senso: se il business prevede la salute delle persone (o

23


la loro stessa vita) tra i costi ammissibili, siamo ovviamente di fronte a un caso che viola non solo le leggi, ma i nostri stessi principi morali.

1.2Cambiare paradigma

Abbiamo visto che non è facile parlare di sicurezza per via di tanti luoghi comuni, retaggi e abitudini che possono rendere inadeguato un approccio efficace al tema della salute sui luoghi di lavoro. Continuiamo questa no-stra riflessione sulle criticità chiarendo alcune questioni terminologiche. Siccome la sicurezza nei sistemi socio-tecnici complessi è, naturalmente, complessa, merita un approccio altrettanto complesso. Non esistono so-luzioni semplici a problemi complessi, e ogni tentativo di riduzione degli incidenti basato su visioni semplicistiche non farà che illudere il sistema rispetto a una condizione ritenuta sicura e che, invece, contiene al suo interno le condizioni che porteranno al disastro.

Vediamo qui di seguito una proposta di cambiamento terminologico, con l’obiettivo di liberare il campo da ambiguità e luoghi comuni. Conti-nuare a usare termini inadeguati significa usare vecchi occhiali per guar-dare la complessità, occhiali che si sono rivelati inutili per cogliere quegli aspetti che possono farci avanzare nell’indagine della sicurezza nella sua intrinseca complessità. Se guardiamo alla tab. 1.1, vediamo un raffronto tra la vecchia e la nuova terminologia.

tabella 1.1Confronto fra termini diversi per parlare di sicurezza

Vecchia terminologia Nuova terminologia

Cause Condizioni Catena degli errori Interazioni complesseErrori Varietà della prestazioneColpe Comportamenti

In un sistema semplice, quando accade un evento è possibile individuarne la causa, perché questa è spesso in prossimità spaziale e temporale con il suo effetto. In un sistema complesso non è possibile che un effetto (un incidente o un qualsiasi altro evento) sia prodotto da una sola causa chia-ramente identificabile. Purtroppo risulta particolarmente frequente e co-

24


modo pensare in termini di cause specifiche, ma la sicurezza nei sistemi complessi non è promossa in modo efficace se per un evento si cerca una e una sola causa. Siamo certamente vincolati dal fatto che prima o poi trove-remo ciò che cerchiamo, perché indossando questi “occhiali” giungeremo a trovare ciò che coincide con le aspettative. Purtroppo, però, saremo vit-time di un’illusione, ossia che, individuata la causa, la si potrà rimuovere e quindi si renderà il sistema più sicuro. Nei sistemi socio-tecnici complessi, tuttavia, non esiste una causa per un effetto: esistono invece condizioni che concorrono a definire uno o più eventi. Saper distinguere cause e condizio-ni è importante, come già intuì James Reason (1990) nei suoi pionieristici lavori sulla psicologia della sicurezza. Il fuoco è la causa di un danno a un macchinario dovuto a un incendio, ma le condizioni che lo producono sono la presenza di materiale infiammabile, la presenza di ossigeno, l’as-senza di intervento per spegnere il fuoco, la carenza di manutenzione sui materiali ecc. Focalizzarsi sulle cause fa perdere di vista le condizioni nelle quali queste assumono carattere di rischio.

Un altro modo comune di guardare gli incidenti consiste nell’utilizzo della metafora della “catena degli errori”. Questa è particolarmente insidiosa per diversi motivi. Prima di tutto non esiste una catena, una sequenza lineare e chiaramente identificabile di “errori”. La catena fa pensare a una serie di cause in sequenza, ma abbiamo visto prima che le cause vanno intese in termini di condizioni contemporaneamente presenti, e non concatenate. Piuttosto, esistono intrecci di relazioni tra fattori che se analizzati a posteriori sono trasformati indebitamente da reticolari a lineari. Inoltre, la metafora della catena degli errori è insidiosa perché parla di “errori”, quindi di comportamenti umani o eventi che sono chiaramente identificabili in questa catena. Come le tessere di un domino, che cadono l’una sull’altra, potranno quindi essere individuati, manipolati, riportati in piedi o rimossi. Immaginiamo di trovarci in un ingorgo stradale: qual è la causa? Esiste una catena di errori o fatti che conducono all’ingorgo? Frustrato dall’attesa, posso anche prendermela col vigile urbano, ma ciò risponderà piuttosto a un mio bisogno quasi infantile di trovare il colpevole del mio malessere. L’ingorgo sarà proprietà emergente di molti fattori, quali le condizioni della strada, il numero di auto in circolazione, la presenza di auto in seconda fila, la sincronizzazione dei semafori, il rispetto o meno delle regole da parte degli autisti e dei pedoni ecc. Il termine “proprietà emergente” proviene dalle scienze della complessità (Corning, 2002) e indica quelle caratteristiche che, in un sistema, derivano dall’interazione di elementi operanti a diversi livelli di complessità e che, pur essendo

25


riconducibili ad essi, non sono predicibili considerando gli elementi nella loro specificità. Un alveare è proprietà emergente dell’azione di milioni di api, e conoscendo l’attività delle singole api non potremmo immaginare forma e funzioni di un alveare. Un incidente è proprietà emergente di diversi fattori che interagiscono e si combinano in modo complesso; ciò implica che ogni intervento sugli specifici elementi costitutivi non permette di prevedere il loro andamento futuro.

Un altro elemento critico della dicitura “catena degli errori” sta nel termine “errore”. Come vedremo più approfonditamente in seguito, que-sta parola ha senso solo a posteriori, dopo che è avvenuto un incidente. Prima dell’evento non si parla di errore, esso nasce nella nostra mente solo quando valutiamo i suoi effetti. Andare a caccia di errori risulta quindi am-bizioso e fatuo, quasi come la caccia ai fantasmi. Come fare a individuare preventivamente qualcosa che si materializza solo dopo un incidente? La parola “errore” serve a dare consistenza ontologica a qualcosa che di fatto non ne ha, è un’etichetta valutativa che possiamo usare per rendere conto di ciò che è accaduto, ma che ha poco senso cercare se vogliamo evitare l’incidente. Essa fa pensare al fatto che esistono comportamenti errati e comportamenti giusti, o meglio: che esiste un modo giusto di fare le cose e tanti modi sbagliati. Non è così. Esiste il modo standard di fare un lavoro, ciò che è scritto nei manuali, nei regolamenti, che alberga nella mente di chi valuta a posteriori. Ma è una palese illusione. Immaginiamo la guida dell’automobile. Ci sono le regole del codice stradale e i principi appresi a scuola-guida, ma poi c’è la guida vera, effettiva, radicata nel qui-ed-ora di ognuno di noi nella sua auto in quel momento specifico. I nostri compor-tamenti non saranno sempre perfettamente coincidenti con ciò che dice il codice stradale o che abbiamo appreso dall’istruttore di guida. Saranno una forma di adattamento locale di quelle regole e apprendimenti. Ecco, quindi, che sembra più appropriato parlare di varietà di prestazione (Hol-lnagel, 2004), intesa come la variabilità che noi esseri umani abbiamo nel mettere in atto i nostri comportamenti. Non siamo macchine che fanno la stessa cosa in ogni contesto, la nostra prestazione è variabile nel tempo e nello spazio, da persona a persona, e possiamo solo stabilire quanto la nostra prestazione sia lontana dallo standard di riferimento. L’essere una prestazione inadeguata sarà quindi una questione di distanza dal criterio. E proprio come accade nell’evoluzione dei sistemi complessi, la varietà è sia fonte di errore, sia fonte di crescita, cambiamento, miglioramento. Un errore nella riproduzione del codice genetico genera una mutazione, che può portare a effetti positivi o negativi per la specie, a seconda del contesto

26


ambientale nel quale si inserisce. Lo stesso accade nei sistemi socio-tecnici complessi, dove la prestazione variabile può generare cambiamenti anche positivi e non va giudicata come erronea solo perché si discosta dallo stan-dard.

Infine, l’errore porta con sé la nozione di colpa. Chi ha sbagliato è sba-gliato. Questa equazione è la conseguenza di quella che chiamiamo “cul-tura della colpa”, di cui parleremo ampiamente in seguito. Se pensiamo all’errore come colpa, il colpevole sarà colui che va punito ed eliminato perché il sistema resti sano. Il rischio di questo approccio è di identificare l’errore con la persona, quindi di pensare che il suo comportamento errato sia dovuto alla natura deviante della persona, e quindi l’unico rimedio sarà di agire su di essa nella sua totalità. Al contrario, piuttosto che giudicare l’individuo, sarebbe opportuno valutare i comportamenti; sembra una pic-cola raffinatezza verbale, ma parlare di comportamenti di rischio e non di persone fa una grande differenza. Un comportamento si può analizzare e correggere, la persona no. Adottare una prospettiva lontana dalla cultura della colpa non significa cadere nel buonismo o nel lassismo. Ognuno è responsabile per ciò che fa e questo principio è fuori discussione. Piuttosto che ragionare in termini di colpa, chi vuole promuovere la sicurezza do-vrebbe adottare una cultura “giusta”, che sappia quanto limitato sarebbe cercare il colpevole a tutti i costi, pensando di aver risolto il problema (Dekker, 2007).

Quanto abbiamo detto finora ha lo scopo di chiarire le basi da cui par-tiamo per parlare di sicurezza. Questo non implica che i termini “errore” o “causa” non compariranno più in questo volume, ma almeno sarà chiaro che sono intesi in un senso diverso da quello comune.

1.3Sicurezza e pensiero sistemico

Il 13 gennaio 2012 alle 21.45 la nave da crociera Costa Concordia colpì uno scoglio presso l’isola del Giglio. La nave si inclinò sul lato destro e imbar-cò acqua in modo repentino, le procedure di evacuazione furono attivate nelle ore seguenti all’impatto. Più di quattromila persone erano a bordo, tra equipaggio e passeggeri. Purtroppo trenta persone persero la vita e due sono al momento ancora disperse. Tutti conosciamo la storia, almeno per come ce l’hanno raccontata. Emersero subito pesanti responsabilità a carico del comandante Francesco Schettino, per la leggerezza di come stava conducendo la nave, troppo vicina alla costa, e per i ritardi nell’avvio

27


delle procedure di evacuazione. Nei mesi successivi la stampa naziona-le continuò a svelare inquietanti retroscena sull’operato del comandante e, contemporaneamente, commentava ammirata l’integrità della Guardia Costiera, che aveva gestito l’emergenza in modo irreprensibile. Si era in-nescato un meccanismo, nell’opinione pubblica, che vedeva nel coman-dante l’origine del disastro e quindi l’unico responsabile per quello che era successo. Questa visione è molto radicata in noi e nasce da fattori di tipo culturale, ma direi soprattutto di tipo antropologico e filosofico. A partire dalla filosofia aristotelica, siamo abituati a vedere il mondo come regolato da cause ed effetti, dove un’azione genera un risultato chiaro ed identificabile. Questo tipo di occhiali è stato molto efficace per secoli e ci ha permesso di realizzare scoperte scientifiche di enorme portata, ma da circa un secolo la scienza stessa ha cominciato a disfarsi di questi occhiali perché non più adatti a spiegare i fenomeni che stavano prendendo forma davanti a noi.

Stiamo oggi vivendo una situazione paradossale, perché abbiamo svi-luppato un progresso tecnologico di vasta portata, tale che negli ultimi cento anni la tecnica ha interessato quasi ogni ambito della nostra vita. Essa si è ramificata, si è estesa e moltiplicata. Il sistema tecnologico rela-tivo alla nave Concordia, ad esempio, è di enorme complessità e interes-sa persone, società, macchinari, software, ecosistemi, regolamenti, leggi, processi economici e culturali. È tale la complessità del sistema che non siamo più capaci di gestirlo con le teorie adeguate. Questo è il paradosso: la tecnologia si è evoluta più rapidamente della nostra capacità di rappre-sentarla e gestirla a livello teorico. Stiamo quindi usando modelli teorici semplici (basati sulla logica causa-effetto) per comprendere e controllare sistemi complessi. Cercare il guasto nel caso Concordia è illusorio, inutile e anzi dannoso. Perché si rischia di trovare ciò che si cerca, e solo quel-lo, pensando che sia sufficiente per spiegare l’accaduto ed evitare che si ripeta.

Dekker (2011) riconduce questa errata impostazione al pensiero scien-tifico iniziato da Cartesio e Newton, basato su un approccio riduzionistico e dualistico. Il dualismo comporta una divisione tra mondo materiale e mondo mentale. Il primo è regolato dalle leggi della meccanica fisica, che non si possono applicare al mondo mentale. Alla base del riduzionismo c’è la convinzione che per comprendere meglio un problema si debba andare in profondità e nel dettaglio. Dal momento che non esiste differenza tra le parti costituenti e il sistema nella sua interezza, secondo questo approc-cio sarebbe consigliabile ridurre l’intero all’analisi delle singole parti. Ma

28


i sistemi complessi presentano caratteristiche qualitativamente diverse a livello generale rispetto al livello delle parti. Nel caso Concordia, per capi-re il problema si sarebbe quindi tentati di andare in profondità a cercare le cause remote, i guasti del sistema. Ma una vera comprensione dell’inci-dente non può derivare dall’analisi riduzionistica di quelli che a posteriori sono considerati gli “errori”. Tale indagine chiamerebbe in questione la scelta della rotta da parte del comandante, il comportamento dei sottuf-ficiali, la poca chiarezza normativa ecc. Ma l’incidente è stato il risultato dell’interazione tra questi e migliaia di altri fattori e, più che le cause, è im-portante studiare l’interazione tra esse. Cercare le cause a posteriori ha un suo interesse che potremmo definire post-mortem; in altri termini, come in un’autopsia, si cercano nel corpo del defunto i fattori che ne hanno deter-minato la morte. Queste sono variabili esplicative, che ci dicono qualcosa sullo specifico evento. Ma evitare che eventi simili accadano è cosa diversa, e piuttosto che focalizzarsi sulle cause bisognerebbe analizzare le interazio-ni complesse tra di loro.

Prima di analizzare nel dettaglio le caratteristiche dei sistemi complessi, vediamo il caso dell’incidente aereo dell’atr-72 della Tuninter, che usere-mo per commentare alcuni dei principi della complessità. Il 6 agosto 2005 un atr-72 della compagnia aerea Tuninter decollò da Bari, diretto all’isola tunisina di Djerba. A circa due terzi del viaggio, il comandante fu costretto ad un ammaraggio di emergenza perché entrambi i motori si spensero, avendo consumato tutto il carburante disponibile. L’ammaraggio avvenne a circa 30 km da Palermo e l’impatto fu tale che morirono 16 persone delle 39 imbarcate.

L’indagine rivelò che l’esaurimento del carburante era dovuto a un er-rato calcolo della quantità fornita prima della partenza. Tale quantità era stata definita sulla base di un indicatore di quantità del carburante che era stato appena sostituito da parte dei tecnici della manutenzione. Essi mon-tarono sull’atr-72 un indicatore tarato per i serbatoi dell’atr-42, modello più piccolo e con serbatoi meno capienti (fig. 1.2).

I due indicatori sono identici, l’unica differenza è la presenza di un pic-colo numero stampato sul frontalino dello strumento, che indica la capacità massima per serbatoio alare (che è 2.500 kg per l’atr-72 e 2.250 per l’atr-42). Tale errore non notato ha fatto sì che, in base al diverso algoritmo di calcolo del livello di carburante, l’indicatore segnasse 1.800 kg in eccesso quando i serbatoi erano vuoti e tale discrepanza aumentasse durante il rifornimento. I piloti, quindi, decollarono credendo di avere a disposizione circa 2.700 kg di carburante, quando in realtà ne avevano imbarcato molto meno.

29


figura 1.2I due indicatori di carburante: a sinistra l’indicatore dell’atr-42, a destra quello dell’atr-72

Qui di seguito è riportato il resoconto dell’Agenzia nazionale sicurezza volo (ansv, 2008, p. 204), in cui si elencano i principali fattori contributivi all’evento:

– Errori commessi dai meccanici/tecnici a terra nella ricerca e nella corretta indi-viduazione dell’indicatore di carburante. – Errori commessi dall’equipaggio di condotta, che non ha rispettato le procedure operative, in particolare per quanto concerne la verifica del carburante presente a bordo.– Controllo carente da parte del competente Ufficio della compagnia aerea coin-volta nell’evento del rispetto, da parte degli equipaggi di volo, delle procedure operative.– Non accuratezza dei dati inseriti nel sistema di gestione delle parti di ricambio ed assenza di un efficace controllo del sistema stesso.– Carente addestramento sull’utilizzo del sistema di gestione delle parti di ricam-bio e assenza di un responsabile per la gestione del sistema stesso.– Standard manutentivi e organizzativi della compagnia aerea non soddisfacenti, al tempo dell’incidente, per un’adeguata gestione degli aeromobili. – Caratteristiche installative degli indicatori di carburante (fqi) degli aeromobili atr-42 e atr-72 tali da rendere possibile il montaggio di un fqi per atr-42 su di un atr-72 e viceversa.

I punti elencati qui sopra potrebbero essere visti come “guasti” del siste-ma e si potrebbe quindi andare a caccia dei responsabili. Sarebbe questa la tradizionale impostazione newtoniana, riduzionista e meccanicista. Se invece adottiamo la prospettiva della teoria della complessità, ci troviamo di fronte a una situazione ben diversa.

Vediamo ora alcune caratteristiche dei sistemi complessi (von Bertlanf-fy, 1968), aiutandoci con l’esempio del caso Tuninter.

30


I sistemi complessi sono sistemi aperti. Essi sono in continuo scambio di materia, informazione ed energia con l’ambiente esterno e con altri siste-mi, non è possibile definire chiaramente i confini di un sistema complesso perché ciò che accade nel suo interno è influenzato dall’esterno e, a sua volta, influenza l’ambiente circostante. Nel caso della Tuninter, l’incidente va letto nell’interazione del sistema con elementi apparentemente esterni, ad esempio la concorrenza della compagnia con il mercato, che provoca una forte pressione commerciale data dal periodo estivo e dall’esigenza di operare senza ritardi. Inoltre, la decisione della casa costruttrice dell’in-dicatore di carburante di adottare un’unica configurazione fisica di due pezzi destinati a modelli di atr diversi è esterna al sistema Tuninter, ma, come sappiamo, ha avuto conseguenze rilevanti. Dopo l’incidente furono emesse alcune raccomandazioni che sollecitavano la casa costruttrice ad adottare due tipologie installative diverse, in modo da evitare il ripetersi di errori simili. Tuttavia questa indicazione non è stata subito recepita, anche perché comporterebbe dei costi e un cambiamento di strategie produttive. Tale ambiguità ha però avuto un seguito perché, pochi mesi dopo l’inci-dente della Tuninter, un evento simile accadde a una compagnia tedesca dove due operai montarono un indicatore del modello 42 sul modello 72. In questo caso, però, si accorsero dell’errore al momento del rifornimento di carburante, perché le quantità segnalate risultavano incongruenti. Infi-ne, un altro elemento nel caso Tuninter che rivela la natura di interscambio con altri sistemi riguarda il software per la gestione dei pezzi di ricambio. Ogni pezzo di ricambio, infatti, ha un part number (p/n) che lo identifica in modo univoco, proprio per evitare errori di montaggio. Il tecnico addetto alla sostituzione del pezzo cercò sul catalogo dei pezzi di ricambio quale fosse il codice dell’indicatore e trovò il p/n 748-681-2. Inserì quindi il p/n sul programma di gestione dei pezzi di ricambio in uso presso la Tuninter, il quale diede esito negativo. Questo perché il sistema era stato impostato in modo tale da leggere tutto ciò che seguiva il trattino “-” come un carat-tere e non come numero. Il p/n “corretto” sarebbe stato 748681-2, ma il tecnico non lo sapeva. Non era consapevole che ci fosse una incongruenza tra il p/n riportato nel catalogo e i p/n caricati nel database del sistema di gestione dei ricambi. Così come non poteva sapere che il trattino era stato rimosso dal costruttore degli indicatori per problemi informatici di gestione dei pezzi. Il tecnico, non trovando il pezzo richiesto, cercò pezzi compatibili e identificò quindi quello per l’atr-42.

In un sistema complesso, ogni componente è inconsapevole del comporta-mento del sistema nella sua totalità e non conosce gli effetti delle sue azioni

31


sul sistema. Questo fatto è ben evidente nella soluzione progettuale della casa produttrice dei due indicatori di carburante: quando hanno deciso per un’unica configurazione hanno prevalso logiche e comprensibili ra-gioni logistiche, tecniche e produttive. Non sapevano che questo avrebbe avuto una tale ricaduta in un altro tempo e in un altro luogo. Allo stesso modo, chi gestiva il sistema informatico dei pezzi di ricambio non aveva consapevolezza della sua incompatibilità con il catalogo dei pezzi stessi, poiché in uno il p/n era riportato con il trattino e nell’altro senza. Inoltre, possiamo elencare una sequenza di azioni “cieche” nel caso Tuninter: chi prende il pezzo non sa dei cambiamenti al software, chi lo monta non verifica il p/n, l’addetto al rifornimento non si accorge dell’incongruenza tra carburante imbarcato e livelli indicati sulla strumentazione, coman-dante e copilota non notano le discrepanze durante il rifornimento. Ogni elemento di questo sistema agisce nell’ambito della sua conoscenza par-ziale, vede solo un pezzo del sistema. Se ogni elemento del sistema avesse conoscenza del sistema stesso, esso avrebbe la medesima complessità del sistema. Nei sistemi complessi, però, questo non è possibile: gli elemen-ti non contengono la stessa complessità del sistema, altrimenti sarebbe valido un approccio riduzionistico, per cui basta analizzare le parti per comprendere il tutto.

La complessità è una proprietà emergente del sistema e non delle sue par-ti. I sistemi complessi si possono analizzare a diversi livelli, partendo dalle parti più elementari via via sino a quelle più generali. Ad ogni livello si hanno proprietà emergenti, ossia che derivano dai livelli inferiori, ma che possiedono aspetti qualitativamente diversi rispetto alla somma degli ele-menti da cui sono formati. Si pensi all’acqua e alle sue caratteristiche: essa è qualitativamente diversa rispetto alle componenti gassose da cui è com-posta, cioè idrogeno e ossigeno. La natura liquida dell’acqua deriva dall’in-terazione di due elementi gassosi. È quindi l’interazione, e non l’analisi delle parti, a spiegare il sistema. Se l’analisi di un elemento fosse sufficiente per spiegare il sistema, basterebbe agire su quell’elemento per cambiare o gestire l’intero sistema. Nei sistemi complessi non è così. Si pensi ai due in-dicatori di carburante del caso Tuninter: se bastasse conoscere questo ele-mento per gestire tutto il sistema (e quindi prevenire l’incidente), sarebbe sufficiente agire su questa parte del sistema. Ma, come sappiamo, nel caso del Tuninter questa ambiguità progettuale ha interagito con altre caratte-ristiche specifiche del sistema (le incongruenze tra sistema informatico e catalogo dei ricambi, il mancato controllo dei meccanici e dei tecnici che operavano il rifornimento, l’inconsapevolezza dei piloti nella conduzione

32


delle procedure di volo) e ha portato all’incidente. Pochi mesi più tardi, lo stesso elemento in un altro contesto (in una compagnia aerea tedesca) ha interagito con altri elementi e non ha dato esiti catastrofici, perché gli operatori si sono accorti dell’incongruenza tra quantità di carburante imbarcata e quantità segnalata dagli indicatori. Sempre nel caso Tunin-ter, i piloti non si sono accorti del frontalino diverso (indicava 2.250 kg di capienza per serbatoio alare, anziché 2.500), ma questo perché non c’era motivo di sospettarlo. Essi interagivano con la fiducia che altri avessero eseguito i controlli e non stava a loro verificare se il frontalino corrispon-desse a quello corretto.

I sistemi complessi operano in condizioni di non equilibrio. I sistemi complessi vivono ai margini del caos, ossia in quella zona di confine che li separa dall’ordine rigido, da una parte, e dal disordine entropico, dall’altra. Se un sistema cadesse nell’ordine, nella rigida struttura della ripetizione delle stesse dinamiche, rischierebbe di collassare di fronte ai cambiamenti dell’ambiente circostante e degli altri sistemi coi quali interagisce. Dall’al-tro lato, se il sistema si spingesse eccessivamente verso il caos, perderebbe la sua organizzazione e non avrebbe capacità di mantenere le sue caratte-ristiche fondamentali nel tempo. Nel caso Tuninter, questo è ben visibile per quanto riguarda le incongruenze tra catalogo dei ricambi e sistema informatico di gestione dei pezzi. Il sistema è collassato (ha avuto un inci-dente) perché non ha saputo adeguarsi ai cambiamenti che erano interve-nuti rispetto al p/n dell’indicatore di carburante. La casa produttrice aveva eliminato il trattino per questioni informatiche, questo cambiamento non era stato riportato nel catalogo dei ricambi e, inoltre, non si era provveduto a correggere una impostazione del database informatico, quella secondo cui tutto ciò che segue il trattino è un carattere e non un numero.

I sistemi complessi evolvono secondo linee che dipendono anche dalla loro storia passata. Quando si legge lo stato di un sistema, si compie un falso, nel senso che lo stato andrebbe interpretato nell’ottica della storia precedente. Il percorso scelto dal sistema nel momento iniziale del suo svi-luppo avrà effetti a lungo termine in larga parte non predicibili. Per capire le dinamiche del sistema è quindi importante leggerlo nel suo sviluppo diacronico e non solo inquadrarlo nel qui-ed-ora. La famigerata “catena degli errori” del caso Tuninter ci fa inorridire, se pensiamo agli attori coin-volti come inconsapevoli negligenti che costruiscono lentamente il disa-stro, scelta dopo scelta. Ma loro non sapevano che stavano costruendo una tragedia, questa è la lettura che diamo noi a posteriori, perché, di fatto, le cose sono andate così. A posteriori ci chiediamo come abbiano potuto non

33


accorgersi degli errori, ma mettiamoci nei loro panni e leggiamo i compor-tamenti come storia e non come colpa. Ognuno aveva una storia, una lunga serie di esperienze simili a quella che stavano vivendo, che li rendeva tran-quilli e sicuri. Tutto faceva parte della loro storia, delle abitudini (devianti, poco conformi alle procedure, certo) della compagnia, in cui le prassi ope-rative erano condotte senza il pieno rispetto delle procedure. Ma questo mancato rispetto non è nato di punto in bianco, il 6 agosto 2005, nella loro testa. Si è sedimentato negli anni, grazie a una lunga serie di successi (ossia assenza di incidenti) a seguito di queste leggerezze procedurali. La storia passata rendeva quindi normale, per l’operatore alla ricerca del pezzo di ricambio, sceglierne uno simile e dare per scontato che il pezzo giusto non fosse in magazzino.

I sistemi complessi hanno interazioni non-lineari. Esiste una notevole diversità e asimmetria tra ciò che entra nel sistema e ciò che ne esce. Piccoli eventi possono generare enormi conseguenze, perché le intera-zioni tra le parti del sistema possono avere effetti moltiplicativi. È questo il famoso “effetto farfalla” teorizzato da Edward Lorenz, per spiegare come sia possibile che un cambiamento apparentemente irrilevante delle condizioni iniziali del sistema (un battito d’ali di una farfalla) possa ge-nerare alterazioni su larga scala all’interno del sistema (un uragano). È quindi sbagliato leggere gli eventi in ottica simmetrica rispetto alle loro supposte cause. Non è vero che un grande incidente è provocato da un comportamento scellerato. Piccoli comportamenti, omissioni, abitudini consolidate, innocue ambiguità informative, tutti questi battiti d’ali han-no interagito fra loro e hanno portato all’uragano, ossia l’incidente della Tuninter. Se il mondo fosse davvero interpretabile con l’ottica riduzio-nista e meccanicista, la simmetria tra cause ed effetti sarebbe rispettata. Ma i sistemi complessi seguono altre logiche, in cui è possibile che una decisione presa dieci anni prima dalla casa produttrice degli indicatori di carburante (la rimozione del trattino nel p/n) abbia contribuito a pro-durre effetti così devastanti.

1.4La coppa della sicurezza

All’inizio di questo capitolo abbiamo detto che uno dei motivi che ren-dono difficile la promozione della sicurezza è la sua natura ineffabile e invisibile. Un tentativo di visualizzare la sicurezza potrebbe quindi aiuta-re nel tutelarla e promuoverla. Come abbiamo visto, la sicurezza dipen-

34


de dall’interazione di molti fattori presenti nel sistema; è un non-evento dinamico e va quindi rappresentata in modo tale da riprodurre questa natura.

Proviamo a indicare quali sono gli elementi principali che interagisco-no in un sistema: avremo persone che hanno a che fare con altri colleghi e che si inseriscono in una organizzazione fatta di regole, principi, proce-dure, culture; essi utilizzano strumenti, macchinari, dispositivi, materiali e lavorano in un ambiente fisico più o meno facilitante, avendo a che fare con un ambiente esterno, anche sociale, fatto di clienti, cittadini, opinione pubblica, istituzioni. Tutto questo elenco di elementi forse non è esaustivo, ma ci aiuta a individuare gli attori principali di un sistema. Possiamo rap-presentarli come tanti pezzi di una coppa, elementi in interazione dinami-ca, che sono tutti collegati e possono più o meno integrarsi armonicamente fra loro. I tasselli sono mobili, non sono mai fermi, e sono frastagliati, de-vono quindi cercare sempre di colmare le falle che si possono creare nei margini di contatto. È importante notare che le falle, più che essere dei buchi all’interno dei singoli tasselli, sono viste come lacune tra i tasselli, quindi come inadeguata integrazione fra due o più elementi del sistema. Nella fig. 1.3 vediamo una possibile rappresentazione (Bracco, 2005; Brac-co, Cipresso, Villamira, 2009).

figura 1.3La coppa della sicurezza

35


Cominciamo dall’essere umano. Egli è uno dei tasselli, ed è presente come corpo e come mente, ossia la sicurezza può interessare sia la sua dimensio-ne fisica sia quella psicologica. Immaginiamo situazioni di fatica fisica, di posture scorrette, di esposizione ad agenti nocivi, di temperature estreme. Tutti questi aspetti riguardano il nostro essere corpi fisici sottoposti a sol-lecitazioni, una falla in questo tassello rappresenterebbe situazioni di mi-naccia per il corpo. L’aspetto psicologico è dato da quelle variabili legate al vissuto della persona, alle sue aspettative, bisogni, emozioni, motivazioni. In questo tassello si trovano il suo modo di gestire l’attenzione e lo stress, la sua memoria, il suo modo di comunicare, di apprendere e di insegnare. Una falla a questo livello rappresenterebbe situazioni legate a cattiva pre-stazione, giudizi erronei, effetti negativi del carico di lavoro e dello stress ecc.

Poi c’è il gruppo, inteso come pari e come organizzazione. A livello dei pari, di colleghi, si trovano questioni legate alla gestione del gruppo di lavoro, di comunicazione e coordinamento, di benessere nella squadra. Una falla a questo livello potrebbe essere dovuta a situazioni di cattiva comunicazione, di scarso coordinamento tra i colleghi. Mentre qui domi-na una lettura di tipo orizzontale, nel secondo tassello vediamo il gruppo in senso gerarchico, a livello di organizzazione. Qui si trovano dinamiche organizzative legate alla comunicazione interna, più o meno formalizzata, alle competenze di leadership, alla cultura aziendale, alla mission e ai valori. Una falla a questo livello potrebbe essere dovuta alla cultura della colpa.

Le persone lavorano utilizzando strumenti fisici e procedure. Questi sono gli altri due tasselli della coppa. Uno rappresenta le macchine, gli utensili, gli oggetti usati per lavorare. Una falla a questo livello potrebbe essere dovuta a una cattiva progettazione della tecnologia, a una sua scarsa integrazione con l’essere umano, a un’anomalia nell’automazione. Gli stru-menti sono anche procedure, regole, manuali, istruzioni, checklist ecc. Tut-to ciò che riguarda le linee guida per usare gli strumenti e fare il proprio lavoro. Anche in questo caso una falla potrebbe riguardare procedure non applicabili, troppo stringenti o insicure, manuali incomprensibili, checklist inutili.

Infine, tutti lavorano all’interno di un ambiente fisico e sociale. L’am-biente fisico è dato dal contesto di azione, il luogo di lavoro per come interagisce su persone e tecnologie. Una falla a questo livello potrebbe rappresentare ambienti ostili, con radiazioni, inquinamento, condizioni estreme per lavorare come l’altezza, il rumore ecc. L’ambiente sociale, in-fine, rappresenta il contesto in cui il sistema opera, fatto di clienti che

36


hanno esigenze e aspettative, cittadini che hanno una certa immagine del sistema e dei suoi servizi, istituzioni che controllano ed emettono regole a cui il sistema deve sottostare, mezzi di comunicazione che controllano e contribuiscono a rendere un’immagine pubblica del sistema. Tutti questi tasselli si toccano alla base, sono in interazione dinamica tra loro, se uno si muove, gli altri dovrebbero cambiare di posizione. Ogni cambiamento in uno di essi dovrebbe comportare riadattamenti altrove. Se questo non avviene, o se i cambiamenti in un tassello non vengono armonicamente controbilanciati dagli altri tasselli, la coppa si sfalda. Le falle possono es-sere nel singolo tassello (ad esempio, un’anomalia in uno strumento), ma più frequentemente sono il risultato dell’interazione fra tasselli (ad esem-pio, nella scarsa usabilità di uno strumento da parte degli operatori, che comporta molti errori di utilizzo). Più la falla è profonda, più sarà grave, perché toccherà più tasselli del sistema e la sicurezza sarà completamente compromessa.

Immaginiamo, ad esempio, il caso della Costa Concordia. Senza pre-tese di analisi tecnica sull’evento, vediamo che ci sono state diverse falle nei tasselli del sistema. Il comandante ha preso decisioni discutibili sulla rotta e sulla gestione della crisi (livello psicologico), il gruppo di ufficiali non ha saputo esercitare il suo ruolo nella prevenzione del disastro (livel-lo dei pari), l’organizzazione non era consapevole, o tollerava, la pratica degli “inchini” sottocosta (livello organizzativo), le procedure non erano definite né condivise (livello delle regole), la strumentazione a disposizione non è stata sufficiente per evitare l’impatto (livello della tecnologia), il con-testo fisico era ostile, con scogli pericolosi presenti lungo la rotta (livello dell’ambiente fisico), l’ambiente sociale e culturale vedeva con favore la pratica degli “inchini”, come segno di bravura del comandante, occasione di passaggi panoramici mozzafiato, omaggio a personalità di rilievo della marineria italiana (livello del contesto sociale). Tutte queste falle nel siste-ma hanno fatto defluire l’acqua-sicurezza, portando al disastro.

La sicurezza è un liquido contenuto in questa coppa. In quanto tale essa si muove, si adatta al contenitore, ma è anche difficile da prendere. Infatti la sicurezza è difficile da manipolare, sfugge dalle mani perché è un non-evento dinamico. Essa si adatta al sistema in cui è inserita e non è pensabile una sicurezza “predefinita”, “prefabbricata”, esportabile da un sistema ad un altro. La sicurezza nel sistema X non può essere affrontata e concepita come identica nel sistema Y, anche se i due sistemi sono molto simili. Essi sono fatti di persone con esperienze, vissuti, aspettative diver-se. Ad esempio, le procedure operative di un reparto di una fabbrica con

37


mille dipendenti, non possono essere applicate in maniera identica a un medesimo reparto, con le stesse mansioni, ma in una sede con solo cen-to dipendenti. La gestione delle risorse sarebbe inevitabilmente diversa, perché l’applicazione di procedure deve variare al variare delle persone a disposizione per metterle in atto. Laddove vi sia una falla l’acqua-sicurezza scende a quel livello. Se, ad esempio, ci sono due falle, una in alto, a livello di procedure, e una in basso, a livello di gruppo di lavoro, la sicurezza scenderà al livello della falla più bassa. Ciò significa che in un sistema la sicurezza si attesta al livello dell’elemento più debole. Non avrebbe sen-so preoccuparsi per tappare la falla delle procedure, nell’esempio appena esposto, se prima non si agisse a livello di gruppi che operano in modo non sicuro. Che utilità avrebbero procedure più rigide se manca la capacità di lavorare in team e di adottare quelle stesse procedure? La sicurezza scen-de, quindi, fino alla falla più profonda, più in basso. Il livello delle falle potrebbe indicare la gravità del problema, che cresce all’approssimarsi del fondo della coppa. Una falla nel cuore del sistema, al fondo, toccherebbe tutti gli elementi e quindi rappresenterebbe un buco talmente grave che non lascerebbe più acqua nella coppa.

Questo modello ci aiuta anche a capire che se si vuole promuovere la sicurezza nei sistemi complessi, ogni azione su una parte del sistema deve essere pensata nelle sue conseguenze su quella parte, ma anche su tutte le altre, che sono in interazione dinamica e non sempre conosciuta. Allar-gare lo spessore di un tassello, ad esempio, non farebbe che disallineare gli altri elementi, spaccando la coppa. Alzare un tassello, elevando il suo bordo, darebbe illusione di sicurezza, ma sarebbe invece inutile se gli altri elementi restassero immutati. Immaginiamo un sistema dove si acquistino macchinari all’avanguardia, ad esempio un reparto ospedaliero, ma dove gli operatori non sono adeguatamente formati per utilizzarli al meglio. Il margine superiore del tassello delle strumentazioni sarebbe rialzato, ma questo non renderebbe più sicuro il sistema, perché le persone non sareb-bero capaci di usarle. Oppure immaginiamo una fabbrica dove il responsa-bile per la sicurezza decida che i controlli degli estintori devono passare da trimestrali a mensili. Questo provvedimento sulla carta potrebbe sembrare ineccepibile, perché aumenta la sicurezza sul versante delle procedure di manutenzione degli strumenti. Il problema è che questi interventi devono essere pensati anche rispetto a come possono riverberare sugli altri ele-menti del sistema. Se questo controllo mensile non si accompagna a un ripensamento delle mansioni, dei tempi di lavoro, ma semplicemente si aggiunge al lavoro svolto normalmente, esso rischia di non essere applica-

38


to. Potrebbero quindi esserci delle falle a livello di operatori che, sotto il carico di una attività in più da svolgere entro lo stesso tempo, farebbero ispezioni superficiali, certi che in ogni caso il mese successivo ci sarà modo di controllare meglio.

L’acqua nella coppa esercita una pressione sui vari tasselli, spingendoli verso l’esterno. Allo stesso modo, la sicurezza sollecita il sistema, lo mette alla prova. Tutelare la sicurezza è quindi un lavoro, un’attività che richiede ai tasselli di combaciare per garantire un livello ottimale di acqua al suo interno. Se gettassimo dell’acqua in modo repentino e violento, la coppa si spaccherebbe. L’acqua va calata lentamente nella coppa, facendola scivola-re gradatamente tra i vari tasselli. Così è la sicurezza, non la si può impor-re violentemente, va metabolizzata e fatta propria, finché non diventa un modo di essere, culturale e psicologico. Una sicurezza che cade dall’alto, che precipita nella coppa, non farà altro che smembrarla. È questa quel-la sicurezza imposta rigidamente, che non viene capita dalle persone, ma solo subita. Oppure quella sicurezza usata come pretesto per bloccare il sistema, per rallentarlo. Si pensi allo sciopero bianco, quella forma di scio-pero in cui i lavoratori eseguono alla lettera le loro mansioni, nel totale rispetto delle regole per la sicurezza e delle procedure previste. In genere questo blocca ogni operatività. Oppure si pensi a quella sicurezza che na-sce dalla paura, come nel caso della medicina difensiva. Essa si riferisce a tutte quelle pratiche sanitarie, cliniche e diagnostiche che sono del tutto inutili ai fini terapeutici, ma che illudono gli operatori di auto-tutelarsi dalle denunce che potrebbero derivare da pazienti scontenti o insospettiti dal mito negativo della “malasanità”. Questa non è sicurezza, è solo paura legittima, che però ha un costo enorme, in termini di risorse economiche e umane impiegate in attività inutili, il cui solo valore è la tutela in caso di contenzioso legale. Vediamo di seguito un caso accaduto in un ospedale, dove la soluzione proposta non farebbe che allargare la falla, perché frutto della paura e non dell’analisi accurata.

Analisi di un caso: una strana carota

Una donna di 67 anni si reca in Pronto soccorso (ps) per sensazione di corpo estra-neo in gola dalla sera precedente quando, durante la cena, riferisce di aver ingerito un pezzo di carota “un po’ grosso”. Il medico di ps valuta la paziente e, avendo questa lo spazio respiratorio conservato, la dimette con indicazione di una visita in ambulatorio di otorinolaringoiatria (orl) il mattino seguente. Due giorni dopo la paziente si ripresenta in triage. La procedura di codifica della gravità del paziente

39


in arrivo al ps viene eseguita da un infermiere professionale che, in base ai sintomi, assegna un codice colorato (rosso: emergenza, pericolo di vita; giallo: urgenza, non immediato pericolo di vita; verde: urgenza minore; bianco: nessuna urgenza). Per-siste il disturbo, viene inviata nuovamente in ambulatorio orl. Al quarto giorno, con lo stesso disturbo, la paziente si reca autonomamente in ambulatorio orl. Lo specialista la invia in ps per eseguire uno studio radiologico con mezzo di contrasto del faringe. Il medico fa eseguire un elettrocardiogramma (ecg) – puramente per routine. L’ecg dimostra una sindrome coronarica acuta (sca, infarto). Il cardiolo-go consultato dichiara che l’infarto era presente al primo accesso in ps (semplice deduzione sua, unendo sintomi e segni raccolti in più giorni).

Questo episodio scatena un allarme tra il personale medico e infermieristico del ps: se una sensazione di corpo estraneo in gola è sca, ogni dolore al faringe o corpo estraneo può essere sca, quindi facciamo ecg ad ogni paziente con proble-ma di gola. Questo è buttare secchiate di acqua nella coppa della sicurezza: l’acqua schizzerebbe fuori, la coppa oscillerebbe facendo traboccare l’acqua, i tasselli po-trebbero scostarsi uno dall’altro. Questa è una metafora. Concretamente il tassello uomo non funzionerebbe: il medico si troverebbe a valutare una quantità di ecg alla ricerca di sca in assenza di sintomi specifici con il rischio di sovra/sottostimare il tracciato. Vi interessa sapere come sta la paziente?

41

2

La sicurezza spiegata da un gorilla

2.1La difficoltà di vedere i rischi

Vediamo ora cosa significa, in pratica, adottare un punto di vista sul pro-prio lavoro che consenta una vera promozione della sicurezza. Provate a guardare l’immagine nella fig. 2.1, leggendo le istruzioni proposte e rispon-dendo il più velocemente possibile.

figura 2.1Aguzzate la vista

Ad un primo sguardo è possibile che non abbiate notato nulla. Avete segui-to le istruzioni e avete cercato attentamente l’errore nascosto nella sequen-za di numeri. Siccome sono numeri in sequenza crescente da 1 a 9, avrete pensato che il vostro sguardo si fosse perso qualcosa e avete letto meglio, scandendo i numeri nella mente in modo seriale. Ancora niente. Allora

42


avrete pensato che l’errore stesse nel colore dei numeri, i toni di grigio variabile potrebbero essere ingannevoli. Niente. La spaziatura ristretta tra i numeri? Nemmeno. Poi forse avrete riletto le istruzioni per capire se vi è sfuggito qualcosa; e forse infine avrete notato che l’articolo “il” viene ripe-tuto due volte, alla fine della prima riga e all’inizio della seconda. I vostri occhi erano così orientati a cercare l’errore nei numeri che avete dato per scontata la normalità delle istruzioni. Questo fenomeno di tunnel cogniti-vo è interessante e dice molto su come vediamo il mondo intorno a noi. Ci aspettiamo che l’errore sia nei numeri e quindi lo cerchiamo solo lì. Allo stesso modo, cerchiamo i rischi solo dove pensiamo si possano annidare. Meglio ancora se si annidano tutti in un’unica persona, è più facile gestirli. Ma i rischi per la sicurezza si trovano ovunque e il vederli o meno dipende dal nostro atteggiamento mentale, dal tipo di occhiali che adottiamo. A proposito: anche l’articolo “i” è ripetuto due volte… siccome ci si aspetta un solo errore (come detto dalle istruzioni) una volta trovato il primo non se ne cercano altri.

Questo fenomeno si chiama inattentional blindness (Simons, Chabris, 1999; Chabris, Simons, 2009) e si riferisce alla “cecità” in cui cadiamo quando non dirigiamo l’attenzione verso certe parti della scena. L’esem-pio più clamoroso di cecità senza attenzione è visibile in un filmato che presenta tre ragazzi con maglia nera e tre ragazzi con maglia bianca che si passano una palla da basket muovendosi freneticamente. Il compito è di contare i passaggi tra i ragazzi bianchi. Più del 50% degli osservatori si concentra sui passaggi e non vede a metà filmato un attore mascherato da gorilla che entra in scena, si ferma in mezzo al campo di gioco e si batte il petto, per poi uscire lentamente. Il gorilla è nero, come la maglia degli altri giocatori, e quindi gli osservatori hanno impostato la loro at-tenzione in modo tale da trascurare tutto ciò che non corrisponde agli elementi di interesse. Chi vede il gorilla spesso ci riesce perché si perde i passaggi e quindi sgancia l’attenzione dalla palla, oppure perché conosce già il filmato. Solo pochi riescono a contare i passaggi in modo corretto e vedere il gorilla.

Questa esperienza è molto utile per riflettere sulla sicurezza. Prima di tutto ci dice che quando lavoriamo siamo spesso così concentrati che ri-schiamo di non vedere cose anche molto evidenti. Pensiamo alla guida, ad esempio. Non è un caso che questo fenomeno sia la causa di molti in-cidenti sia in campo aeronautico che stradale. Ma il senso profondo del filmato è un altro. La richiesta è di contare i passaggi e chi si concentra lo fa in modo diligente e attento. Allo stesso modo, spesso le persone fanno

43

2. la sicurezza spiegata da un gorilla

il proprio lavoro concentrandosi sulle procedure e pensano di operare in modo sicuro. Ma la sicurezza non sta solo nell’adesione alle procedure, spesso esistono gorilla che passano e non lasciano il segno, ma sarebbero visibili se si adottasse la giusta prospettiva. I gorilla sono quindi metafora di tutto ciò che si trova nel nostro lavoro di inatteso e di “invisibile”, ma che potrebbe avere rilevanza per la sicurezza. Il gorilla passa, non si ferma, ma prima o poi potrebbe fermarsi e farci male. I rischi sono tali perché hanno una certa probabilità di evolvere in incidente e la sicurezza sta nel compiere il proprio lavoro seguendo il più possibile le procedure (contare i passaggi) senza trascurare informazioni apparentemente irrilevanti, se-gnali deboli che sembrano non essere collegati col lavoro in corso, ma che potrebbero minacciarlo in futuro (il gorilla).

Un altro insegnamento di questo filmato è che, dopo aver contato i passaggi, se qualcuno accenna timidamente e perplesso di aver visto un gorilla, gli altri membri del gruppo reagiscono deridendolo per l’assurda affermazione. In alcuni casi ho visto persone che, essendo le uniche ad aver visto il gorilla, si sono ricredute e hanno quasi chiesto scusa per la bizzarria. Questa è la cultura della colpa. Il gruppo non sa dell’esistenza del gorilla e reagisce all’affermazione assurda con un tipico meccanismo di difesa, una sorta di negazione del problema. La realtà di molti è più “vera” della realtà di pochi e quindi chi vede il gorilla è certamente in errore. Chi vede situazioni di rischio e prova a riportarle si può trovare in questa condizione frustrante data dal fatto di essere considerato una voce fuori dal coro, uno scomodo che vede rischi irragionevoli in preda alle sue paranoie.

Quando si mostra il filmato per la seconda volta, chiedendo di non contare i passaggi, tutti vedono il gorilla e allora possono manifestarsi due tipi di reazione. Qualcuno guarda con ammirato stupore colui che ha visto il gorilla, magari pentito per averlo deriso, e certamente scosso dal fatto di non aver visto un così evidente segnale davanti ai suoi occhi. Altri ca-dono ancora nel meccanismo di difesa della negazione e sostengono che il filmato è diverso, che il primo filmato non aveva gorilla e che questo è stato inserito solo nel secondo video. Piuttosto che accettare la scomoda verità di non vedere così bene come crediamo di fare, alcuni preferiscono sospettare un complotto o una manipolazione. Anche questo può accadere nella promozione della sicurezza sul lavoro: chi vede un rischio potenziale, nascosto tra le procedure, può trovare la resistenza di chi quel rischio non lo vede e non lo vuole vedere, perché vederlo significherebbe mettere in discussione le proprie competenze e aspettative e doversi predisporre a un cambiamento.

44


Analisi di un caso: un gorilla in Pronto soccorso

Vediamo ora di applicare questo fenomeno a un caso specifico. La situazione è la seguente: in un piccolo Pronto soccorso si trovano ad operare un medico, tre infermieri e un ausiliario. Il carico di lavoro è moderato, ci sono alcuni pazienti sulle barelle, altri attendono di essere visitati dal medico, altri ancora nella sala d’attesa prima del triage. Giunge in ambulanza un marocchino di quarantatré anni, i barellieri descrivono il caso all’ausiliario come segue: “il paziente era in questura interrogato per rissa quando si è accasciato lamentando dolore toraci-co”. Il paziente è fatto accomodare su una sedia nel corridoio interno del Pronto soccorso e l’ausiliario gli assegna il codice verde riportando “contusioni” nella cartella clinica. Dopo cinque minuti l’infermiere di triage nota dalla sua postazio-ne che il paziente ha una espressione facciale anomala e decide di farlo sdraiare su una barella, gli misura la pressione arteriosa, esegue un elettrocardiogramma (ecg) e fa un prelievo del sangue. Mostra quindi i risultati delle analisi al dotto-re, che decide di lasciare il paziente con il codice verde. Poco dopo il paziente ha un ennesimo attacco di dolore toracico e vomita. Non viene preso nessun provvedimento. Le analisi del sangue sono negative. Un’ora e mezza dopo il suo arrivo in Pronto soccorso, il paziente esegue una radiografia al torace che risul-ta negativa sia per fratture costali sia per lesioni pleuro-parenchimali. Un’ora dopo il paziente continua a lamentarsi per dolore al torace; viene eseguito un secondo ecg che rivela alterazioni tipiche di un’ischemia miocardica e vengono rieseguiti gli esami del sangue che mostrano un rialzo di troponina, il primo enzima ad aumentare in caso di ischemia del miocardio. Viene quindi eseguita una consulenza cardiologica e il terzo ecg (questo in assenza di dolore) mostra una riduzione delle anormalità della traccia. Il paziente viene quindi inviato in terapia intensiva coronarica con la seguente diagnosi: “alterazioni enzimatiche e dell’ecg in trauma toracico”. Finalmente riceve un intervento di angioplastica per occlusione coronarica.

Il paziente era chiaramente vittima di un infarto ma nessuno, eccetto l’infer-miere di triage, aveva riconosciuto questa situazione anche in presenza di evi-denze diagnostiche inequivocabili. Perché? Possiamo ipotizzare che il profilo della situazione fosse inusuale, perché sono frequenti i casi di cittadini maroc-chini ricoverati per contusioni da rissa. I barellieri dell’ambulanza, che avevano descritto il caso quasi dando per scontato che la situazione fosse routinaria, e la decisione superficiale dell’ausiliario avevano contribuito a impostare il gruppo a cercare i passaggi dei bianchi (la frattura), piuttosto che a vedere il gorilla (l’infarto). Questo li ha condotti in un tunnel cognitivo che li avrebbe impostati a trattare il caso come abituale. Nessuno, incluso il medico, si liberò dal tunnel cognitivo poiché non riconobbero né l’ecg né le analisi del sangue come segni di un infarto, cosa che avrebbe richiesto di cambiare impostazione mentale. Di-versi fattori hanno bloccato gli operatori nel loro tunnel: la relativa novità della situazione, il carico di lavoro e le pressioni temporali, i pregiudizi verso quel tipo di pazienti.

45


Possiamo anche valutare gli aspetti organizzativi grazie a questa metafora del gorilla. Ad esempio, l’infermiere di triage non si fece coinvolgere nel tunnel cognitivo in cui si persero i suoi colleghi poiché non era presente all’arrivo del marocchino e non si è fatto bloccare dalla descrizione data dai barellieri; ciò gli ha permesso di notare il viso del paziente e i segni di un malessere di origine cardiaca, ha quindi saputo notare il segnale debole, liberandosi dei fattori di disturbo che possono bloccare nel tunnel cognitivo.

Questo incidente mancato non fu successivamente analizzato dallo staff me-dico e dai dirigenti, che lo ritennero irrilevante. L’infermiere di triage descrisse questo caso a un medico che al momento non era presente, ritenendo che tali informazioni avrebbero potuto essere utili se condivise e analizzate. Questo in-fermiere possedeva la flessibilità mentale necessaria per cogliere segnali deboli e notare che la prestazione del gruppo, in quella occasione, era stata rischiosa. Era stato capace di vedere il segnale debole dell’infarto e il segnale debole della cecità del gruppo, perché aveva visto le anomalie e le voleva condividere per aumentare la consapevolezza del gruppo di lavoro.

Ma la flessibilità data dalla sensibilità ai segnali deboli non è sufficiente se non viene condivisa, se rimane a livello individuale. L’infermiere ha cercato di condividere l’esperienza, segnalando il gorilla, ma purtroppo il team non ha ac-colto queste sue informazioni, perché l’esito non drammatico del caso (il pazien-te non ha subito danni rilevanti né è deceduto) ha smorzato il potere informativo degli eventi anomali notati dall’infermiere.

Questa situazione mostra anche una tipica caratteristica dei sistemi socio-tecnici complessi: la prestazione degli operatori è ben diversa da quella prescrit-ta e prevista dalle procedure. Le persone adattano alla situazione contingente le attività richieste e talvolta tali adattamenti risultano rischiosi. Ad esempio, i barellieri e l’ausiliario non erano autorizzati a fare il triage, i sintomi di infarto sono stati sottovalutati, il paziente ha dovuto attendere troppo tempo prima di essere ricoverato in terapia intensiva ecc. Tra le cause di queste inadeguatezze possiamo citare fattori interni (ad esempio, le aspettative erronee su quel tipo di paziente) o esterni (ad esempio, le condizioni di lavoro). In questa storia si nota come fossero presenti adulti gorilla di fronte agli occhi degli operatori, e solo alcuni hanno saputo notarli e gestirli in modo appropriato.

2.2L’importanza dei segnali deboli

L’esercizio proposto con la fig. 2.1 e l’esempio del gorilla sono la dimostra-zione che vediamo ciò che vogliamo (o ci aspettiamo di) vedere. Se pen-siamo alla sicurezza come qualcosa che può essere minacciata dall’errore umano, vedremo persone che sbagliano; se è un problema di manutenzio-ne, vedremo solo macchinari da controllare; se è un problema di proce-

46


dure, vedremo solo processi da organizzare, regolamenti da irrigidire. In questo volume diremo che la sicurezza è anche altro. Promuovere la sicurezza significa anche (e soprattutto) saper cogliere i segnali deboli presenti costantemente nel proprio contesto lavorativo, intuendone il potenziale sviluppo verso l’incidente prima che porti a conseguenze ne-gative. Tali segnali andranno visti, condivisi, gestiti a livello di singoli, gruppi e organizzazione, affinché il gorilla sia messo in gabbia e non possa fare male. Lo scopo di questo volume è proprio quello di discu-tere su come vedere, condividere e gestire tali segnali deboli, prima che diventino incidente.

Un’obiezione che potrebbe giungere a questa affermazione è che i se-gnali deboli, in quanto deboli, non meriterebbero di essere visti e gestiti. Ciò distoglierebbe dal compito (contare i passaggi), già di per sé gravoso. Non è possibile, si potrebbe dire, vedere tutti i tipi di gorilla che circo-lano nel lavoro, anche perché ognuno ne vedrebbe di propri, potrebbe usarli in modo inadeguato, strumentale. E poi, prima di dare importanza ai segnali deboli, si dovrebbe imparare a seguire le procedure, risponde-re a segnali forti e gravi come la carenza di fondi, la poca motivazione delle persone a seguire le regole ecc. Queste obiezioni potrebbero essere valide, ma credo che un cambiamento culturale e sistemico, che permet-ta di dare valore ai segnali deboli e gestirli in modo efficace, potrebbe portare alla risoluzione dei problemi anche di altro livello, come quelli elencati. In secondo luogo, da molti anni ormai la letteratura sugli inci-denti nei sistemi complessi conferma un dato statistico interessante. Se provassimo a quantificare il numero di situazioni non sicure rispetto a quasi incidenti, incidenti lievi e incidenti gravi, vedremmo una sorta di piramide. Quella rappresentata nella fig. 2.2 è un esempio di pirami-de ispirata a quella proposta da Heinrich (1931) e poi rivisitata in anni recenti da altri ricercatori, ma sostanzialmente rimasta valida nei suoi contenuti di base.

Indipendentemente dall’ordine di grandezza, che può variare da si-stema a sistema, sembra che per ogni incidente grave si siano verificati in passato decine di piccoli incidenti, centinaia di situazioni di rischio, migliaia di eventi anomali. Tutti segnali che avrebbero potuto essere colti per evitare di scalare la piramide fino all’incidente grave. Ecco allora che la sicurezza può essere promossa agendo sui segnali deboli prima che evolvano in incidente. I gorilla si trovano alla base della piramide, sono quei segnali difficili da notare, ma su cui si dovrebbe agire in misura preventiva. Laddove regni una cultura della colpa, però, vi sarà una cor-

47


tina che annebbierà i livelli più bassi della piramide, lasciando emergere solo la punta, l’incidente grave. Nelle organizzazioni non sicure, dove vige la sicurezza come ricerca del colpevole, i lavoratori non saranno capaci di vedere i segnali deboli o, nel caso lo fossero, non saprebbero o potrebbero condividerli e gestirli a livello di gruppo e organizzazione. In tal caso si lascerebbe che i segnali evolvessero diventando sempre più minacciosi. Solo una volta trasformati in incidente l’organizzazione non potrebbe più chiudere gli occhi di fronte al fatto e si agirebbe per porre rimedio. Ma questo approccio è puramente reattivo; si fa sicurezza sulla base delle ferite passate e nei sistemi socio-tecnici complessi non è con-sigliabile aspettare l’incidente per migliorare. Potrebbe essere l’ultimo. Un’organizzazione orientata alla sicurezza dovrebbe creare le condizioni per intervenire sulla parte bassa della piramide, quando non ci sono an-cora conseguenze negative da rimediare.

figura 2.2La piramide che rappresenta il rapporto tra segnali deboli, quasi incidenti e incidenti gravi

2.3La matrice segnali per risposte

Diviene chiaro, quindi, che la sicurezza si basa sul rapporto tra segnali e risposte. Vi possono essere segnali forti o deboli in un sistema, e questo può dare risposte forti o deboli. Dalle possibili combinazioni di segnali e risposte deriva una matrice come quella rappresentata nella tab. 2.1.

48


tabella 2.1La matrice segnali-risposte

Risposte

Deboli Forti

SegnaliDeboli Deriva verso il disastro Sicurezza proattivaForti Collasso Sicurezza reattiva

2.3.1. Risposte deboli a segnali forti: verso il collasso

Se un sistema fornisce risposte deboli a segnali forti sarà semplicemen-te destinato al collasso. In questo caso non solo si attende che il segnale diventi incidente, ma non lo si considera come fonte di apprendimento e miglioramento, quindi la risposta sarà debole, parziale, inadeguata. È que-sta la situazione in cui, per esempio, accade un incidente organizzativo e si interviene sull’ultimo “anello della catena”, quindi sulla persona che ha sbagliato. Se un medico viene giudicato responsabile di un evento avverso, in cui lui è solo uno dei fattori che hanno contribuito alla genesi dell’inci-dente, la direzione interviene sulla persona e trascura tutti gli altri fattori che resteranno così attivi nel sistema, pronti per generare altri incidenti.

2.3.2. Risposte deboli a segnali deboli: la lenta deriva

Se un sistema fornisce risposte deboli a segnali deboli non si renderà conto di andare alla deriva verso il disastro, perché attenderà che il segnale evol-va verso incidenti più gravi. I motivi per cui le organizzazioni danno rispo-ste deboli a segnali deboli possono essere vari. Vi può essere l’incapacità di rappresentarsi il pericolo per via dell’eccessiva confidenza sulle proprie capacità. È questo il caso del Titanic, dove malgrado il personale di plancia sapesse della presenza di iceberg lungo la rotta, sottovalutò il problema e preferì concentrarsi sull’aspetto trionfale dell’impresa. Questo accade a livello di sistema e di persone. Se ci sentiamo troppo capaci di controllare la situazione, siamo troppo fiduciosi nei successi passati, rischiamo di sot-tovalutare i rischi e daremo risposte deboli. Un altro motivo potrebbe es-sere quello della carenza di risorse (economiche, temporali, organizzative, mentali). In tal caso, malgrado si colga il problema, si preferisce rinviare la soluzione perché non si dispone di risorse sufficienti ad affrontarla o si sot-tostima la probabilità che quel segnale debole diventi forte. Ad esempio, se guidando mi accorgo che l’auto sbanda per via dei pneumatici usurati,

49


sto cogliendo un segnale nemmeno troppo debole. Se per mancanza di soldi, tempo o per disorganizzazione non trovassi il modo di far cambiare i pneumatici, rischierei seriamente di avere un incidente. Penserei solo di stare un po’ più attento mentre guido, magari evitando le frenate brusche quando piove. Questa risposta debole non mi proteggerebbe dal rischio di avere un serio incidente, perché, per quanto guidi attento alle frenate, non potrei prevedere tutte le situazioni in cui dovrei bloccare l’auto improv-visamente. Allo stesso modo, sul piano organizzativo, un dirigente che, pur notando errori dovuti alla cattiva gestione dei carichi di lavoro, non intervenga aumentando le risorse di personale o rallentando i tempi di ese-cuzione, bensì imponendo la compilazione di checklist, crederebbe di aver trovato una soluzione, ma sarebbe solo illusoria. Le persone compilereb-bero la checklist di fretta e senza controllare davvero, perché la vedrebbero non come un supporto al lavoro, ma come un compito in più oltre a quelli che già devono svolgere.

2.3.3. Risposte forti a segnali forti: sicurezza reattiva

Veniamo al caso in cui il sistema dia risposte forti a segnali forti. Siamo nel campo dell’apprendimento per prove ed errori, dell’esperienza fatta sul campo. I sistemi socio-tecnici complessi non si possono sempre per-mettere di avere una sicurezza puramente reattiva, che ponga rimedio ai danni causati da un incidente. L’apprendimento che ne consegue sarebbe grande, ma i costi (economici, tecnologici, umani, sociali, ambientali) po-trebbero eccedere il guadagno in termini di conoscenza acquisita. Si pensi a incidenti come quello della Costa Concordia. Dopo il segnale forte (il naufragio, la morte di più di trenta persone, il danno ambientale), il si-stema della navigazione italiana ha richiamato al rispetto di regole severe per quanto riguarda le distanze di sicurezza (risposta forte). Era un costo evitabile? Molti sostengono di sì. Si pensi ancora al cambiamento radicale del sistema di trasporto aereo dopo l’attacco alle Torri gemelle di New York, l’11 settembre 2001. Un segnale forte (l’attacco terroristico) ha impo-sto una risposta forte (controlli ai check-in, cabine di pilotaggio blindate ecc.). I sistemi spesso apprendono dagli errori e quindi un tale metodo non è sbagliato, ma diventa inefficiente nel momento in cui il sistema si trova in condizioni di rischio tale che un incidente non sarebbe sostenibile. Pensiamo, ad esempio, al dibattito mondiale tuttora in corso rispetto alle centrali nucleari. Gli incidenti avvenuti a Three Mile Island, Černobyl’, Fukushima (per citare tre centrali nucleari) ci hanno insegnato molto, ma

50


non sappiamo quantificare i costi umani, sociali e ambientali che sono de-rivati dal disastro. I motivi per cui le organizzazioni spesso aspettano di arrivare al segnale forte sono dovuti alla sottostima dei rischi, alle esigenze produttive che fanno passare in secondo piano i temi della sicurezza, a una cultura della colpa che rende ciechi di fronte ai segnali deboli, per cui si attende l’evento avverso grave per reagire.

2.3.4. Risposte forti a segnali deboli: sicurezza proattiva

La vera sicurezza si ha quando un sistema riesce a dare risposte forti a segnali deboli. Per fare ciò deve avere la capacità di intuire il rischio poten-ziale dei segnali e avere le risorse per intervenire. I segnali deboli, proprio perché tali, sono difficilmente visibili e spesso solo gli operatori front-line, cioè quelli più vicini all’area produttiva, sono in grado di coglierli. Crean-do una cultura organizzativa e lavorativa che si basi sulla fiducia e sulla condivisione, gli operatori possono cogliere tali segnali e utilizzarli. Uno dei sistemi migliori per questo processo è il reporting system, ossia un me-todo di segnalazione degli eventi che metta in comunicazione la base con i vertici dell’organizzazione. Spesso vengono segnalati solo gli incidenti gravi, perché la legge lo impone e non è facile nasconderli se ci sono morti o feriti. Perché un sistema sia definito sicuro deve riuscire a far circolare l’informazione relativa non solo agli incidenti, ma soprattutto ai segnali deboli. Tuttavia per fare questo è necessaria fiducia (il contrario della cul-tura della colpa), e soprattutto è necessario che le informazioni riportate abbiano una ricaduta concreta e il più possibile immediata sul modo di lavorare degli operatori. Se le risposte del sistema sono assenti, inadeguate o tardive, i lavoratori perdono il senso del reporting e lo vivono solo come l’ennesima burocrazia. La segnalazione fine a se stessa non è sicurezza; se non rientra in un progetto sistemico di analisi e intervento sarà una forma di eutanasia di un’idea.

Ripensiamo al caso del marocchino. L’infermiere è stato l’unico a non cadere nella trappola, ha visto il segnale debole e ha provato a condivi-derlo. Anzi, sono due i segnali che ha notato: l’espressione del paziente e la condizione di lavoro troppo routinaria del gruppo. Egli ha provato a segnalarli, ma non ha avuto seguito. Nel caso del primo segnale debole, l’espressione del paziente, il gruppo era troppo concentrato nel cercare la frattura e quindi non era nelle condizioni mentali di uscire da questa aspettativa. Come vedremo anche in seguito, piuttosto che cercare ipotesi alternative alla propria, malgrado le evidenze, ci si ostina a cercare confer-

51


me alle nostre ipotesi. Il gruppo cercava la frattura e poteva vedere solo questa. Il mancato ascolto dell’infermiere è dovuto quindi, in questo caso, al fatto che lui sta raccontando un’altra storia, completamente slegata dalla storia degli altri. Prestare attenzione a qualcosa di incoerente con le nostre aspettative costa fatica, richiede impegno e fiducia, proprio come succede nel filmato del gorilla. Nel caso del secondo segnale, è ancora più difficile prestare attenzione e dare valore alle parole dell’infermiere. Egli riporta una pericolosa condizione di lavoro, che conduce gli operatori a sottova-lutare situazioni, a non comunicare in modo efficace, a un’ambiguità dei ruoli e delle competenze. È evidente che se è già difficile ascoltarlo nel primo caso (non riconoscere un infarto), diventa quasi impossibile dargli credito nel secondo (cambiare modo di lavorare).

2.4I fondamenti di una cultura della sicurezza

L’esempio del marocchino mette in luce il valore del reporting, inteso più come cultura che come sistema codificato in modelli e procedure. Le nor-mative sulla sicurezza in Italia impongono già un certo tipo di reporting a livello di modelli, formulari, metodi. Il problema è che manca spesso la cultura per capirne l’utilità, accettarne il valore, fidarsi e utilizzarlo. Per cultura intendo proprio la possibilità che i lavoratori sentano di poter usa-re questi strumenti per tutelare la loro salute, benessere e sicurezza. E che questi non siano usati dalla dirigenza a scopo intimidatorio, persecutorio, investigativo. In altre parole, perché siano strumenti per una cultura orga-nizzativa “giusta”, orientata alla sicurezza, e non pregna della cultura della colpa. Tratteremo anche in seguito dei temi di colpa, cultura giusta e repor-ting, ma vediamo qui come si inseriscono nel più ampio tema della cultura della sicurezza. Reason (1997) ha definito una cultura della sicurezza come fondata su almeno cinque tipi di culture organizzative:1. cultura dell’apprendimento: prima di tutto l’organizzazione, come ogni sistema aperto, dovrebbe essere in cerca di apprendimento, sapendo cosa cercare e come trattare le informazioni acquisite. Una volta raccolte le informazioni, dovrebbe essere in grado di capitalizzarle, di giungere a conclusioni utili per la sicurezza e di operare cambiamenti opportuni per migliorare il suo adattamento. L’apprendimento, quindi, si basa su una cultura informata;2. cultura informata: i dirigenti e gli operatori sono consapevoli dei fattori organizzativi, ambientali, tecnologici e umani che determinano la sicurezza

52


del sistema. In altri termini, ripensiamo alla coppa della sicurezza presenta-ta nel capitolo precedente. Si tratta di essere consapevoli dello stato di sa-lute dei vari elementi, al fine di evitare perdite di acqua/sicurezza. Questo aspetto è rilevante, perché la complessità delle organizzazioni rende spesso opaco il sistema; è difficile avere consapevolezza su tutti gli elementi rile-vanti. Ad esempio, il management e chi pianifica il lavoro degli operatori potrebbe non sapere che il lavoro viene svolto in modo molto diverso da come lo ha pensato. Più il lavoro effettivamente svolto e quello pianificato sono distanti, maggiore sarà la probabilità di incidenti. Una cultura infor-mata è quindi attenta a valorizzare le informazioni, di qualunque natura, senza colpevolizzazioni. In altre parole, si basa su una cultura giusta;3. cultura giusta: le persone devono potersi fidare dell’organizzazione, de-vono sapere che i loro comportamenti (anche erronei) e la loro sensibilità verso la sicurezza sono i migliori strumenti per raccogliere segnali debo-li. La cultura giusta evita la colpevolizzazione, non fermandosi all’errore umano o alla punizione delle violazioni. La cultura giusta rende esplicito il confine tra comportamenti passibili di intervento disciplinare ed errori “onesti”. Essa sa concentrarsi sui processi sistemici, piuttosto che sui risul-tati delle azioni delle persone. Per fare questo deve mettere a disposizione degli operatori dei sistemi di segnalazione che siano percepiti come utili e non indagatori;4. cultura della segnalazione: il reporting è uno strumento utile per far circolare le informazioni, perché quando gli operatori riportano errori e quasi incidenti, aiutano il sistema ad apprendere prima che si arrivi a danni maggiori. Si tratta appunto di dare materiale per agire con risposte forti a segnali deboli. Ma per motivare gli operatori alla segnalazione è necessario uscire dalla cultura della colpa (altrimenti la segnalazione sarebbe vista come un’autodenuncia) e dare feedback immediati e coerenti alle segnala-zioni (altrimenti le persone che si sono esposte, non vedendo cambiamenti, cadrebbero nel disfattismo e nell’impotenza). Per dare feedback immedia-ti e coerenti, il sistema deve possedere la giusta flessibilità;5. cultura della flessibilità: una volta create le condizioni per ottenere le informazioni, i segnali deboli, il sistema deve saperli elaborare e adattarsi alla nuova conoscenza. La flessibilità permette al sistema di riconfigurarsi, soprattutto quando opera in contesti dinamici e imprevedibili. La gerar-chia quindi non è rigida, l’organizzazione si appiattisce, diventa più retico-lare.

53

3

Come le persone sbagliano

3.1Incidenza del “fattore umano”

nella genesi degli incidenti

In tutti gli ospedali sono in uso delle pompe di infusione per il controllo del flusso di medicinali per via endovenosa. Questi macchinari prevedono che l’operatore digiti la quantità desiderata di liquido da iniettare e per-mettono il monitoraggio del flusso nel tempo. Nell’agosto 2006 la Food and Drug Administration (fda), l’agenzia statunitense che tutela la salute pubblica tramite la supervisione e regolamentazione di farmaci e alimen-ti, si trovò a gestire un caso difficile. Molte pompe di infusione prodotte dalla Alaris avevano un difetto nel tastierino numerico usato per impostare la quantità di medicinale da iniettare. In alcuni casi, quando l’infermiere premeva il numero una sola volta, la macchina registrava due pressioni. Ad esempio, digitando 3,5 la pompa si poteva impostare su 33,5, somministran-do un’overdose di farmaco dieci volte maggiore. Il rischio di provocare danni o anche la morte nei pazienti era elevato e l’agenzia statunitense sollecitò il ritiro delle pompe non ancora in uso. Per le pompe già installa-te, la fda emanò una lettera di avviso a tutti gli ospedali dove si davano le seguenti indicazioni:1. informare tutti gli infermieri che durante la digitazione avrebbero do-vuto assumere una posizione corretta rispetto al tastierino, ascoltare quanti “bip” venivano emessi dalla macchina dopo ogni pressione, verificare i nu-meri riportati sul display, fare un controllo incrociato con un collega, fare un controllo visivo del flusso di medicinale per verificare la correttezza del flusso impostato;2. posizionare sulla pompa un’etichetta di avviso del potenziale rischio di errata digitazione.

54


Nella gestione di questo caso, è stata scelta la via della sensibilizzazio-ne delle persone. Una via alternativa avrebbe previsto la riparazione del difetto meccanico della tastiera. Supponiamo ora che un infermiere non si accorga dell’errore e somministri una dose eccessiva di farmaco. Malgrado tutti gli avvertimenti egli ha sbagliato. Perché le persone sono così esposte all’errore? Eppure sono state emesse nuove procedure (ascolto dei “bip”, controllo incrociato…) e avvisi di allarme (l’etichetta sulla pompa). Perché l’infermiere non si è accorto che stava impostando la pompa in modo er-rato? La risposta potrebbe essere tanto banale quanto disarmante: errare è umano.

Se questo motto valeva in epoca romana, sembrerebbe essere ancor più valido oggi, dove l’essere umano è immerso in sistemi socio-tecnici complessi. Nel cap. 1 abbiamo visto come lo sviluppo di sistemi complessi sia andato molto oltre la nostra capacità di rappresentare e gestire le pos-sibili interazioni al loro interno. Siamo stati bravi a costruire sistemi, che però non sappiamo gestire nel modo migliore. Secondo Heinrich, Petersen e Roos (1980), l’88% degli incidenti nei sistemi produttivi e nei trasporti nel xx secolo è dovuto ad atti insicuri (errori o violazioni) commessi dai lavoratori. Se guardiamo le statistiche degli incidenti in ogni settore, dalla medicina al trasporto aereo, dall’edilizia alla produzione industriale, tro-viamo il “fattore umano” tra gli elementi di rischio maggiori. In poche parole, laddove c’è stato un incidente, vi sarà dietro un comportamento inadeguato di una o più persone. Rifacendoci alla terminologia proposta da Reason, definiamo “errore” un comportamento che ha prodotto risul-tati indesiderati, che infrange regole codificate ed è vissuto come contra-rio ad una norma condivisa anche se non scritta. In generale, consiste in un fallimento di una sequenza pianificata di azioni mentali e attività nel raggiungere un obiettivo desiderato che non può essere attribuito al caso (Reason, 1990). Per motivi che saranno approfonditi nel prossimo capito-lo, la ricerca preferisce oggi adottare una terminologia diversa e, anziché parlare di “errore umano”, utilizza i termini “azioni erronee”, intese come «azioni che non producono gli esiti attesi o che producono conseguenze non volute» (Hollnagel, 1993, p. 29).

Le statistiche sugli errori come causa di incidenti sono simili in tutti i paesi occidentali; per quanto riguarda l’Italia possiamo dire che le rileva-zioni inail riportano come almeno il 40% degli infortuni sia legato a com-portamenti scorretti dei lavoratori. I settori più colpiti sono l’agricoltura e l’edilizia. Questo dato è certamente sottostimato, perché tiene conto solo di quelle situazioni dove la denuncia di infortunio giunge presso l’inail,

55

3. come le persone sbagliano

ma poco sappiamo di tutti quegli infortuni che accadono nel lavoro som-merso, non regolamentato e senza tutele.

3.1.1. Il fattore umano in aviazione

Il mondo dell’aviazione è quello che forse prima di tutti si è posto il proble-ma dell’errore umano. A partire dalla Seconda guerra mondiale, l’aviazione militare aveva notato come molte perdite non fossero dovute all’offensi-va del nemico, ma ad errori dei piloti nel controllo del velivolo o a fuoco amico. Negli anni seguenti si investirono molte risorse nell’addestramento della persona, nella tecnologia e nella ricerca, al fine di ridurre l’incidenza di quello che venne battezzato con successo il “fattore umano”. Il tasso degli incidenti è fortemente calato negli ultimi cinquant’anni, passando da quasi venticinque incidenti mortali per milione di decolli a meno di uno (nell’arco temporale che va dal 1960 al 2000) (Chialastri, 2011). Tuttavia, se-condo un’indagine di Holden (2009), sugli incidenti analizzati dal Comitato statunitense per la sicurezza dei trasporti nazionali (ntsb) nel periodo 1999-2006, il 96% degli incidenti è stato dovuto in larga parte a comportamenti erronei dell’equipaggio e nell’81% dei casi l’errore umano era l’unica causa riconosciuta dell’incidente. Tali statistiche sono confermate anche da altri studi svolti su un arco temporale più ampio (Wiegmann, Shappell, 2003). Shappell e Wiegmann (2004) hanno, inoltre, condotto uno studio per ana-lizzare le tipologie di errori più frequenti sia in aeronautica militare che civile. Non vi sono sostanziali differenze tra i due settori: in generale la mag-gior parte degli incidenti dovuti a fattori umani è legata a comportamenti ritenuti routinari, automatizzati, altamente frequenti. Questo tipo di errori riguarda il premere un pulsante per errore, credendo di premerne un altro, il leggere distrattamente un display, il dare un comando dicendo una cosa ma intendendone un’altra. Questo significa che, secondo queste statistiche, gli incidenti in aviazione accadono non per carenza di competenze, ma per “semplice” distrazione. Questo è un problema considerevole, perché se la sicurezza dipendesse dalle conoscenze, basterebbe incrementarle con una migliore formazione. Ma non è facile dire alle persone di stare più attente, perché la distrazione avviene proprio mentre non siamo consapevoli. E i sistemi tecnologici odierni sono talmente avanzati in termini di automazio-ne che rischiano di estromettere l’operatore dal controllo del velivolo e lo rendono sempre meno attivo, e quindi più prono alla distrazione.

Dopo gli errori da distrazione, secondo Shappell e Wiegmann, trovia-mo quelli da decisione inadeguata. In questo caso le persone non hanno

56


saputo adottare la procedura migliore in base al problema, perché non lo hanno capito o non sono stati veloci nel trovare la strategia opportuna. Di seguito, vi sono errori dovuti a violazioni intenzionali di procedure, spesso non in forma eccezionale ma piuttosto reiterata. Si tratta in questo caso di incidenti legati a violazioni sistematiche, ormai normalizzate, in cui gli operatori preferiscono “accorciare” o aggiustare la procedura per motivi che sono in contrasto con la sicurezza.

Un’ultima categoria, molto meno rappresentativa, riguarda gli inciden-ti dovuti a errori percettivi, ossia dovuti a cattive condizioni di visibilità, disorientamento, illusioni ottiche ecc. Questi fattori sono più frequenti in aviazione militare che in quella civile, ma hanno tassi di incidenza più ri-dotti rispetto ai fattori precedentemente elencati.

3.1.2. Il fattore umano in medicina

Uno dei settori spesso accomunati a quello dell’aviazione è la medicina. Entrambi richiedono un’alta professionalità degli operatori, possiedono procedure molto formalizzate e operano in contesti dinamici e spesso im-prevedibili, con forti interazioni tra aspetti sociali, culturali, tecnologici e organizzativi. Nel suo libro Ten Questions about Human Error, Sidney Dekker (2005) spiega perché, stando alle statistiche, i medici sono più pe-ricolosi delle armi da fuoco. Vi sono circa 700.000 medici negli Stati Uniti. Le stime dell’Istituto di Medicina riportano che ogni anno muoiono tra le 44.000 e le 98.000 persone per motivi riconducibili ad errore medico (Kohn, Corrigan, Donaldson, 1999). Ciò significa che negli Stati Uniti ogni anno 1 dottore su 7 uccide 1 paziente. In questo paese i possessori di fucili e pistole sono 80 milioni e le morti accidentali per arma da fuoco sono “solo” 1.500 l’anno. Questo vuol dire che, in un anno, solo 1 persona su 53.000 ucciderà qualcuno per errore con la sua arma. E, di fatto, questa statistica rende i medici 7.500 volte più pericolosi dei possessori di armi da fuoco. Ovviamente, le statistiche citate da Dekker (2005) sono esposte in modo provocatorio, e le commenteremo ancora in seguito. Per ora le usiamo come elemento di riflessione sull’incidenza dell’errore umano in medicina. Secondo uno studio condotto negli usa, l’incidenza di eventi av-versi iatrogeni (dovuti cioè alla terapia prescritta) si aggira intorno al 3%, di questi il 69% era evitabile e il 13% ha provocato la morte del paziente (Brennan et al., 1991). Dati analoghi sono riscontrati in studi australiani e inglesi. Le tipologie di errori più frequenti, secondo Leape, Lawthers e Brennan (1993), sono:

57


– diagnostici: errore o ritardo nella diagnosi, mancata esecuzione delle indagini prescritte, adozione di test o terapie non aggiornate, errori nell’in-tervento sulla base dei risultati diagnostici;– di trattamento: errore nell’esecuzione di una operazione, procedura o test, errore nella somministrazione di un trattamento, errore nel dosaggio di un farmaco, ritardo ingiustificato nella somministrazione di un tratta-mento o nella risposta a un test anormale, terapia inappropriata;– preventivi: mancato trattamento di profilassi, inadeguato monitoraggio o trattamento di follow-up;– altro: errori nella comunicazione, errori nell’uso delle attrezzature, altri errori di sistema.

I dati relativi all’Italia non sono così dettagliati, ma possiamo stimare che le tendenze siano simili. Un fatto molto rilevante che sta accadendo nel nostro paese è l’incremento delle denunce per malpractice, ossia per sospetta negligenza dei clinici nell’adeguarsi a standard professionali ge-neralmente accettati. Negli ultimi anni si è assistito a un incremento an-che del 200% del numero di denunce, arrivando, nell’ultimo triennio, a quota 32.000 l’anno. Ciò non significa che a ogni denuncia corrisponda un reale errore da parte di medici e infermieri; anzi, spesso queste si risolvo-no in un’assoluzione degli inquisiti. Il dato riflette, tuttavia, la sensibilità dell’opinione pubblica sui temi legati alla sicurezza e alla fallibilità di per-sone e organizzazioni nei contesti sanitari.

3.1.3. Il fattore umano nei trasporti stradali

Se le statistiche su aviazione e sanità sembrano allarmanti, quelle relative agli incidenti stradali sono drammatiche. Stando all’ultimo rapporto aci-istat (2012), il numero degli incidenti è in costante calo (–2,7% rispetto al 2011), così come lo sono i morti e i feriti. In dieci anni il numero dei morti è calato del 45,6% e questo dato ci conforta rispetto agli sforzi che vengono fatti da legislatori, polizia stradale, istituzioni locali e produttori di auto-mobili per aumentare la sicurezza alla guida. Se però ci concentriamo sul contributo che la nostra fallibilità umana o la nostra propensione al rischio danno alla genesi degli incidenti, i dati sono inequivocabili. Guardiamo la tab. 3.1, relativa alle cause accertate o presunte di incidenti stradali nel 2011, suddivise per ambito stradale.

Come si può vedere, più del 50% delle cause di incidente è dovuto a guida distratta, eccesso di velocità, mancato rispetto delle distanze di sicurezza, manovre non regolamentari e mancato rispetto degli stop. Nei

58


contesti urbani il principale fattore di incidentalità è il non rispetto delle precedenze o dei semafori, mentre su strade extraurbane è la guida di-stratta, indecisa o veloce. Come si vede, sono tutti fattori riconducibili a comportamenti umani errati, per distrazione o per negligenza. Quando non è il conducente del veicolo a commettere un’infrazione o un errore, è il pedone il responsabile dell’incidente (3,19% dei casi).

tabella 3.1Cause accertate di incidenti nel 2011 suddivise per categoria di strada

Cause accertate o presunte di incidente Strade urbane

Stradeextraurbane Totale

Valore%

Procedeva con guida distrattao andamento indeciso

30.611 12.258 42.869 17,57

Procedeva con eccesso di velocità 17.207 10.794 28.001 11,48

Circostanza imprecisata 22.580 6.672 29.252 11,99

Procedeva senza mantenerela distanza di sicurezza

17.785 7.800 25.585 10,49

Manovrava irregolarmente 15.228 2.688 17.916 7,34

Procedeva senza rispettare lo stop 12.456 2.038 14.494 5,94

Procedeva senza dare la precedenzaal veicolo proveniente da destra

11.107 1.366 12.473 5,11

Procedeva senza rispettare il segnaledi dare precedenza

11.797 1.542 13.339 5,47

Svoltava irregolarmente 6.535 1.008 7.543 3,09

Procedeva contromano 3.806 1.620 5.426 2,22

Sorpassava irregolarmente 3.850 1.339 5.189 2,13Veicolo evitato 2.225 3.531 5.756 2,36

Non dava la precedenza al pedonesugli appositi attraversamenti

6.526 100 6.626 2,72

Procedeva senza rispettarele segnalazioni semaforiche o dell’agente

2.085 126 2.211 0,91

Procedeva non in prossimitàdel margine destro della carreggiata

1.691 998 2.689 1,10

Veicolo fermo in posizione irregolare urtato 2.466 278 2.744 1,12Procedeva senza rispettare i limiti di velocità 761 469 1.230 0,50Procedeva senza rispettare i segnalidi divieto di transito o accesso

1.231 142 1.373 0,56

Caduta di persona da veicoloper discesa da veicolo in moto

984 228 1.212 0,50

(segue)

59


tabella 3.1 (seguito)

Cause accertate o presunte di incidente Strade urbane

Stradeextraurbane Totale

Valore%

Animale evitato 175 337 512 0,21

Caduta di persona da veicolo per essersiaggrappata o sistemata inadeguatamente

708 138 846 0,35

Caduta di persona da veicoloper apertura di portiera

487 69 556 0,23

Frenava improvvisamente con conseguenzeai trasportati

587 50 637 0,26

Si affiancava ad altri veicolia due ruote irregolarmente

286 81 367 0,15

Veicolo fermo senza che sia statocollocato il prescritto segnale urtato

83 30 113 0,05

Fuoriusciva dalla carreggiata investendoil pedone

264 26 290 0,12

Urtava con il carico il pedone 140 9 149 0,06

Procedeva con le luci abbagliantiincrociando altri veicoli

11 5 16 0,01

Usciva senza precauzioneda passo carrabile investendo il pedone

108 4 112 0,05

Attraversava imprudentemente il passaggioa livello

3 4 7 0,00

Comportamento scorretto del pedone 7.364 414 7.778 3,19Ostacolo accidentale urtato 2.472 983 3.455 1,42

Ostacolo accidentale evitato 1.168 792 1.960 0,80

Buche ecc. evitate 762 438 1.200 0,49

Totale 185.549 58.377 243.926 100

Fonte: adattamento da aci-istat (2012).

3.1.4. Il fattore umano nel settore marittimo

Un altro settore dove la componente umana è rilevante è il comparto ma-rittimo. I dati sono eterogenei e variano molto tra settore commerciale, nautica da diporto, trasporto passeggeri ecc. In generale, però, possiamo riscontrare tendenze simili agli altri settori analizzati in precedenza. La fig. 3.1 rappresenta i fattori scatenanti l’incidente marittimo, con percentuali medie nell’arco 2001-08. Anche in questo caso, il fattore umano è l’elemen-to principale nella genesi degli incidenti.

60


figura 3.1Fattori scatenanti l’incidente marittimo (valori medi nell’arco 2001-08)

Fonte: Ministero delle Infrastrutture e dei Trasporti (2011).

Potremmo continuare con le statistiche, analizzando i settori dell’agricol-tura, dell’edilizia, dell’industria, del comparto minerario ecc. Tuttavia, lo scopo di questo breve approfondimento non è quello di dare un quadro esaustivo sugli incidenti lavorativi in Italia e nel mondo, quanto piuttosto di invitare alla riflessione sulla rilevanza sociale che il tema “fattore umano” sta avendo nelle nostre attività produttive. Proviamo adesso a scorporare il concetto di errore e ad indagarne le dinamiche cognitive sottostanti.

3.2Psicologia dell’errore umano

Torniamo al caso dell’infermiere che commette un errore nell’impostare la pompa di infusione e immaginiamo tre scenari.

Primo scenario. L’infermiere preme un pulsante del tastierino numerico e non si accorge che la macchina, troppo sensibile alla pressione, ripete il numero digitato, decuplicando la dose di farmaco in vena. Questo errore sarebbe dovuto a una distrazione, a un mancato controllo del display e a una conseguente impostazione dei valori del flusso che non sono coerenti con le intenzioni originali dell’infermiere.

Secondo scenario. Supponiamo invece che l’infermiere sappia come di-gitare i valori sulla pompa, ma che imposti volontariamente il dosaggio errato. Il medico gli ha dato le consegne rispetto alla terapia, ma non ha

61


specificato la quantità di farmaco da iniettare perché presume che l’infer-miere sappia che la dose va calcolata sulla base del peso del paziente. L’in-fermiere, invece, ignora questa prassi per il farmaco in questione e decide quindi di impostare il dosaggio sugli stessi livelli del paziente precedente, supponendo che si tratti di un valore standard. I due pazienti sono però molto diversi, più di trenta chili di differenza tra i due, e quindi sarebbero necessari diversi dosaggi. Questo è un errore che non può essere equipara-to al precedente scenario, non è dovuto a distrazione, perché l’infermiere è consapevole di impostare il dosaggio su quei valori. Lui ha seguito una procedura non molto ortodossa, ma certamente sensata nella sua prospet-tiva: mantenere i valori standard di farmaco.

Terzo scenario. L’infermiere digita i valori sul tastierino e si accorge che la macchina registra i dati inseriti in modo anomalo, a volte a una pressione corrisponde un valore sul display, altre volte il numero raddoppia. Non fi-dandosi della macchina prova numerose volte a reimpostarla, ma nota che non c’è coerenza tra i valori che immette e quelli che compaiono sul display. Purtroppo il lavoro da sbrigare è molto e non ha tempo per chiamare aiuto; decide allora di stimare il flusso “a occhio”, ispezionando il percorso del far-maco lungo il tubo. Anche in questo caso, tuttavia, il dosaggio finale risulterà inadeguato e comporterà danni al paziente. Qui ci troviamo di fronte a un ulteriore tipo di errore, diverso dai precedenti. In questa situazione l’infer-miere si è trovato di fronte a un problema inatteso e lo ha risolto inventando una soluzione ad hoc.

I tre scenari descritti esemplificano le tre grandi tipologie di comporta-mento che possiamo mettere in atto quando eseguiamo un compito. Secondo una classificazione proposta da Jens Rasmussen (1983), ormai largamente ac-cettata dagli studiosi dell’errore umano, quando eseguiamo un compito pos-siamo adottare un’impostazione mentale che si articola su tre livelli. Nella fig. 3.2 si vedono i tre livelli, divisi dai riquadri rettangolari in grigio. L’ampiezza lungo l’asse orizzontale dei livelli descrive una stima della frequenza con cui adottiamo processi cognitivi tipici. Nella nostra vita quotidiana agiamo spes-so a livello Skill, meno a livello Rule, ancora meno a livello Knowledge. Natu-ralmente questo non è valido in assoluto. Come vedremo esistono attività che hanno predominanza di livelli Rule o Knowledge ma, se possibile, il nostro cervello massimizza le risorse agendo a livello Skill. La posizione dei livelli lungo l’asse verticale indica, invece, il grado di impegno cognitivo richiesto dalle tre modalità: molto ridotto per il livello Skill, maggiore nel livello Rule e ancora maggiore in quello Knowledge. Vediamo ora i motivi di tale classifica-zione descrivendoli in sequenza.

62


figura 3.2Una libera rappresentazione grafica del modello Skill-Rule-Knowledge proposto da Rasmussen

3.2.1. Livello Skill

Al primo livello, Skill, abbiamo la tipica situazione in cui possiamo agire in modo automatico, sulla base di sequenze di azione ben apprese in passato. A questo livello la percezione dei dati ambientali porta all’identificazione immediata del tipo di azione da svolgere. Ad esempio, se siamo guidatori esperti, alla vista di un pedone che sta per attraversare la strada, preme-remo il freno senza pensare a quale piede sollevare e se premere o meno anche la frizione. Per essere tale, un comportamento eseguito a livello Skill deve essere stato appreso e reso automatizzato grazie all’addestramento o all’esperienza ripetuta. Un pianista che muove le mani sulla tastiera, un

Nota: la larghezza dei riquadri indica una stima della frequenza con cui adottiamo ciascuno dei tre livelli (Skill > Rule > Knowledge). La posizione verticale dei riquadri indica il livello di impegno cognitivo (Skill < Rule < Knowledge). All’interno di ogni riquadro, le etichette con sfondo grigio indicano la tipologia di processo cognitivo principale.

63


ragazzo che digita un sms sul cellulare stanno tutti agendo a livello Skill. L’impegno cognitivo richiesto dalle azioni eseguite a livello Skill è in ge-nere molto basso, perché le risorse attentive possono essere dedicate ad altro e possiamo svolgere l’attività grazie agli automatismi. Pensiamo a quante volte ci capita di fare lunghi tratti di strada in automobile, senza renderci conto del percorso eseguito. Questo accade in particolare quan-do si viaggia in autostrada, perché le condizioni del contesto favoriscono l’emersione di processi di tipo Skill. Il traffico è fluido, non ci sono auto in senso contrario, la strada è nota, la velocità costante, gli stimoli ambientali ridotti al minimo, i comportamenti da adottare per la guida sono semplici (piede stabile sull’acceleratore e mani rilassate sul volante). Tutte queste condizioni permettono al nostro cervello di attivare schemi percettivo-motori consolidati tali per cui, per sorpassare un’auto, non dobbiamo in-terrogarci sulle procedure da seguire, ma semplicemente mettere in atto dei gesti ben noti. La coscienza si trova in uno stato di torpore, siamo immersi nei nostri pensieri e il mondo scorre davanti a noi senza che ce ne accorgiamo. Ma se capita un imprevisto siamo pronti ad intervenire (ad esempio frenando), perché il cervello sta monitorando la situazione, ma lo fa senza dispendio di energie attentive e le utilizza solo in caso di necessi-tà. Questa modalità di gestione delle risorse mentali è preziosissima per la nostra salute perché, se dovessimo mantenere la concentrazione sempre a livelli elevati, avremmo un dispendio energetico enorme. Il cervello è un organo che ci ha dato grandi vantaggi in termini evolutivi, ma ha anche dei “costi di gestione” considerevoli. Per questo motivo abbiamo sviluppato questa capacità di attivare gli automatismi, permettendoci di eseguire i compiti con il massimo vantaggio e il minimo sforzo (Kahneman, 2011). L’unica condizione necessaria, però, è che la situazione sia stabile e nota. Non potremmo agire a livello Skill se ci trovassimo in una condizione di traffico inattesa, in una città che non conosciamo o alla guida di un mezzo che non abbiamo mai guidato prima. In questi casi le risorse attentive sarebbero concentrate nella gestione della situazione e gli automatismi servirebbero solo per la conduzione del mezzo, ma non per l’orientamen-to e la sicurezza della guida.

Immaginiamo di aver acquistato un’automobile con il cambio auto-matico. Come è noto, il pedale della frizione non esiste su questi modelli e il piede sinistro non deve essere usato, basta spostare il destro tra l’acce-leratore e il freno. Se non abbiamo mai guidato un’auto del genere prima d’ora, sembrerà innaturale tenere fermo il piede sinistro e saremo tentati di usarlo per premere il freno. Purtroppo, vista l’abitudine alla guida di auto

64


con cambio manuale, il piede sinistro viene regolato con un meccanismo di tipo Skill che imposta velocità, direzione e intensità del movimento, tarato sui vecchi schemi, quindi per quando lo si usava per il pedale della frizio-ne. Pigiare il freno con la stessa azione Skill con cui pigiavamo la frizione avrà conseguenze molto spiacevoli sulla fluidità della guida.

Si tratta in questo caso di un tipico errore a livello Skill. Infatti, il modello Skill-Rule-Knowledge (srk) di Rasmussen può essere usato sia per leggere le normali azioni delle persone, sia i loro tipi di errori (Rea-son, 1990). Gli errori Skill sono dovuti ad azioni eseguite in automatico, ma che sono inopportune e non volute rispetto alla situazione (slips), op-pure a involontarie dimenticanze (lapses). Per ovviare ad errori di tipo Skill bisognerebbe aiutare le persone a svolgere la propria attività senza trappole d’errore, cioè strumenti, procedure, ambienti che aumentano la probabilità di commettere una distrazione (Norman, 1990). Ad esempio, il frontalino dell’indicatore di carburante dell’atr-42 è identico a quello dell’atr-72: questa è una trappola d’errore perché nell’oggetto stesso è insita la potenzialità di commettere uno sbaglio. Stessa cosa accade per i farmaci, spesso scambiati per errore con conseguenze anche letali. Dal momento che la casa farmaceutica utilizza per molti suoi farmaci un tipo di confezione standard, dove cambiano solo i dati scritti sull’etichetta, spesso succede che gli operatori prendano un farmaco convinti di averne preso un altro. Un ulteriore aspetto da tenere in considerazione per limi-tare gli effetti negativi degli errori Skill è il dare alle persone dei compiti proceduralizzati, che richiedano delle pause di riflessione, di analisi, in altri termini che blocchino il lento e subdolo “addormentamento” del controllo consapevole. Ad esempio, i piloti devono spesso eseguire dei controlli dei parametri di volo durante la fase di crociera, in modo tale da obbligarli a mantenere elevata la concentrazione. In aggiunta, i comporta-menti Skill (e i relativi errori) aumentano quando siamo stanchi, affaticati, preoccupati, sotto stress. Questo perché la mente è talmente impegna-ta a gestire i fattori di stress o le preoccupazioni, che cerca di delegare l’esecuzione del compito ai processi automatizzati. Ad esempio, se stiamo guidando l’auto per andare a trovare un caro amico in condizioni critiche in ospedale, sarà probabile che la nostra mente sia orientata a gestire il pensiero di pena per l’amico, la preoccupazione per la sua salute ecc., e lascerà la conduzione del mezzo ai processi Skill anche quando, forse, non sarebbe opportuno guidare solo con gli automatismi. In generale, per contenere gli errori di tipo Skill, le persone dovrebbero imparare a svol-gere un automonitoraggio costante della propria attenzione, preparandosi

65


prima di iniziare il compito a prevedere se e quanto si possono permettere di agire a livello Skill in base alla situazione. Inoltre, dovrebbero ripetere tale bilancio anche durante l’esecuzione del compito, chiedendosi se le condizioni di lavoro sono rimaste le stesse e quindi se è possibile conti-nuare a lavorare a livello Skill o se sia necessario uno sforzo maggiore e interrompere gli automatismi.

Torniamo al primo scenario, descritto a inizio paragrafo. In questo caso l’infermiere commette un errore di tipo Skill, quello che Reason (1990) chiamerebbe uno slip, cioè un’azione che ha un esito diverso dalle inten-zioni, condotta senza un controllo attentivo consapevole. L’infermiere sta infatti digitando il dosaggio sul tastierino e lo fa senza eccessivo controllo, senza preoccuparsi che il macchinario abbia un’anomalia nel sistema di input. Essendo di fretta, lancia un rapido sguardo al display e non verifica che corrisponda alle intenzioni. Di fatto, il sistema cognitivo dell’infermie-re si “fida” del fatto che i tastierini degli strumenti utilizzati non abbiano certi difetti e quindi risparmia risorse attentive e omette un controllo. A posteriori diremmo che è un’omissione grave, ma se ci mettiamo nei panni “mentali” dell’operatore, perché mai dovremmo controllare qualcosa che di norma funziona? Se l’operatore non aveva mai avuto prima esperienza di tali anomalie, non poteva prevederla e quindi si poteva permettere di agire a livello Skill, quando invece avrebbe dovuto agire ad un altro livello: il livello Rule.

3.2.2. Livello Rule

Siamo qui al secondo livello della gerarchia di Rasmussen. Se non possiamo agire a livello Skill con risposte automatiche, significa che dobbiamo eser-citare maggiore concentrazione e capire la situazione che stiamo vivendo. Sempre rifacendoci al caso dell’infermiere e della pompa di infusione, l’av-viso emanato dalla fda richiedeva che tutti adottassero un livello Rule nella gestione del macchinario. In altri termini, chiedeva che si adottasse una procedura particolare in base al tipo di situazione riscontrata. L’infermiere che si apprestava a usare la pompa avrebbe dovuto evitare di agire a livello Skill grazie all’avviso di allarme scritto sulla macchina, questo lo avrebbe obbligato a salire di livello cognitivo. Avrebbe dovuto digitare il dato sul tastierino, ascoltando i “bip” emessi dalla macchina e verificando che non fossero più numerosi delle pressioni esercitate. In caso contrario, avrebbe dovuto digitare di nuovo i dati, altrimenti avrebbe dovuto effettuare un controllo incrociato con un collega e poi verificare visivamente il flusso di

66


medicinale. Questa appena descritta è una procedura che non può essere svolta in modo automatico perché richiede una verifica consapevole dei dati scritti sul display e quindi un dispendio di risorse attentive.

Il livello Rule non è in genere così frequente come il livello Skill, perché richiede sforzo a livello cognitivo e quindi, quando è possibile, il cervello torna a livello Skill oppure, tramite l’esperienza, trasforma le attività svol-te a livello Rule in attività di livello Skill. Questo è ciò che è accaduto a tutti coloro che hanno imparato a scrivere, a leggere, a guidare un’auto, a suonare uno strumento. All’inizio seguiamo le procedure faticosamente apprese, poi col tempo le automatizziamo.

Un errore a livello Rule è diverso da quelli che accadono a livello Skill. Non sono distrazioni, non si tratta di azioni contrarie alle intenzioni. Anzi, qui le persone sono ben consapevoli di ciò che stanno facendo, scelgono di seguire quella procedura, ma poi gli esiti sono comunque indesiderati. Gli errori a questo livello sono chiamati Rule-based mistakes. A questo livello, quindi, si possono scegliere procedure ineleganti, non sbagliate in assoluto, ma grossolane (ad esempio, togliere la batteria al cellulare per spegnerlo), oppure procedure solo parzialmente corrette (ad esempio, ascoltare il nume-ro di “bip” emessi dalla pompa, senza controllare il display), oppure teorica-mente corrette ma inadeguate rispetto alla situazione in termini quantitativi (ad esempio, usare un secchiello per spegnere un incendio) o qualitativi (ad esempio, usare dell’acqua per spegnere un incendio in una cabina elettrica). Come si vede, gli errori di livello Rule si basano su una inadeguata com-prensione della situazione e quindi su una inefficace scelta della procedura. Tornando al caso dell’infermiere, siamo nel secondo scenario: il medico non gli specifica la dose di farmaco e lui sceglie di seguire una procedura tradi-zionale, cioè attenersi a livelli standard di farmaco. Lui sta applicando una regola valida solo in parte, perché manca un elemento importante: la dose va tarata in proporzione al peso del paziente. In questo esempio l’infermiere cade in un errore di livello Rule perché crede che i dati siano familiari, ma non lo sono. Non sa che il farmaco va somministrato secondo una procedura diversa. Per ovviare a errori di questo tipo si dovrebbe, quindi, fornire alle persone adeguata conoscenza, formazione, capacità critica di analisi della situazione e di identificazione della procedura idonea.

3.2.3. Livello Knowledge

Veniamo infine al terzo livello, chiamato Knowledge. In questo caso non è possibile attivare delle procedure note, perché la situazione non è familiare

67


ed è necessario esplorare il problema cercando di darne un’interpretazione coerente, al fine di individuare una soluzione creativa. Si chiama Knowled-ge proprio perché per affrontare una situazione inattesa è necessario fare appello alle proprie conoscenze, competenze, esperienze passate, per dare luogo a una soluzione creativa. Siamo a livello Knowledge nelle emergenze inattese, quando la situazione si complica e non sappiamo come interpre-tarla, quando il contesto è così nuovo e inesplorato che non possiamo ap-poggiarci a schemi appresi o a procedure predefinite, bisogna inventare una soluzione in modo flessibile e innovativo. In generale, queste situazioni non sono così frequenti, e questo per il nostro cervello è motivo di sollievo, dal momento che l’impegno cognitivo per la gestione di una situazione a livello Knowledge è spesso altissimo. Non potremmo vivere sempre a questo livel-lo, a meno di non sviluppare sindromi da stress e da burnout.

Gli errori a questo livello sono chiamati Knowledge-based mistakes; hanno in comune con i mistakes di tipo Rule il fatto di essere azioni scelte in modo intenzionale, ma si differenziano da questi perché non si tratta di procedure inadeguate, bensì di strategie che si rivelano del tutto sbagliate. A questo livello, quindi, la possibilità di commettere errori nasce dall’inca-pacità di capire la situazione e di avere la giusta flessibilità (e a volte rapi-dità) per intervenire. Nel terzo scenario, l’infermiere si trova impreparato a gestire un’anomalia inattesa nella pompa di infusione, è quindi preoccu-pato di terminare il compito e passare alle altre attività che lo aspettano. La pressione temporale spesso gioca brutti scherzi a livello Knowledge, e infatti l’infermiere non segue nessuna procedura (ad esempio, cambiare macchinario o avvisare i tecnici), ma si inventa un modo del tutto empirico per uscire dallo stallo, cioè controllare a vista se il flusso sembra regolare. Essendo una situazione nuova, l’infermiere potrebbe non possedere infor-mazioni sufficienti per capire se la sua soluzione sia comunque adeguata. Ad esempio, l’ispezione visiva del flusso potrebbe essere difficoltosa per via della poca trasparenza del tubo, o l’effettivo dosaggio potrebbe essere male interpretato per la presenza di valvole alla base del macchinario che rendono il flusso del farmaco non lineare. Per evitare che le persone com-mettano errori a livello Knowledge, bisogna conoscere bene il contesto operativo in cui lavorano, perché se è molto variabile e fonte di imprevisti, sarà molto probabile che si trovino a gestire situazioni di tipo Knowledge. In questo caso gli operatori dovrebbero avere conoscenze adeguate per spaziare alla ricerca di nuovi approcci al problema, capacità di gestione del tempo, capacità di allocazione delle risorse e di lavoro di gruppo, capacità di analisi critica e flessibilità mentale.

68


3.3Sicurezza secondo il modello srk

Come è facile immaginare, non esiste un livello cognitivo più “sicuro” di un altro, non è possibile dire alle persone di “stare più attente”, o di “se-guire le procedure” o di “essere creative”.

tabella 3.2Un quadro riassuntivo del modello srk

Skill Rule Knowledge

Processicognitivi tipici

Attivazione di auto-matismi

Riconoscimento di si-tuazioni e individua-zione di procedure

Analisi critica della situazione, formula-zione di ipotesi e so-luzioni creative

Contestooperativoin cui si attiva

Situazioni routinarie, ripetitive

Situazioni che richie-dono controllo vo-lontario

Emergenze, contesti nuovi, ignoti, situa-zioni inattese, in ca-renza di procedure

Vantaggi Velocità, efficienza, risparmio risorse

Precisione e accura-tezza

Flessibilità e control-lo, creatività

Svantaggi Processi rigidi, diffici-li da interrompere, si attivano anche quan-do il contesto sembra usuale e non lo è, si attivano inavvertita-mente in condizioni di stress, fatica, scar-so controllo attentivo

Lentezza nell’esecu-zione, impegno men-tale per l’analisi della situazione

Totale assorbimento delle risorse, lentezza nella scelta ed esecu-zione

Tipologiadi errori

Distrazioni, omissio-ni per carenza di me-moria

Scelta di procedure ineleganti, inadatte al contesto per quantità o qualità

Scelta di soluzioni inefficaci

Contromisure Allarmi e segnali, checklist, compiti va-riabili, monitoraggio della propria atten-zione

Capacità di analisi della situazione, co-noscenza delle pro-cedure, tempo per la scelta e applicazione della procedura ido-nea

Capacità critica, pro-blem solving, gestio-ne delle priorità, del-le risorse, dello stress, flessibilità mentale

69


La sicurezza nasce, invece, dalla capacità delle persone di capire la si-tuazione contingente e di adottare il livello cognitivo adeguato. Questo presuppone anche una consapevolezza di pregi e difetti di ogni livello, di quanto ci si possa permettere agendo a livello Skill, risparmiando ener-gia, o lavorando a livello Rule, seguendo procedure, od operando a livello Knowledge, inventando soluzioni. Il prospetto della tab. 3.2 vuole riassu-mere quanto detto finora sul modello srk, mostrando la natura dei processi cognitivi, i tipici contesti che li attivano, pregi e difetti di ogni livello, i tipi di errori conseguenti e le eventuali contromisure che potrebbero essere adottate per diminuire l’incidenza di tali errori.

Vediamo ora un caso che può essere analizzato proprio grazie al mo-dello srk.

Analisi di un caso: sono solo etichette

Infermiere professionale (ip) in servizio in Pronto soccorso da ventuno anni ottiene trasferimento ad altro reparto come da sua richiesta. Ultimo turno prima dello spostamento. Pomeriggio, carico di lavoro regolare. L’infermiere esegue prelievo ematico al paziente A e posa le provette sul banco di lavoro dove, come al solito, il medico ha posato le etichette con nome del paziente ed esami richiesti. Esce dalla saletta il paziente A, entra il paziente B. L’infermiere esegue prelievo ematico al paziente B e attacca le etichette del paziente A alle provette del paziente B. Le etichette del paziente B erano sul bancone, a cinquanta centimetri da provette ed etichette del paziente A.

Cosa è successo? L’infermiere lavorava a livello Skill perché, grazie alla lunga pratica, si trovava in una situazione per lui routinaria e ripetitiva dove poteva la-vorare con velocità, efficienza e risparmio di risorse. Ma il livello Skill facilmente è sede di errori da distrazione e l’infermiere era inevitabilmente distratto dal vicino cambiamento.

La situazione era routinaria e quindi nulla, nel contesto, poteva indurre l’infer-miere a cambiare livello cognitivo e ad agire a livello Rule. Ma la scelta del livello opportuno nasce dalla valutazione di come noi possiamo interagire con uno speci-fico contesto. Il contesto permetteva di agire a livello Skill, ma le condizioni psico-logiche dell’infermiere (aveva avanzato richiesta di trasferimento ad altro reparto, forse dovuta a malessere lavorativo) erano tali da non permettere di agire a quel livello in modo indiscriminato. Per rompere la routine è bastato che il paziente B entrasse prima che lui avesse finito di etichettare le provette del paziente A. Una piccola variazione del contesto routinario, che avrebbe richiesto uno spostamento al livello Rule, ossia attivare la regola “terminare la procedura del paziente A e poi iniziare quella del paziente B”. La condizione di fatica psicologica dell’infermiere lo ha bloccato al livello Skill anche quando non dovuto, perché quando viviamo

70


sotto stress o preoccupati per qualche minaccia, le risorse mentali si spostano dal contesto operativo alla gestione dell’ansia o alla ruminazione sul problema, re-legando l’attività in corso a un controllo di tipo Skill. Se il contesto è davvero routinario, non ci accorgiamo del rischio che stiamo correndo, ma se questo cam-bia possiamo commettere un errore di tipo Skill, esattamente come stava per fare l’infermiere.

71

4

Perché le persone sbagliano

4.1Razionalità limitata e dintorni

Nel cap. 3 abbiamo visto un modello per l’analisi della prestazione umana e quindi anche dei suoi eventuali errori, il modello Skill-Rule-Knowledge (Rasmussen, 1983). Esso descrive come le persone possono agire in un determinato contesto e ci aiuta quindi a capire lo stato mentale in cui si trovano in base alla situazione. Ma perché a volte scegliamo lo stato mentale sbagliato? Perché agiamo a livello Skill, come se il mondo fosse “come al solito”, quando invece dovremmo agire a livello Knowledge? La psicologia cognitiva ci aiuta a spiegare il perché le persone sbagliano, su quali basi la nostra mente adotta certi processi anziché altri. Come vedremo tra poco, si tratta di descrivere la psicologia umana in termini di razionalità limitata.

Il modello srk descritto nel cap. 3 è tripartito, ma in realtà potrebbe es-sere semplificato a due livelli. Da un lato, il livello Skill e quello Rule sono accomunati dal fatto di possedere procedure (automatizzate al livello Skill, controllate in modo volontario al livello Rule), mentre il livello Knowledge non ha procedure predefinite. Dall’altro lato, il livello Rule e Knowledge si differenziano dal livello Skill per il fatto che nei primi due si ha un control-lo consapevole, lento, laborioso, preciso della situazione, mentre al livello Skill la risposta è veloce, meno faticosa, ma anche più rigida (fig. 4.1).

Questa visione binaria si ricollega all’intrigante proposta fatta da Kah-neman (2011) nella sua rassegna sui processi cognitivi umani. Egli postula l’esistenza di due sistemi di pensiero ben diversi: il Sistema 1, che procede per automatismi, scorciatoie mentali, largamente inconsapevole, grosso-lano ma veloce, intuitivo ma anche sottoposto all’influenza di emozioni e fattori contestuali che, a rigor di logica, non dovrebbero essere considera-

72


ti; e il Sistema 2, caratterizzato da processi consapevoli, razionali, logici, ma lenti e faticosi. Entrambi sono utili: il Sistema 1 è importante per dare risposte veloci e risparmiare risorse, conta sul fatto che spesso le sue solu-zioni sono efficaci ed efficienti; il Sistema 2 subentra qualora l’efficacia non sia elevata, e allora gli automatismi non bastano per gestire la situazione e serve un controllo consapevole e razionale.

figura 4.1Il modello srk nelle sue due componenti automatico/volontario versus con/senza procedure

Parlare di controllo razionale non è sempre corretto perché, come hanno dimostrato autori quali Kahneman (2011) e Simon (1957), siamo spesso vin-colati da una cosiddetta razionalità limitata. Termine coniato da Simon, indica la natura logicamente imperfetta delle nostre decisioni e ragiona-menti, che si basano su forme di conoscenza parziale, di scarsa rappresen-tazione delle relazioni fra le informazioni disponibili, di carente visione prospettica sugli sviluppi delle nostre scelte, di inefficace ragionamento probabilistico.

Quando siamo impegnati a livello Knowledge, quindi, non possiamo essere certi che metteremo in atto un processo razionale; talvolta, inve-ce, saremo predisposti a scegliere forme di ragionamento e decisione più “economiche” dal punto di vista computazionale, più veloci e pratiche: le euristiche (Kahneman, Tversky, Slovic, 1982). Mentre una forma di ragio-namento e decisione articolata secondo i principi rigorosi della logica si struttura secondo un processo chiamato algoritmo, forme di ragionamento basate sull’esperienza passata, su informazioni parziali o valutazioni “istin-tive” e superficiali sono dette euristiche. Le euristiche sono assolutamente utili nella nostra vita quotidiana, perché ci permettono di lavorare a livello Knowledge (decidere in contesti di incertezza), ma con un consumo di risorse mentali più contenuto. E normalmente funzionano. Il problema

73

4. perché le persone sbagliano

di queste modalità di pensiero è che hanno una probabilità maggiore di condurre ad errori, a distorsioni sistematiche (bias). Le euristiche possono avere implicazioni per la sicurezza a due livelli: prima di tutto perché pos-sono generare decisioni non corrette; in secondo luogo perché possono in-tervenire nella valutazione dei rischi collegati a una certa attività e portare la persona a sottostimare la probabilità che accada un incidente. Vediamo le euristiche principali.

4.1.1. Euristica della disponibilità

Dovendo valutare la probabilità di un evento, spesso tendiamo ad affidarci a quante volte lo abbiamo visto verificarsi nella nostra esperienza o a quan-to l’evento è saliente dal punto di vista emotivo. Ad esempio, molti pensa-no che sia più probabile morire per un attacco di squalo piuttosto che per una caduta di noce di cocco. La maggior salienza dell’attacco di uno squa-lo (notizie sui giornali, film, leggende metropolitane) rende questo evento più disponibile nella nostra memoria e quindi (impropriamente) più pro-babile della morte per caduta di noci di cocco. Lo stesso ragionamento sembrerebbe essere legato alla paura che molte persone hanno di volare. È più rischioso guidare un’auto per ottocento chilometri o volare su un aereo per ottocento chilometri? Ovviamente le statistiche sono a favore del volo aereo, ma molti tenderebbero ad affidarsi all’euristica della disponibilità e ritenere l’auto più sicura perché hanno in mente migliaia di ore di viaggio in auto senza problemi, controbilanciate dall’impatto emotivo che hanno gli incidenti aerei. Questa euristica interverrebbe anche nella percezione dei rischi per quanto riguarda comportamenti di autoprotezione sul la-voro. Molti lavoratori tendono a non usare certi dispositivi di protezione individuale perché ritengono improbabile che l’evento da cui dovrebbero essere protetti possa accadere. In uno studio recente presso un’azienda sanitaria ho verificato come il personale infermieristico tenda ad usare più dispositivi di protezione individuale del necessario quando tratta pazienti affetti da hiv (patologia altamente rappresentata nell’immaginario colletti-vo), mentre è più disinvolto quando fa prelievi a pazienti sconosciuti o con epatite (scarsa rappresentatività del rischio).

Legata all’euristica della rappresentatività troviamo la correlazione il-lusoria (Chapman, Chapman, 1967), ossia la valutazione della probabilità o frequenza con cui due eventi possono presentarsi associati. Ad esem-pio, molti pensano che la probabilità che un delinquente sia anche tossi-codipendente sia molto elevata solo perché hanno in mente situazioni che

74


confermano tale associazione, anche se a livello statistico non è detto che sia davvero così. Per tornare a fare un esempio sulla sicurezza, tale pro-cesso potrebbe essere alla base del ragionamento secondo cui la velocità in automobile è correlata positivamente con la probabilità di morire in un incidente stradale. Le persone potrebbero, quindi, essere predisposte ad usare le cinture di sicurezza in autostrada (condizione ad alta velocità), ma non per spostamenti cittadini (condizione a bassa velocità), anche se le statistiche dimostrano che il tasso di mortalità sulle strade urbane è de-cisamente più alto.

4.1.2. Euristica della rappresentatività

Dovendo stimare la probabilità di un evento si cerca di attivare nella pro-pria mente la distribuzione di probabilità più rappresentativa. Ad esem-pio, se giochiamo alla roulette scommettendo sull’uscita di rosso e nero, potremmo tendere a farci influenzare dalle uscite precedenti. Se al mo-mento di scommettere sappiamo che sono usciti dieci neri di fila, tendere-mo a stimare molto probabile che la prossima uscita sia un rosso. Se questo ragionamento funziona per valutare alcuni tipi di eventi, esso non vale per eventi indipendenti, come il lancio della pallina nella roulette. La roulette non ricorda i lanci precedenti e la distribuzione di rossi e neri si avvicinerà al 50%, ma solo su grandi numeri: la finestra di dieci uscite non è indicativa di nulla e induce a cadere nell’euristica della rappresentatività, secondo cui un’estrazione casuale di rossi e neri dovrebbe alternare le due uscite in modo meno ordinato. Naturalmente la rappresentatività potrebbe non essere relativa a distribuzioni casuali e indurre comunque in errore. Se una persona non ha mai avuto incidenti sul lavoro, potrebbe tendere a sotto-stimare la distribuzione di probabilità dell’infortunio, arrivando quindi ad assumersi più rischi del necessario, forte dei successi passati.

Legata all’euristica della rappresentatività troviamo la fallacia della congiunzione, che porta a stimare come più probabile la congiunzione di due eventi, piuttosto che il manifestarsi di uno solo dei due, solo perché la loro congiunzione sembra più rappresentativa. Ad esempio, immaginiamo il caso di Mario, un lavoratore che ha avuto un grave infortunio sul lavoro poche settimane dopo essere stato assunto. Mario aveva difficoltà a seguire tutte le procedure richieste dalla sua attività, si sentiva inesperto e talvolta si trovava a fantasticare sulla possibilità di cambiare lavoro e fare qualcosa di più consono alle sue ambizioni. Stimate ora quale affermazione su Ma-rio è più probabile:

75


A. Mario ha subito un infortunio perché è un lavoratore inesperto;B. Mario ha subito un infortunio perché è un lavoratore inesperto e di-stratto.

Molti tenderebbero a stimare come più probabile il caso B, perché incompetenza e distrazione sono più rappresentativi della descrizione che abbiamo dato di Mario rispetto alla condizione A. Tuttavia, il caso B è un sottoinsieme di A, e quindi per forza meno probabile.

4.1.3. Euristica dell’ancoraggio e aggiustamento

Le persone tendono a dare giudizi e a fare scelte ancorandosi al primo elemento informativo che si trovano ad analizzare. Lo sanno bene i ven-ditori, che impostano il prezzo di un bene ad alti livelli, sapendo che questo servirà da ancoraggio per il cliente, il quale si orienterà a stimare il valore dell’oggetto partendo da quella cifra. In un interessante esperi-mento, Strack e Mussweiler (1997) chiesero a due gruppi di soggetti se Gandhi fosse morto prima o dopo l’età di 9 o 140 anni. I due ancoraggi sono ovviamente estremi (Gandhi morì a 78 anni), ma hanno dato i loro effetti: il gruppo che si ancorava a 9 anni ha stimato che Gandhi morì intorno ai 50 anni, mentre il gruppo dei 140 anni ha stimato la morte intorno ai 67 anni.

Legato all’ancoraggio è l’effetto framing, ossia come la cornice con la quale inquadriamo una serie di informazioni possa condizionare le nostre scelte. Se dobbiamo scegliere se fare o meno un intervento chi-rurgico che ha il 30% di possibilità di insuccesso, forse tenderemo ad evitarlo, mentre saremmo più disponibili se lo vedessimo come un inter-vento che ha il 70% di probabilità di successo. Questo effetto è molto potente e condiziona molti nostri ragionamenti, anche quelli legati al rischio. Valutando la rischiosità di un comportamento, ad esempio la guida veloce, potremmo essere indulgenti se la inquadrassimo nell’ot-tica dei suoi vantaggi (risparmio di tempo, euforia da velocità, senso di potenza), mentre saremmo più cauti se la vedessimo nell’ottica degli svantaggi (maggior probabilità di perdita di controllo, maggior gravità dei danni).

Le euristiche elencate sono solo alcune di quelle individuate in lette-ratura e per un approfondimento rimando alla pubblicazione di Kahne-man (2011). Queste sono le principali e ci hanno permesso di introdurre il tema della percezione dei rischi, come abbiamo visto commentando alcuni esempi di euristica.

76


4.2Limitazioni cognitive e assunzione di rischi

Non è facile definire il rischio. Ne esistono molte definizioni (in campo economico, medico, lavorativo) e non tutte concordano. Per i nostri scopi facciamo riferimento alla definizione fornita dai British Standards (ohsas 18001, 2007, p. 14), che consiste in una serie di standard di riferimento per la salute occupazionale e i sistemi di gestione per la sicurezza, ormai accet-tata a livello internazionale. La definizione recita: «Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s)».

Espressa in termini formali, la definizione di rischio si basa sul pro-dotto tra la probabilità che accada un evento negativo e la gravità delle sue conseguenze. Da questa definizione derivano diverse forme di matrici di rischio, dove si calcola il rischio combinando frequenza e gravità di un evento. La frequenza va da “certo” (o “frequente”) a “raro”, la gravità va da “effetto minimo” a “catastrofico” (fig. 4.2). Quindi, ad esempio, un ter-remoto potrebbe essere molto rischioso perché poco probabile, ma i suoi effetti sarebbero devastanti. Di conseguenza, un incidente in automobile potrebbe essere più rischioso, perché molto più probabile e dagli effetti comunque gravi.

figura 4.2Un esempio di matrice di rischio. La combinazione di probabilità di accadimento e gravità dei danni genera un valore di rischio rappresentabile in una scala da basso (B), medio (M), alto (A), estremo (E)

Come si può intuire, calcolare la probabilità di un evento e i relativi danni non è cosa facile, poiché richiede competenze di tipo statistico e capaci-

77


tà computazionali non comuni. Eppure chi volesse promuovere compor-tamenti sicuri nei lavoratori dovrebbe aiutarli a stimare correttamente i rischi associati alle proprie azioni. Abbiamo visto però, nel paragrafo pre-cedente, quanto le nostre capacità di ragionamento logico siano limitate da euristiche e bias. Questo rende le persone particolarmente incapaci di adottare comportamenti sicuri, visto che non è facile stimare le probabilità che accada un evento avverso.

Uno degli effetti più evidenti di tale incapacità a stimare le probabilità dei rischi è stato chiamato bias ottimistico (Weinstein, 1989). Esso consiste nella considerevole sottostima della probabilità che ci accada un evento negativo. Le persone interrogate sulla probabilità che il loro matrimonio fallisca, che siano coinvolte in un incidente stradale, che muoiano di ma-lattie cardiovascolari, o che siano vittima di un furto, danno spesso stime molto più basse dei dati reali (Savadori, Rumiati, 2005; 2009). Questo ra-gionamento probabilistico errato porta le persone a dire “so che questo evento è frequente, ma la probabilità che capiti proprio a me è bassa”. Esso comporta un’illusione di controllo della situazione con una conse-guente adozione di comportamenti meno cauti e, talvolta, anche la viola-zione di procedure di sicurezza.

Alla base delle violazioni delle norme di sicurezza, tuttavia, non c’è solo l’ottimismo ingiustificato di chi ritiene che gli incidenti capitino solo agli altri. Esistono anche altri due fattori che contribuiscono a rendere il rischio meno saliente e il comportamento sicuro poco desiderabile. Da un lato, abbiamo l’effettiva scarsa probabilità che un incidente accada proprio in conseguenza dell’azione intrapresa (ad esempio, non allacciare le cintu-re di sicurezza). Di fatto, molte persone non hanno mai esperito un inci-dente e questo le porta a sottostimare la probabilità che accada, rendendo il rischio meno saliente. In secondo luogo, il comportamento sicuro (allac-ciare le cinture) non ha un riscontro positivo visibile (la sicurezza non si vede, abbiamo detto nel cap. 1), mentre potrebbe avere un effetto negativo evidente (il fastidio della cintura che stringe il corpo). Ogni azione che non ha un riscontro evidente in termini di benefici sarà difficilmente adottata, se non con uno sforzo cognitivo e di volontà. Si tratta della famosa “legge dell’effetto” proposta da Thorndike (1898), secondo cui un individuo ten-derà a ripetere un comportamento che ha ricevuto un rinforzo positivo (ad esempio, una soddisfazione) e tenderà a inibire comportamenti che hanno ricevuto rinforzi negativi (ad esempio, una punizione). Ecco allora che sa-remo restii ad allacciare la cintura di sicurezza, poiché prevarrà la certezza del fastidio rispetto a una possibile protezione in caso di incidente. L’unico

78


modo per superare questi atteggiamenti di sottostima del rischio sarebbe quello di fare esperienza di incidenti, perché questo andrebbe ad agire sulla stima di probabilità (“mi è già capitato”), renderebbe evidenti le conseguenze (“mi sono fatto male”), le connoterebbe a livello emozio-nale (“mi sono spaventato”) e renderebbe più accettabile l’adozione di procedure sicure (“meglio un piccolo fastidio che mi rende sicuro piutto-sto che un grave incidente”). Naturalmente non sarebbe etico provocare incidenti ai lavoratori al fine di marcare emotivamente le loro esperienze, anche se le recenti tecnologie simulative (simulatori di guida, di volo, di interventi chirurgici ecc.) permettono di riprodurre situazioni di rischio e di incidente molto realistiche, che possono trasferire non solo compe-tenze operative, ma anche vissuti emotivi utili alla corretta rappresenta-zione dei rischi.

Di particolare importanza è la connotazione emotiva dell’esperienza. Le persone tendono a valutare i rischi associati a un comportamento in misura inversamente proporzionale al piacere che ne deriva (Slovic, 2000). Se i benefici (reali o percepiti) di un’azione non sicura sono elevati, sarà quindi molto probabile che le persone tenderanno a sottostimarne i rischi collegati. Tale meccanismo sembra avere riscontri anche a livello neurofi-siologico. In base alle ricerche condotte da Damasio (1995), le nostre deci-sioni sono sempre influenzate da processi emotivi (anche inconsapevoli), una sorta di marcatura che a livello somatico, corporeo, associa sensazioni di benessere o disagio fisico alle opzioni che si prospettano nella scelta. Un incidente stradale potrebbe, quindi, generare una marcatura negativa di una guida spericolata e indurrebbe la persona ad evitare tali comporta-menti in futuro proprio per la loro associazione con un disagio emotivo.

4.2.1. Tra fatalismo e illusione del controllo

Da uno studio approfondito sulle illusioni, le credenze ingiustificate che molti lavoratori hanno rispetto alla probabilità di un incidente, James Re-ason (2008) elenca i principali fattori che possono portare a una violazione consapevole delle procedure per via di una sottostima dei rischi:– illusione del controllo: “posso gestire la situazione”;– illusione dell’invulnerabilità: “è improbabile che vada a finire male… posso cavarmela”;– illusione della superiorità: “ho esperienza… E poi lo fanno tutti”.

Queste credenze possono quindi contribuire allo sviluppo di atteggia-menti di rischio legati a distrazione (“ho sempre fatto questo lavoro, pos-

79


so evitare di concentrarmi”) e violazione (“sono sufficientemente abile da controllare la situazione, anche se non rispetto la procedura”).

Gli esempi appena proposti fanno riferimento a un costrutto che ha ricevuto molta attenzione in psicologia, trovando numerose applicazioni in vari settori (personalità, salute, educazione, lavoro, sicurezza): la no-zione di locus of control (Rotter, 1966). Con questo termine ci si riferisce alle aspettative che la persona ha rispetto al collegamento tra le proprie azioni e gli eventi futuri. Ad esempio, se rispetto il codice della strada riuscirò ad evitare gli incidenti? Oppure il fatto di avere un incidente dipende in gran parte dal destino o dal comportamento rischioso di altri guidatori? Come si vede dall’esempio, il cosiddetto “luogo del controllo” può essere interno o esterno, ossia legato a comportamenti dell’individuo (rispetto del codice stradale, attenzione alla guida, manutenzione dell’au-to ecc.) oppure dovuto a fattori esterni (destino, infrastrutture, compor-tamenti altrui). La letteratura ha dimostrato che un locus interno è spesso correlato con comportamenti di tipo sicuro in aviazione (Hunter, 2002), alla guida (Montag, Comrey, 1987; Huang, Ford, 2012), nell’industria (Jo-nes, Wuebker, 1985) e in sanità (Jones, Wuebker, 1993). Questo perché il locus interno permette all’individuo di sentirsi autore e attore della pro-pria vita, lo rende attivo e partecipe nel vivere le dinamiche degli eventi e porta la persona a cercare cosa può fare per gestire le cose in modo produttivo e sicuro. Un locus interno equilibrato permette alla persona di essere responsabile per ciò che fa e la impegna a mettersi costantemen-te in discussione per adeguarsi alla gestione della situazione. Un aspetto meno indagato del locus of control interno per la sicurezza, però, è legato a una dimensione interna eccessiva (Ozkan, Lajunen, 2005). Se la persona si sentisse in dovere di controllare tutto potrebbe subire la frustrazione di voler gestire situazioni che, per la loro complessità, esulano dal con-trollo del singolo individuo. Inoltre, se la persona credesse che, per la sua esperienza e competenze, potrebbe permettersi di correre dei rischi, cadrebbe in quella illusione del controllo menzionata da Reason (2008). Molti incidenti accadono proprio per questa overconfidence, ossia ecces-siva sicurezza di sé per la gestione della situazione e nell’assumersi dei rischi credendo di poterli controllare. Ad esempio, Walton e Bathurst (1998) hanno dimostrato che la maggior parte dei guidatori si ritiene più abile dell’autista medio, cosa che naturalmente è un controsenso e po-trebbe portare ad assumersi più rischi del dovuto.

Un locus of control esterno, invece, caratterizza le persone che tendono ad attribuire le cause degli eventi a fattori indipendenti da sé, come il fato,

80


il volere di altri, la fortuna, il caso, l’ambiente. Esso è generalmente consi-derato meno desiderabile del locus interno, perché porta a maggior fatali-smo, deresponsabilizzazione, senso di impotenza, distacco, disfattismo. Un lavoratore che ha la tendenza ad assumere un locus esterno penserà che gli incidenti accadono “se è destino”, che, per quanto uno voglia stare attento, gli incidenti sono parte del lavoro e non c’è molto margine di intervento per mitigarli. Il locus esterno può anche essere rivolto agli altri (colleghi, altri utenti dell’ambiente di lavoro, organizzazione, sistema politico e sociale) e anche in questo caso, ponendo all’esterno il potere di azione per la sicurezza, la persona si priva del controllo e di responsabilità personale. Le frasi “tanto non cambia nulla”, “il sistema è corrotto” o “non c’è nulla da fare” possono spesso riflettere l’amarezza di un bilancio negativo sulle proprie condizioni di lavoro, ma son talmente pervasive e generalizzate che tolgono alla persona quel (anche piccolo) potere di azione, fosse anche nel tutelare la sicurezza e il benessere con i propri mezzi a disposizione. Di fatto, la persona si trova chiusa in una sorta di impotenza appresa (Seligman, 1975) che non le permet-te di vedere come e quanto sarebbe in suo potere per gestire la sua situazione (Bisio, 2009; Bracco, Bruno, Sossai, 2011).

4.3Violazioni e normalizzazione della devianza

Abbiamo visto che la percezione del rischio incide sul comportamento adottato dalla persona e può portare ad atti di esplicita e volontaria vio-lazione delle regole e procedure per la sicurezza. Un tentativo di analisi di tale relazione è stato fornito da Wilde (1982) con la teoria omeostatica del rischio. Essa postula che ognuno di noi definisca un livello ottimale di rischio per una specifica attività, valutando in modo anche implicito il rapporto tra utilità dei risultati, probabilità di accadimento dell’evento avverso e la sua gravità. Se la probabilità di un evento avverso o i danni potenziali cambiano, cambierà anche la percezione del rischio e quindi il comportamento relativo. Ad esempio, Wilde (1994) ha osservato che dopo l’installazione del sistema di sicurezza per evitare il bloccaggio delle ruote durante la frenata (abs) su un largo numero di taxi a Monaco di Baviera, il tasso di incidenti di questi veicoli è aumentato. Il motivo sarebbe dovu-to all’effetto che il nuovo sistema di sicurezza ha avuto sulla percezione del rischio di incidente: gli autisti si sentivano più sicuri grazie al nuovo sistema e questo abbassava la soglia ottimale di rischio, per riequilibrarla adottavano quindi comportamenti di guida più spericolati.

81


Ad ulteriore esempio, Adebisi e Sama (1989) hanno dimostrato che le persone sono disposte ad assumersi più rischi se sentono che il compor-tamento sicuro “costa troppo”: gli autisti in attesa di svoltare a sinistra in una strada a doppio senso di marcia, all’inizio sono disposti ad attendere il giusto intervallo tra un’auto e l’altra tra quelle che arrivano in direzione opposta, ma dopo solo trenta secondi tale intervallo si fa più stretto e gli autisti sono disposti ad assumersi più rischi, perché lo svantaggio dell’at-tesa è troppo marcato. Analogamente, sembra che i conducenti di auto di piccole dimensioni adottino comportamenti di guida più cauti (rispetto dei limiti, uso delle cinture di sicurezza) dei conducenti di auto di cilin-drata e dimensioni maggiori (Wasielewski, Evans, 1985). Molti guidatori di suv si sentono più sicuri, perché il mezzo è imponente e sopraelevato, ma questa sicurezza li porta ad assumere stili di guida più aggressivi e quindi ad avere tassi di incidentalità pari o superiori a quelli delle altre tipologie di automobili (Vanderbilt, 2008).

La teoria omeostatica è stata principalmente applicata al contesto della guida e ha trovato anche alcune critiche (O’Neill, Williams, 1998). Tuttavia mette in luce la possibilità che le persone cerchino in qualche modo il ri-schio, o comunque lo accettino, se questo comporta dei benefici. I benefici possono essere di varia natura, dalla gratificazione personale (sentirsi abili) al risparmio di risorse (tempo, fatica, soldi).

Abbiamo visto che gli errori umani sono stati analizzati secondo il mo-dello srk, proposto da Rasmussen (1983) e rielaborato da Reason (1990). Tale modello è stato poi utilizzato da Reason (2008) per analizzare anche le violazioni. A livello Skill le violazioni sono eseguite senza controllo consa-pevole, si tratta di automatismi ormai consolidati nel tempo. Tali violazioni sono definite “ottimizzanti”, perché aiutano il lavoratore a bilanciare costi e benefici, risparmiando tempo e/o fatica. La maggior parte degli infortuni nel lavoro accade per questo tipo di violazioni: le persone “aggiustano” la loro attività non secondo la procedura formale, ma in base alle proprie esigenze. Un’infermiera, ad esempio, può decidere che per effettuare un prelievo di sangue i guanti siano più un fastidio che una protezione. Il vantaggio di risparmiare tempo e avere maggiore sensibilità nella ricerca della vena e nell’uso della siringa potrebbe prevalere sui possibili rischi di una esposizione ad agenti infetti per sé o per il paziente. Allo stesso modo, nell’edilizia molti operai indossano il casco o i guanti, ma solo in certe occasioni, quando ritengono che siano davvero utili, mentre in altri casi preferiscono non indossarli. Questa violazione ottimizzante (“faccio pri-ma/meglio/con meno fatica”) rischia però di diventare una violazione “di

82


routine”, ossia sarà messa in atto giorno dopo giorno finché l’operatore avrà automatizzato questa violazione e quindi non si renderà conto di infrangere una regola di sicurezza. Il rischio è che mentre una violazione consapevole potrebbe essere condotta con una certa considerazione del rischio a cui ci si sta esponendo, una violazione di routine viene normalizzata. Si tratta del-la cosiddetta normalizzazione della devianza (Dekker, 2011), ossia della lenta trasformazione di una violazione occasionale in una violazione costante, in-visibile, condivisa a livello sistemico. Questa condizione è uno dei fattori che portano il sistema alla deriva verso l’incidente, perché erodono giorno dopo giorno la sicurezza senza che gli operatori ne siano consapevoli. Per tornare alla metafora del gorilla, esposta nel cap. 2, in sistemi del genere nessuno si accorge che l’ambiente è popolato da gorilla che non sono visti perché sono entrati lentamente e in modo subdolo. Un osservatore esterno non avreb-be difficoltà a vedere questi gorilla, perché per lui non sarebbero violazioni eseguite a livello Skill. Ecco, quindi, il valore della condivisione e dell’osser-vazione reciproca, anche tra unità, settori, domini diversi. Un esempio for-malizzato di condivisione per evitare violazioni di tipo Skill è il “giro per la sicurezza” (safety walkaround), coniugato in molti modi nei diversi settori di applicazione, ma che sostanzialmente si basa su una osservazione dei conte-sti operativi da parte di un gruppo esterno (dirigenti della propria azienda, personale di altri reparti o di altri settori) al fine di individuare situazioni di rischio che, per la loro “normalità”, potrebbero non essere notate da chi vi è immerso quotidianamente (Frenkel et al., 2003).

Le violazioni eseguite a livello Rule, a differenza di quelle a livello Skill, sono più intenzionali, perché la persona decide di violare la procedura. I mo-tivi possono essere numerosi. La procedura non è applicabile alla lettera al contesto specifico, comporta costi eccessivi e la si viola temporaneamente, oppure la situazione contingente prevede l’adozione di procedure tra loro contrastanti. Si tratta di violazioni che Reason (2008) ha definito “situaziona-li”, cioè indotte dalla circostanza specifica. Ad esempio, egli racconta come gli operai della British Rail commettano violazioni situazionali nell’aggancio dei vagoni. Essi si posizionano tra due vagoni per agganciarli l’uno all’altro tramite una catena, mentre la motrice spinge leggermente i vagoni in modo tale da avvicinarli e portare i respingenti alla massima pressione. Gli operai non dovrebbero stare tra i due vagoni mentre sono in movimento, ma se non lo facessero non potrebbero lavorare, perché la catena per agganciarli è trop-po corta e i respingenti troppo estesi tengono lontani i due vagoni.

Anche la definizione di tempi di esecuzione del lavoro troppo ristretti può portare a violazioni di tipo Rule, perché la persona, per fare prima e

83


stare nei tempi, decide di adottare scorciatoie procedurali. Il rischio delle violazioni di tipo Rule è che, se vengono attuate con successo, la probabili-tà che vengano ripetute in futuro aumenta, e quindi potrebbero diventare lentamente violazioni di tipo Skill, normalizzando così la devianza.

Le violazioni a livello Knowledge accadono, invece, quando la situa-zione è nuova, inattesa. Potrebbero esistere procedure anche per tali situa-zioni, ma la persona non le ha mai applicate. In questo caso la violazione consiste in un comportamento inadeguato, rischioso, oppure in molti casi potrebbe portare alla soluzione e anche a un recupero “eroico”, come lo definisce Reason (2008). Un esempio di questo tipo di violazione è illustra-to nel caso del medico che deve gestire una paziente a rischio di distacco di placenta, come vediamo qui di seguito. In questo caso il medico ha scelto di violare la procedura perché la situazione, secondo lui, era tale da non permettere ulteriori attese.

Analisi di un caso: una scelta difficile

Ore 22.30 in Pronto soccorso. In servizio un medico e due infermieri professiona-li (ip). Entra, accompagnata dal marito, una donna di trentasette anni all’ottavo mese di gravidanza con lieve metrorragia (sanguinamento dall’utero) dal mattino divenuta abbondante nell’ultima ora. Non ha dolore, è medico. Parametri vitali nella norma, lievemente tachicardica. Il medico di guardia decide di trasferire la paziente con ambulanza accompagnata da due militi nel reparto di ostetricia più vicino, a quindici chilometri. È errore? Alcune note per chi non è medico: me-trorragia in gravidanza può evolvere molto rapidamente in massiva emorragia per distacco di placenta con rischio di ipossia sino alla morte del feto e anemizzazione fino alla morte della donna. Molto rapidamente significa pochi minuti. Sapendo questo, è errore la decisione del medico di guardia? Ha trasgredito al protocollo per il trasferimento di paziente in possibile aggravamento che prevede l’accom-pagnamento da parte di un medico e di un ip su ambulanza con rianimazione. Il medico e l’ip deputati all’accompagnamento sono reperibili, cioè, su chiamata telefonica, e devono essere in ospedale entro trenta minuti. È errore? Alla discus-sione del caso, voluta dai medici, la dirigenza ha detto “è errore”. I medici hanno detto che agire così era il modo per dare la massima possibilità di salvezza a feto e donna; chiedono, alla luce di questo evento, di rivedere il protocollo inserendo la possibilità di staccare dai reparti un altro medico per non aspettare i reperibili. La dirigenza ha detto no. È errore? Per decidere se è errore vi interessa sapere come sta il bambino? Sapere come sta la donna? Chiedere “è errore?” è, da parte di chi scrive, volutamente provocatorio. Sottintendo una serie di domande: è errore del medico? O del protocollo? O di chi non è disposto a rivedere le cose? O di chi ha deciso l’esistenza di un Pronto soccorso in ospedale senza tutti i servizi base?

84


4.4Il principio etto

Come ha sottolineato Reason (2008), i vantaggi immediati di una violazio-ne possono spesso prevalere sui possibili rischi (tab. 4.1).

tabella 4.1Un possibile bilancio tra costi e benefici di una violazione. Spesso prevalgono i vantaggi immediati

Vantaggi immediati Rischi potenziali

È più facile lavorare Provoca incidentiFa sentire “invincibili” Genera disapprovazione socialeFa guadagnare tempo Provoca danni a sé e agli altriÈ più eccitante Danneggia le risorsePermette di portare a termine il lavoro Determina costosi aggiustamentiValorizza le competenze Genera sanzioni/punizioniRispetta le scadenze Provoca perdita di lavoro

Fonte: adattamento da Reason (2008).

Questo bilanciamento tra costi e benefici è stato brillantemente analizzato da Erik Hollnagel (2009) mediante il principio etto (Efficiency-Thorough-ness-Trade-Off), ossia una condizione di costante scelta tra l’essere efficien-ti e l’essere rigorosi. L’efficienza porta le persone a cercare scorciatoie, a risparmiare tempo e risorse, ad adagiarsi su abitudini, esperienze passate, processi automatizzati. Il rigore richiede risorse, ma garantisce la sicurez-za. Ogni prospettiva ha pregi e difetti, perché un lavoro fatto in modo troppo efficiente sarà esposto ad alti rischi, mentre un lavoro condotto in modo troppo rigoroso comporterà un dispendio di risorse poco sostenibi-le. Questo principio non riguarda solo le persone al lavoro, ma tutti noi, impegnati nelle nostre attività quotidiane, e non solo. Immaginiamo una gazzella che sta brucando erba nella savana. Alterna momenti in cui ha il capo chino al terreno, ad altri in cui solleva la testa e controlla se non si stiano avvicinando predatori. La gazzella è impegnata in questo bilancia-mento tra essere efficiente (brucare) e sicura (guardarsi intorno). Se fosse troppo efficiente passerebbe il tempo a brucare, incamerando molto cibo in poco tempo. Ma sarebbe poco rigorosa, cioè sicura, perché non potreb-be sollevare la testa in cerca di pericoli. D’altro canto se passasse il tempo

85


a guardarsi dai predatori sarebbe sicura, ma non potrebbe cibarsi e quindi morirebbe di fame.

I fondamenti del principio etto sono radicati quindi a livello biologi-co e noi esseri umani lo seguiamo anche a livello cognitivo. Si pensi alla teorizzazione di Kahneman (2011) rispetto a due sistemi cognitivi, uno in-consapevole, automatico, efficiente, basato su euristiche, ma rigido e gros-solano, e uno analitico, basato su algoritmi, controllato volontariamente, ma lento e dispendioso. Il modello srk di Rasmussen (1983) segue la stessa logica: processi Skill automatici ed efficienti, processi Rule e Knowledge controllati e rigorosi. La medesima logica si ritrova a livello organizzativo: un sistema sarà sempre costretto a bilanciare efficienza e rigore ai fini del suo adattamento. Se fosse troppo rigoroso e lento, arriverebbe in ritardo rispetto ai concorrenti e avrebbe spese insostenibili, se fosse però troppo spinto all’efficienza, correrebbe forti rischi di incidenti dovuti a errori e violazioni. Questo è il caso della nasa negli anni Novanta, quando la filo-sofia organizzativa si ispirava allo slogan “faster, better, cheaper”. L’orga-nizzazione spaziale ambiva ad essere rigorosa (better) ma anche efficiente, risparmiando tempo (faster) e denaro (cheaper). Il risultato fu la perdita delle sonde Mars Polar Lander e Mars Climate Orbiter, avvenuta nel 1999. La spinta verso l’efficienza e il risparmio erose, quindi, la qualità del lavoro e condusse inevitabilmente a un incidente (Dekker, 2011).

Qui di seguito vediamo elencati alcuni esempi di compromessi al ri-gore in favore dell’efficienza, tipici di molti contesti di lavoro (Hollnagel, 2009):– sembra tutto a posto, non c’è bisogno di controllare;– questo controllo adesso non è importante;– questa cosa normalmente non dà problemi, quindi non è il caso di con-trollare;– l’ho fatto mille volte e ha sempre funzionato;– per adesso il lavoro fatto è sufficiente (è il minimo accettabile “da pro-cedura”);– qualcuno dopo di me controllerà meglio;– è stato controllato poco fa da qualcuno, non è il caso che ricontrolli;– questo modo di fare accelera i tempi (o costa meno fatica) anche se non è perfettamente aderente alla procedura;– non c’è tempo (o risorse) per farlo adesso, lo faremo dopo;– non possiamo usare troppo questa risorsa, cerchiamo un altro modo per fare il lavoro;– non ricordo come si fa e non ho voglia di andarmelo a rivedere;

86


– lo abbiamo sempre fatto tutti in questo modo ed è andata sempre bene;– la situazione sembra X quindi è probabilmente X;– normalmente questo modo funziona, quindi dovrebbe funzionare an-che ora;– bisogna finire questo lavoro il prima possibile, anche senza procedure;– abbiamo violato le procedure, nessuno faccia la spia;– non sono esperto di questo aspetto (o non mi compete), lascio ad altri decidere.

Medesime condizioni di compromesso possono avvenire anche a livel-lo organizzativo; ad esempio:– si analizzano solo gli incidenti: questo comporta che poche informazio-ni possano giungere ai vertici, saranno trasmesse solo quelle estremamente gravi, e ciò induce a pensare che se non vi sono segnalazioni, allora va tutto bene (quando invece potrebbero esserci molti gorilla in circolazione);– manager in prima linea: in molte imprese i dirigenti sono investiti del doppio mandato di essere presenti in prima linea, vicini agli operatori, ma allo stesso tempo di dedicarsi alle mansioni dirigenziali. Spesso accade che privilegino ruoli amministrativi a discapito della presenza in prima linea, sicché in condizioni normali saranno apprezzati per la loro efficienza, ma se accade un incidente saranno accusati di essere stati poco rigorosi e pre-senti nei contesti operativi;– fare segnalazioni, ma senza incidenti: spesso le imprese appaltatrici si trovano a gestire un ambiguo rapporto con l’organizzazione, perché se da un lato si adeguano ai suoi elevati standard nell’essere rigorosi e aperti all’analisi anche di infortuni minori, rischiano di vedersi penalizzate per-ché si privilegiano quelle imprese che riportano meno eventi avversi. Le imprese appaltatrici dovrebbero, quindi, presentare un numero di segna-lazioni e analisi degli eventi avversi sufficientemente elevato da essere cre-dibili, ma non troppo elevato da essere considerate non sicure (lo stesso può verificarsi per unità simili all’interno della stessa azienda, se questa è di dimensioni sufficientemente grandi);– riduzione di costi inutili: tutto si gioca nella definizione di “inutile”; prima di un incidente tanti costi possono sembrare inutili, ma dopo un evento avverso le prospettive possono cambiare radicalmente;– doppi legami: in molte occasioni le imprese si trovano a gestire doppi legami come “seguire le regole” ed “essere innovativi”, “fare sicurezza” e “risparmiare risorse”. In tutti questi casi si privilegia spesso l’elemento più efficiente a sfavore di quello rigoroso.

87


4.5Il modello shell

Lo studio del perché le persone sbagliano passa anche attraverso le condi-zioni ambientali, fisiche, sociali, organizzative e tecnologiche che possono indurre all’errore. Questo ci aiuta a sviluppare una migliore progettazione ergonomica, nel senso di ricerca delle condizioni di lavoro migliori affinché gli operatori lavorino in modo efficace, efficiente, con sicurezza e soddisfa-zione. In aviazione è stato proposto un modello che aiutasse a visualizzare le aree di intervento al fine di migliorare l’integrazione dell’essere umano col suo ambiente. Il modello ha subito variazioni nel tempo e la forma più nota e consolidata si chiama shell, acronimo di Software, Hardware, Environment and Liveware (Hawkins, 1987). Come si può vedere nella fig. 4.3, esso presenta quattro tasselli che ruotano intorno al tassello centrale. Questi sono frastagliati e l’interazione potrebbe non essere ottimale.

figura 4.3Una possibile rappresentazione del modello shell

I quattro tipi di tassello rappresentano gli elementi principali su cui si deve concentrare lo studio ergonomico per ridurre l’incidenza degli errori uma-ni. Essi sono:1. Software (S): indica tutti i dati, procedure, manuali, regole, informa-zioni presentate su schermi e pannelli, algoritmi, che regolano il funziona-mento di un sistema;

88


2. Hardware (H): indica gli strumenti, le macchine, le strutture fisiche con cui l’operatore interagisce;3. Environment (E): indica l’ambiente fisico e sociale in cui avvengono le operazioni, può essere rumoroso, caldo o freddo, con vibrazioni, odori, in elevazione o con poca luce, con elementi di disturbo dovuti alla presenza di altre persone, influenze sociali e culturali esterne;4. Liveware (L): questo tassello è doppio, è posto sia al centro del model-lo sia come elemento di contorno; il tassello laterale indica tutte le persone che interagiscono con l’operatore e si riferisce quindi a problemi di co-municazione, leadership, coordinamento, relazioni interpersonali; infine, il tassello centrale indica l’elemento umano, l’operatore, posto al centro del sistema e interagente con tutti gli altri tasselli.

Tale modello può esser utile per capire quali fattori contestuali inte-ragiscono con la persona e la portano a commettere errori e violazioni. Ad esempio, ripensiamo al caso dell’infermiere che commette un errore di digitazione sulla pompa di infusione. A livello L-S (Liveware-Software), possiamo dire che la persona non aveva ricevuto/letto/capito le informa-zioni relative al malfunzionamento della macchina, oltre a non aver letto sul display il quantitativo di farmaco da iniettare. A livello L-H (Liveware-Hardware), l’infermiere sta usando uno strumento con un difetto nel ta-stierino e tale difetto comporta un’errata digitazione; il feedback sonoro ad ogni pressione non lo aiuta a riconoscere l’errore e non esiste una funzione di avvio della somministrazione che obblighi la persona a confermare con attenzione la quantità di farmaco impostata. A livello L-E (Liveware-En-vironment), l’infermiere si trova ad agire in un contesto caotico, con molti pazienti da seguire e tante fonti di distrazione. A livello L-L (Liveware-Liveware), l’infermiere sembra essere solo in questa procedura e non esiste un vero lavoro di squadra; forse qualche collega aveva già notato l’anoma-lia del tastierino, ma per pigrizia, inerzia, timore, non lo aveva segnalato. Come rappresenta il modello, i tasselli non sempre combaciano e ci sono margini di errore; una corretta progettazione del lavoro, delle procedure, degli spazi, richiede questa attenzione. Un tempo era l’uomo che si adat-tava al lavoro, oggi, come dimostra il modello shell, è il lavoro che si deve armonizzare con l’uomo.

89

5

Oltre l’errore umano

5.1Perché è sbagliato parlare di “errore umano”

Nel cap. 4 abbiamo visto una serie di statistiche che indicano sistemati-camente il fattore umano come il principale responsabile degli incidenti. Spesso questi dati lasciano stupiti e preoccupati: se l’uomo è così fallibile e “pericoloso”, perché continuiamo a lasciargli il controllo sui sistemi? Per-ché non investire nella ricerca di una tecnologia sempre più avanzata che possa automatizzare i compiti e ridurre l’incidenza di errori umani? Per rispondere a queste domande usiamo un’altra domanda: saremmo disposti a fare un volo da Roma a New York su un aereo senza pilota, completa-mente guidato da un computer di bordo? Molti di noi risponderebbero di no. Il motivo è che l’essere umano, per quanto fallibile, potrebbe interve-nire in caso di anomalie, imprevisti. Infatti qui sta il valore dell’elemento umano: un intervento flessibile nella gestione della complessità. Siccome un volo aereo o un intervento chirurgico, un viaggio in automobile ecc. sono attività complesse che avvengono in sistemi dinamici, al momento non siamo in grado di trasformare in algoritmi tutte le possibili situazioni che potrebbero verificarsi e quindi rimane sempre preferibile affidarsi al flessibile (anche se fallibile) intuito umano. Il padre della moderna infor-matica, Alan Turing, interrogato sulla possibilità di sviluppo di un’intelli-genza artificiale, rispose che se una macchina deve essere infallibile non sarà anche intelligente (Turing, 1947). L’essere infallibile significa essere affidabile, ossia fare bene, sempre, ciò per cui è stata programmata. Ma se qualcosa cambiasse e fosse necessario gestire una situazione nuova? Se il mondo richiedesse di agire sempre a livello Rule, per dirla con Rasmussen, basterebbero i computer a gestire i sistemi, perché vi sarebbero situazioni categorizzabili e prevedibili, con algoritmi attivabili di conseguenza. Ma

90


siccome tali sistemi sono complessi e dinamici, portano con sé una quota considerevole di situazioni di tipo Knowledge, impreviste, dove non è pos-sibile applicare la regola “alla cieca” e serve intelligenza, flessibilità, cre-atività; tutte caratteristiche che per il momento sono peculiari del genere umano e non dell’automazione.

L’ergonomia cognitiva, ossia la disciplina che studia il fattore umano nei contesti operativi e le sue caratteristiche peculiari, indaga su soluzioni progettuali che aiutino una migliore integrazione tra uomo e tecnologia (Wickens, Hollands, 1999; Di Nocera, 2004). Tuttavia, si nota spesso, an-che in questa disciplina, un retaggio tipico di studi di matrice ingegneristi-ca, ossia la visione dell’uomo come un computer difettoso. Tale metafora è stata certamente rinforzata dalla psicologia cognitiva e ancora oggi si trovano teorie e modelli della prestazione umana che si ispirano a tale me-tafora. Nell’ottica ingegneristica, i processi algoritmici per la gestione di una situazione sono lo standard di riferimento e quindi le fallaci euristiche umane non possono che apparire un pallido tentativo di controllo razio-nale. Non è un caso che si sia parlato spesso di human performance and limitations (Campbell, Bagshaw, 2002), dove il termine “limitazioni” mette in luce tutti i “bachi” del sistema uomo. Questo libro vuole invece parlare di prestazione umana, elencando elementi di inaffidabilità (descritti nel cap. 4), ma anche vedendo come sia possibile puntare sugli aspetti flessibili e creativi, in una parola intelligenti, dell’essere umano. Solo noi possiamo vedere i gorilla, non i nostri computer (Hollnagel, 2005).

5.1.1. Quello che le statistiche non dicono

Le statistiche illustrate nel cap. 4 vanno considerate con cautela. Prima di tutto esse riportano solo l’incidenza del fattore umano nella genesi degli eventi avversi, ma non dicono quante volte l’intervento umano ha prevenu-to un incidente, quante volte la nostra flessibilità ha scovato gorilla prima che diventassero pericolosi. Certo, sarebbe impossibile raccogliere simili statistiche, perché mentre un incidente è un fatto, e come tale osservabile e misurabile, la sicurezza è un non-evento dinamico (Weick, Sutcliffe, 2007) che emerge da miriadi di comportamenti, decisioni, pensieri, atteggiamenti adeguati. In secondo luogo, le statistiche si basano sulle indagini condotte in seguito a un incidente. Se tali indagini vanno in cerca dell’errore umano, prima o poi lo troveranno. Inoltre, è abbastanza ovvio che, da qualche par-te nel sistema, si possa trovare lo zampino dell’errore umano. Se, ad esem-pio, l’operatore non ha fatto errori, se la macchina ha fallito, il problema

91

5. oltre l’errore umano

si sposterà nella manutenzione (mancato controllo) o nella progettazione (cattivo design), ambiti dove qualcuno, in definitiva, ha sbagliato. Quindi parlare di “errore umano” è rischioso perché ci fa cadere nel dualismo macchina-uomo di cartesiana memoria (Dekker, 2011). Tale dualismo vedrà gli elementi come distinti e cercherà le falle, i guasti, in uno o nell’altro. Sarebbe come cercare l’essenza dell’acqua nell’idrogeno o nell’ossigeno, e non come proprietà emergente della loro interazione. Infine, come sug-gerisce Hollnagel (1993), più che di errore umano bisognerebbe parlare di “azioni errate”, perché così sposteremmo il fuoco dalla persona, nella sua natura, al comportamento, nel suo contesto. Come giustamente fa notare Di Nocera (2004), parlare di errore umano fa coincidere il processo psico-logico con le conseguenze. Un errore di battitura sulla tastiera mentre si scrive una mail viene giudicato in un modo. Lo stesso errore sul tastierino della pompa di infusione di un farmaco potrebbe uccidere un paziente. L’errore è lo stesso, ma le conseguenze sono diverse. Le conseguenze di-pendono dal contesto in cui esso avviene, e quindi cadere nel dualismo secondo cui gli errori nascono nella mente delle persone (e lì vanno analiz-zati) è riduttivo oltre che ingenuo.

5.1.2. Cosa nasconde l’etichetta “errore umano”

Vediamo ora alcuni elementi che caratterizzano la nozione di errore uma-no, in modo da poter superare le ambiguità e fallacie di questa visione (Woods et al., 2010).

L’errore umano è una attribuzione fatta a posteriori: spesso un errore non esiste senza incidente (o qualsiasi conseguenza visibile). Il fatto di non aver ancora cambiato i pneumatici usurati alla mia auto non sarà visto come errore finché non avrò un incidente. A posteriori esso diventa ogget-tivo, visibile e misurabile.

Le azioni e le valutazioni errate sono eterogenee: più che di errore, biso-gnerebbe parlare di errori, ossia di una varietà di azioni che possono essere eseguite dalle persone in vari contesti, da sole o in gruppo, dovute a cattiva percezione, o valutazione, pianificazione, esecuzione. Possono essere lega-te alle caratteristiche del sistema, al tipo di attività, alle esperienze passate degli operatori e alla cultura organizzativa. La categoria “errore umano”, quindi, diventa troppo generica e priva di senso.

Le azioni errate dovrebbero essere considerate come il punto di inizio del-le analisi degli eventi avversi, non come il punto finale: anziché concludere che un operatore ha sbagliato, chiedersi perché ha sbagliato. Si tratta di

92


analizzare quali condizioni ambientali e psicologiche hanno creato l’emer-gere dell’incidente. Hollnagel (1993) distingue, a questo proposito, tra il fenotipo e il genotipo dell’errore. Il fenotipo è ciò che appare, ad esem-pio l’infermiere sbaglia a impostare il dosaggio del farmaco nella pompa di infusione. Il genotipo è ciò che sta alla base del fenomeno, ossia quali condizioni psicologiche hanno portato l’infermiere a non accorgersi della digitazione sbagliata (azione condotta a livello Skill, ad esempio) e quali condizioni contestuali hanno interagito (tastiera della pompa poco affi-dabile, display non visibile, carico di lavoro elevato ecc.). Diviene chiaro, quindi, come il termine “errore umano” non sia una adeguata stopping rule, ossia una regola per fermare l’indagine sui fattori causali dell’inciden-te: fermarsi all’errore umano sarebbe come giudicare la parentela di due persone basandosi sul colore dei loro occhi.

Le azioni errate sono sintomi, non cause: le indagini sugli eventi av-versi dovrebbero quindi considerare le azioni errate come un segno da interpretare, come l’effetto di condizioni personali, gruppali, ambientali e organizzative. Ecco perché è preferibile parlare di azioni errate e non di errore umano: si analizza un comportamento nel suo contesto e non la persona nella sua natura. Inoltre, bisogna chiarire la differenza tra processi e risultati, cosa che il generico termine “errore” non permette di fare. Ad esempio, è un errore il non controllare il display della pompa di infusione mentre si digita (processo) o è un errore il somministrare un quantitativo eccessivo di farmaco (risultato)?

Processi e risultati sono debolmente associati: l’esempio della pompa di infusione chiarisce questo fatto: non è detto che un cattivo processo porti a cattivi risultati, così come un buon processo potrebbe condurre a esiti negativi. L’infermiere potrebbe non leggere il display (cattivo processo) ma dosare correttamente il farmaco (esito positivo). Nei sistemi complessi non è possibile trovare un legame forte tra processo ed esito. Si pensi alla medicina, dove un buon trattamento terapeutico può comunque essere seguito dalla morte del paziente, o certi errori di trattamento (ad esempio, una somministrazione inadeguata di un farmaco) possono non avere ef-fetti visibili. Purtroppo non è facile definire l’adeguatezza di un processo, perché l’applicazione della procedura, del ragionamento, delle decisioni che l’operatore svolge, non sono e non possono essere un’esatta copia del-le regole scritte sui manuali operativi, ma sono l’adattamento locale delle regole alla situazione contingente. Secondo un approccio riduzionista e meccanicista, per ogni effetto ci deve essere una causa, ma nei sistemi com-plessi lo stesso principio non vale. Grandi effetti possono nascere da pic-

93


cole cause, o anche da nessuna causa. Essi emergono da miriadi di fattori in interazione tra loro. Ripensiamo al caso del medico che cerca un pezzo di carota nell’esofago della paziente e non nota l’infarto. Se la signora fosse morta, la causa sarebbe stata la “cecità” del medico? O forse la concomi-tanza di tanti fattori che hanno portato all’evento avverso? Si usa spesso un’espressione che rivela l’approccio meccanicista agli incidenti nei sistemi complessi: “ricostruzione dei fatti”. Questa visione implica che, così come è possibile passare dalle cause agli effetti, altrettanto facile e sicuro è il processo inverso, passare dagli effetti alle cause. Il tempo è reversibile, in quest’ottica. Ma nei sistemi complessi questa è solo un’illusione.

La valutazione dell’adeguatezza del processo viene influenzata dalla co-noscenza dei suoi risultati: malgrado processo e risultati siano solo debol-mente associati, la valutazione degli esiti proietta una medesima valuta-zione sui processi che li hanno preceduti. Una visione riduzionista porta ad assumere che il danno fosse prevedibile e quindi l’operatore che ha commesso l’errore è stato negligente. Ma la prevedibilità è un concetto difficile da stimare, e certamente lo è nel caso in cui lo si fa a posteriori, perché il collegamento tra cause ed esiti appare ovvio. Si pensi al rispetto delle distanze di sicurezza alla guida di un’auto. Il guidatore deve condurre il veicolo prevedendo la distanza necessaria per evitare l’impatto con altri veicoli o pedoni. Ciò richiede che la persona possa prevedere tutte le pos-sibili minacce alla sicurezza della guida e sappiamo bene che tale principio vale sulla carta, ma quando siamo al volante le nostre fredde competenze analitiche si fanno labili. Vedremo nei paragrafi successivi come questa let-tura a posteriori generi una serie di trappole che impediscono una corretta analisi dell’evento.

Gli incidenti sono una proprietà emergente di numerosi fattori: dietro un evento avverso non c’è un errore, ma una congiunzione, un’interazione tra fattori umani, tecnologici, organizzativi (Reason, 1990). Il caso della pompa di infusione è un esempio: la morte del paziente potrebbe essere proprietà emergente di fattori come, ad esempio, particolare intolleranza del paziente verso il farmaco sovradosato, mancata lettura del display, ine-sperienza dell’operatore verso quel tipo di macchinario, tastierino della pompa difettoso, carico di lavoro elevato, organizzazione dei turni inade-guata ecc. Nessuno di questi elementi, da solo, genera l’incidente, ma è la loro interazione che porta all’esito avverso. Un approccio riduzionista cercherebbe di scomporre il sistema nei suoi elementi, in cerca del guasto, convinto che per capire il funzionamento (o fallimento) del sistema, basti studiare il funzionamento (o fallimento) delle sue parti.

94


Alcuni dei fattori che hanno contribuito all’incidente sono condizioni latenti del sistema: come ha notato James Reason (1990), esistono fattori nascosti nel sistema che diventano visibili solo dopo che, in interazione con il comportamento umano, emergono in un evento avverso. La for-ma identica dei due indicatori di carburante nel caso Tuninter, il carico di lavoro nel caso dell’infermiere, la filosofia organizzativa orientata al risparmio di risorse adottata dalla nasa prima dell’incidente alla sonda Mars Polar Lander, sono forme diverse di condizioni latenti più o meno profonde. L’errore umano è solo uno degli elementi, fermarsi ad esso non permette di vedere gli aspetti latenti e potenzialmente attivi per altri futuri incidenti.

Gli stessi fattori sono alla base della prestazione adeguata e dell’errore: ciò che differenzia un errore da una prestazione corretta è il suo esito, ma spesso i processi mentali sono i medesimi. L’esito non dipende, quindi, solo dal processo mentale, ma dall’interazione con i fattori latenti e con-testuali.

Le azioni erronee non sono frutto dell’imprevedibilità umana: il compor-tamento umano segue leggi che la psicologia studia da più di un secolo, e le dinamiche governate da tali leggi sono interpretabili anche alla luce del contesto in cui l’operatore si trova ad agire. La confusione di due farmaci con la stessa etichetta non sarà quindi una bizzarria del cervello umano, ma la naturale conseguenza della nostra tendenza a non notare certi detta-gli, associata alla configurazione fisica dei farmaci. Questo comporta che la prevenzione di azioni erronee passa soprattutto dallo studio dei fattori contestuali che ne favoriscono l’emersione.

Le azioni erronee sono dipendenti dal contesto: ogni azione che ha avuto conseguenze inattese o indesiderate va studiata nel suo contesto, perché è nell’interazione con esso che emerge l’esito. Un sistema che non tollera la variabilità delle prestazioni umane è un sistema a rischio, perché non le contestualizza. Non siamo affidabili (come diceva Turing), ma siamo variabili, fallibili e intelligenti. Se dobbiamo fare un lavoro tipico di una macchina, ci sarà chiesto di eseguire compiti validi di per sé, insensibili al contesto. Ma questo è ciò che noi non vogliamo nei sistemi complessi, perché il contesto può variare in modo inatteso e imprevedibile. Ecco che, quindi, la prestazione umana sarà variabile, adatterà al contesto regole e procedure. Talvolta questi adattamenti avranno esiti non voluti.

La sicurezza di un sistema nasce dalla tolleranza, detezione e rimedio degli errori: un sistema per essere sicuro deve essere progettato in funzio-ne della varietà della prestazione umana. Se la risposta giusta deve essere

95


una e solo una, il rischio è molto elevato perché, come abbiamo detto, la prestazione è variabile e il contesto dinamico. La tolleranza implica che, qualora un operatore esegua un’azione erronea, il sistema non permetta la degenerazione verso un incidente, ma abbia diverse barriere in grado di mitigare gli effetti dell’azione. Naturalmente il sistema deve fornire feed-back costanti all’operatore rispetto a ciò che sta facendo e deve poter evi-denziare la natura erronea delle azioni se accadono, dando quindi spazio a interventi di recupero della situazione. Una tecnologia sempre più opaca, ossia nascosta e incomprensibile agli operatori, a causa della complessità, rischia di rendere invisibili gli errori fino al loro manifestarsi come inciden-te (Norman, 1990). Il caso del sistema informatico di gestione dei pezzi di ricambio della Tuninter è emblematico di questa incompatibilità tra pre-stazioni umane e processi automatizzati.

Più tecnologia non significa meno errori: se l’unico fattore alla base de-gli incidenti fosse davvero l’essere umano, basterebbe aumentare il potere dell’automazione a discapito dell’intervento delle persone. Abbiamo visto che non è così, che gli incidenti nascono dall’interazione di fattori psicolo-gici, tecnologici e organizzativi. L’aumento della tecnologia e dell’automa-zione, quindi, potrebbe portare a conseguenze indesiderate. Espropriando l’uomo dal controllo della situazione, prima di tutto, si genera quella che in letteratura è stata chiamata sindrome out-of-the-loop (Wickens, Hollands, 1999), ossia la condizione in cui gli operatori sono così lontani dal pro-cesso, svolto quasi interamente dall’automazione, che perdono la visione globale del sistema, sono meri assistenti di eventi di cui non colgono il senso generale. Essi rischiano di perdere quelle abilità di controllo e in-tervento che avevano prima, oppure rischiano atteggiamenti di eccessiva fiducia nell’automazione, arrivando ad abbassare la guardia verso even-tuali anomalie e a tardare negli interventi di emergenza. In secondo luogo, l’aumento della complessità del sistema dato dall’aggiunta di automazione può portare a nuove forme di incidenti, ignote prima. I sistemi informatici potrebbero non armonizzarsi tra loro o potrebbero emergere incompatibi-lità. Questo è proprio ciò che accadde nel caso del Mars Climate Orbiter, dove i dati inviati dalla sonda erano calcolati secondo un sistema metrico diverso da quello utilizzato dai computer di Terra, provocando un errore nel calcolo delle distanze dal pianeta. La sonda si distrusse per l’attrito con l’atmosfera di Marte. Infine, l’automazione crescente può provocare nuo-vi tipi di azioni erronee da parte delle persone stesse. Ad esempio, molti software dispongono di un sistema di completamento automatico dei dati che si stanno immettendo. Un operatore del Pronto soccorso, nell’urgen-

96


za di gestire un caso, potrebbe inserire i dati del paziente nel database senza il dovuto controllo. Il software potrebbe completare i campi in automatico per facilitare l’operatore, ma in casi di omonimia il rischio di attribuire dati di un paziente ad un’altra persona sarebbero elevati. Questo porterebbe allo scambio delle cartelle cliniche e a conseguenze potenzialmente letali.

Le analisi degli incidenti non sono una ricostruzione dei fatti: una visione meccanicista e riduzionista del mondo comporta una credenza pericolosa nell’analisi degli incidenti: basta raccogliere informazioni sufficienti per ricostruire i fatti per come sono andati. Tale credenza implica che esista un mondo oggettivo esterno alle nostre menti, e che le persone possano essere più o meno capaci di rappresentarselo e gestirlo. Quando accade un incidente, quindi, bisognerà ricostruire lo stato “reale” del mondo e capire dove e come le persone non sono state capaci di rappresentarlo nella loro testa. Tale approccio è ingenuo e riduttivo. Non esiste un mondo ogget-tivo, una verità esterna che noi cerchiamo di intuire. Esistono interazioni tra noi e l’ambiente. Chi ricostruisce i “fatti” si illude di aver riprodotto il mondo come era prima dell’incidente, ma l’incidente emerge dall’inte-razione tra tutti i fattori presenti allora e non facilmente riproducibili a posteriori. Le analisi degli incidenti sono delle costruzioni sociali, delle narrazioni a posteriori, dei tentativi di dare senso e semplicità a fenomeni complessi. La narrazione è, per forza di cose, sequenziale e impone violen-temente linearità a qualcosa che è per definizione non lineare, dinamico, multifattoriale.

5.2Le trappole mentali di chi analizza gli incidenti

Immaginiamo un semplice infortunio e vediamo come i cosiddetti “fat-ti” possano essere letti in molti modi diversi, a seconda della prospettiva (Holden, 2009). Un’operaia scivola su una chiazza d’olio sul pavimento dell’area di lavoro, riesce però a cadere su una pila di sacchi lì vicino, evi-tando danni più seri. Un collega osserva la scena. Vediamo ora le possibili interpretazioni di questi fatti:– errore fondamentale di attribuzione: il collega crede che l’operaia sia scivolata per cause interne e generali della sua persona: distrazione, in-curia, frettolosità. Questo tipo di errore è stato ampiamente studiato in psicologia sociale (Ross, 1977) e si fonda sulla tendenza di chi osserva i comportamenti altrui a ricondurne le origini non a situazioni contingenti,

97


ma a stati interni e disposizionali della persona osservata. Se l’infermiere che mi sta facendo un prelievo non si accorge della mia paura, tenderò ad attribuire il comportamento a un suo tratto di personalità, vedendola come una persona fredda e insensibile, piuttosto che attribuirlo a un suo stato temporaneo. Allo stesso modo, l’operaia sarà vista come distratta in generale, piuttosto che distratta in quella specifica situazione;– asimmetria attore-osservatore: sebbene il collega pensi che l’operaia sia scivolata perché è una persona distratta, essa tenderà invece a interpretare l’evento in termini di cause esterne e contingenti: momentanea fretta, pa-vimento poco illuminato, scarsa manutenzione dei macchinari che ha pro-vocato la perdita di olio. Questo fenomeno, complementare al primo, si riferisce alla tendenza di chi compie l’azione a legare il suo comportamento a circostanze contingenti ed esterne piuttosto che a disposizioni generali e interne (Jones, Nisbett, 1971);– attribuzione al servizio di sé (self-serving bias): l’operaia penserà che, malgrado la scivolata, è stata brava a spingersi verso i sacchi e a cadere sul morbido. Di converso, il collega penserà che è stata fortunata e avrebbe potuto farsi molto più male. Questo fenomeno indica, quindi, la tendenza ad attribuire i nostri successi a cause interne (la bravura) e gli insuccessi a cause esterne (sfortuna o ambiente) (Miller, Ross, 1975); – errore di attribuzione finale: il collega penserà che l’operaia, in quan-to donna, non è adatta a questo tipo di lavoro, che è troppo distratta per poter lavorare in un ambiente tipicamente maschile e ricco di insidie. Questo errore, simile al primo elencato, riguarda però l’attribuzione di caratteristiche generalizzate a membri di gruppi sociali o etnici diversi dal proprio, e diviene poi fondamento per pregiudizi e luoghi comuni (Petti-grew, 1979).

Chi ha ragione tra i due operai? Esistono fatti “puri”? È evidente che noi umani abbiamo la tendenza a leggere gli eventi secondo meccanismi come quelli elencati qui sopra, ma questo ci dice che i fatti oggettivi sono un artificio mentale di tradizione neopositivista. Occorre essere consape-voli che ciò che chiamiamo “ricostruzione” è invece una “interpretazio-ne” di alcune informazioni parziali. Ricordiamo quanto detto a proposito della nostra razionalità limitata: raccogliamo solo una ridotta quantità di informazioni, rispetto a tutte quelle potenzialmente indagabili, le rappre-sentiamo in modo soggettivo adattandole a bisogni, credenze, aspettative, euristiche, non sappiamo cogliere tutte le reciproche interazioni tra questi dati, non sappiamo come si sono davvero articolati in passato, non sappia-mo stimare quali esiti avranno nel futuro, né se e come si ripresenteranno.

98


Vediamo ora quali sono i rischi di chi analizza gli eventi avversi senza tene-re in considerazione queste caratteristiche del pensiero umano.

5.2.1. Errare è umano.Cercare il colpevole lo è ancora di più

La logica aristotelica, rinforzata dal pensiero scientifico da Cartesio e New-ton in poi, ci rende spontaneo il cercare una causa specifica nei pressi e subito dopo un effetto. Siccome spesso vicino a un effetto c’è un essere umano, lui sarà identificato come la causa. L’errore fondamentale di at-tribuzione, a sua volta, ci porta a cercare dentro la persona delle caratte-ristiche disposizionali generali (essere imprudente, inaffidabile, sperico-lata). Ecco gli ingredienti fondamentali per creare un capro espiatorio. Il pensiero antico ha ben rappresentato questa tendenza umana a proiettare su un soggetto (il capro) la negatività che giustifica la presenza di eventi altrimenti non accettabili (il dolore, la sofferenza, gli incidenti): solo il suo sacrificio potrà permettere una gestione del dolore e un’espiazione. Se oggi sorridiamo al pensiero che il sacrificio di una capra permetta di alleviarci dai mali del mondo, troviamo del tutto naturale sfogliare giornali leggendo dettagliate analisi del comportamento abominevole del comandante della Costa Concordia prima e dopo il naufragio. Come abbiamo già detto, indi-viduare responsabilità individuali è ben diverso dal caricare la persona di tutte le responsabilità degli eventi avversi che sono accaduti in un sistema complesso. Questa si chiama cultura della colpa e, come abbiamo detto nel cap. 2, non aiuta il sistema a dare risposte forti a segnali deboli, perché porterà le persone a chiudersi, a non comunicare, a proteggersi. Di fatto la cultura della colpa rende gli operatori degli elementi atomisticamente scollegati uno dall’altro, rendendo impossibile il processo di sviluppo della sicurezza come proprietà emergente.

Oltre alla naturale tendenza a cercare un capro espiatorio, le indagini sugli incidenti nei sistemi complessi si fermano spesso agli operatori per altre ragioni (Woods et al., 2010). Prima di tutto gli operatori sono facili da incolpare. Erano presenti sul luogo dell’incidente, hanno fatto qual-cosa che è collegato agli esiti. Inoltre gli operatori erano stati incaricati formalmente di tutelare la sicurezza e di attenersi alle procedure, quindi se la sicurezza viene a mancare, loro sono responsabili. Un altro motivo che blocca le indagini a livello degli operatori è la difficoltà di analizzare le relazioni complesse tra gli elementi del sistema. Mentre è facile e imme-diato trovare il nesso causale tra azione ed effetto, è più arduo proseguire

99


in questa indagine cercando di capire come quell’azione fosse maturata nella mente delle persone, quali fattori contestuali avessero agevolato quel tipo di pensieri. Indagare un sistema complesso è come camminare nella nebbia: si vedono solo le cose più vicine e si perdono le relazioni con gli elementi del contesto. Ancora, siamo così pronti a cercare l’errore umano nei sistemi complessi proprio perché non ci aspettiamo che falliscano. Il tasso di incidenti gravi in questi sistemi è molto basso (proprio grazie alle persone che vi lavorano); questo rende un incidente un evento così ecce-zionale che solleva emozioni forti, tali da trovare conforto solo trovando un colpevole il prima possibile. Infine, nell’analisi degli incidenti si celano rischi dovuti a quelle stesse fallacie della mente che sono chiamate in causa per spiegare la nostra fallibilità. Anche chi conduce un’analisi, infatti, si trova a dover leggere a posteriori un evento, cercando di individuarne le ragioni. Come abbiamo visto nel capitolo sulle euristiche e sui bias, non siamo molto bravi nei ragionamenti a posteriori e nelle stime di probabili-tà. Vediamo le trappole principali in cui è possibile cadere.

5.2.2. La trappola del senno di poi

Una delle più potenti distorsioni del ragionamento probabilistico è la ten-denza a ritenere un evento come assolutamente probabile solo dopo che è accaduto, mentre prima che accadesse questa era solo una delle tante pos-sibilità. In termini più formali, analizzando un fatto a posteriori, le persone tendono a esagerare in modo considerevole ciò che avrebbe potuto esse-re visto in anticipo. Per questo motivo, questa tendenza è stata chiamata hindsight bias, ossia fallacia a posteriori (Fischhoff, Beyth, 1975; Fischhoff, 1975). Riprendiamo il caso del medico di guardia che decide di trasferire la donna all’ospedale vicino senza accompagnamento, perché l’attesa dei reperibili avrebbe esposto la donna e il feto a rischi maggiori di quelli dati da un viaggio in ambulanza senza accompagnamento. Supponiamo che durante il viaggio le condizioni della donna siano peggiorate e che abbia perso il bambino prima dell’arrivo in ospedale. A posteriori è ovvio soste-nere che i rischi di non essere accompagnata fossero troppo elevati e che sarebbe stato meglio attendere il medico reperibile. La trappola del senno di poi ci fa quindi vedere il comportamento del medico di guardia in modo distorto, perché lo leggiamo già nell’ottica dell’incidente avvenuto. Ma il medico non sapeva che stava per entrare nella “scena del crimine”! Questa è una lettura a posteriori. Chi studia gli eventi avversi deve fare uno sforzo di lettura degli eventi adottando una prospettiva fenomenologica, ossia

100


mirata a centrarsi sulla realtà della persona in esame, rispettando, senza giudicare, quella che è la sua verità, la sua esperienza. Ricordiamo che non esistono fatti puri e oggettivi; il vissuto del medico prima dell’evento è relativo, proprio come lo è il nostro che analizza l’evento a posteriori. Il lavoro di chi analizza gli incidenti dovrebbe essere quello di capire perché per quella persona era sensato agire in quel modo, perché nel suo contesto tutto lo ha portato a fare quello che ha fatto (Dekker, 2005). Allora, perché il medico di guardia ha fatto quella scelta? Immaginiamo quante informa-zioni potevano essere presenti nella sua mente mentre trattava la paziente. L’urgenza del caso, il dover gestire da solo la complessità della situazione, il valutare il tempo d’attesa del medico reperibile e il valutare il tempo di trasporto all’altro ospedale, il bilanciamento tra il rischio dell’attesa e il rischio del trasporto della paziente non accompagnata, la presenza di altri casi urgenti in reparto ecc. Tutti questi pensieri, scelte, decisioni, alterna-tive hanno portato il medico a fare quello che ha fatto. Come abbiamo già chiesto nella presentazione del caso nel cap. 4: è errore? Se leggiamo l’evento a posteriori, la trappola del senno di poi ci fa rispondere di sì, è errore. Chi legge a posteriori ricostruisce a ritroso gli eventi, secondo una fittizia catena degli eventi. Si parte dall’incidente e si risale, indietro nel tempo, da un anello al precedente, fino al colpevole. La donna ha perso il bambino, non è stato possibile gestire il distacco di placenta, la donna era quindi partita in condizioni troppo gravi per affrontare il viaggio da sola. Il medico di guardia non ha saputo valutare il rischio e ha violato la procedura che richiede sempre un accompagnamento da parte di un me-dico reperibile. Quindi il medico di guardia è colpevole. Notiamo in que-sta ricostruzione che la catena degli eventi appena descritta è ben diversa dall’intrico di pensieri, dubbi, ragionamenti che stava vivendo il medico prima dell’incidente. Nella fig. 5.1 vediamo una possibile rappresentazione della differenza tra il reticolo di informazioni presenti nella mente del me-dico di guardia e la lineare ricostruzione fatta da chi legge a posteriori.

Chi cade nella trappola del senno di poi ricostruisce una realtà lineare e pulita da tutti i fattori contestuali di disturbo che invece erano presenti nella mente dell’operatore. Tale linearità porta allo sconcerto di chi non capisce come il medico abbia potuto prendere quella decisione, perché se leggiamo i fatti secondo la logica di destra è ovvio che porteranno alla morte del bambino. A posteriori si rischia di analizzare i processi deci-sionali non contestualizzandoli nei limiti temporali, si riflette sui segnali presenti nel caso, ma secondo un tempo infinito, senza pressioni e urgenze, mentre chi era coinvolto nella vicenda era immerso in un tempo limitato e

101


sentiva la pressione di una decisione urgente. È bene ricordare che quando ci ritroviamo a dire “ma come ha potuto…” commentando a posteriori un incidente, la nostra sorpresa non è misura della scelleratezza di chi ha compiuto l’errore, ma è misura della lontananza del nostro punto di vista da quello che stava effettivamente vivendo la persona in quel momento, prima dell’incidente. Più ci sembra assurda la sua scelta, più siamo caduti nella trappola del senno di poi e stiamo leggendo un’altra storia.

figura 5.1La trappola del senno di poi. La differenza tra i due percorsi è evidente: nel caso della ricostruzione a posteriori si analizzano solo gli eventi che di fatto hanno portato all’in-cidente e non si tiene conto del resto

Il senno di poi comporta numerose distorsioni cognitive (Fischhoff, 1975). Vediamone alcune:– accelerazione indebita dei tempi degli “inevitabili” eventi passati: a po-steriori il tempo di svolgimento degli eventi e delle decisioni è abbreviato, tutto si svolge in sequenza, senza pause e deviazioni. Nel nostro esempio, il medico di guardia avrebbe fatto pochi ragionamenti e tratto subito le conclusioni che lo avrebbero portato a ordinare il trasporto non accompa-gnato;

102


– si ritrovano segnali, preavvisi dell’incidente, anche in eventi scollegati o remoti: si tratta della tendenza alla “dietrologia”, cioè il cercare a posterio-ri i segnali che confermano come gli eventi non avrebbero potuto svolgersi se non come si sono effettivamente svolti, e già allora c’erano i segnali del disastro. Ad esempio, si vanno a cercare eventuali altri “errori” commessi dal medico in passato, se ne cercano le debolezze, in modo da dimostrare la sua vera natura fallibile; – si crede che le persone coinvolte nei fatti ne fossero pienamente consa-pevoli e sapessero della loro rilevanza o gravità nell’ottica dell’incidente: il paradosso è ben espresso dalla frase: “Caro diario, oggi comincia la guerra dei Cent’anni…”. Il medico non sapeva che il bambino sarebbe morto, non sapeva che il reperibile magari sarebbe arrivato prima del pre-visto, non sapeva, in poche parole, che stava iniziando la tragedia. Questa credenza sostiene l’illusione del libero arbitrio di chi è coinvolto nell’in-cidente: la persona ha deliberatamente deciso di fare ciò che ha fatto, pur sapendo che stava per avviarsi verso un incidente. Tale illusione vede quindi la persona come scevra da fattori contestuali, come se la sua de-cisione fosse nata nella sua mente solo come frutto di una sua personale inadeguatezza.

Il senno di poi non provoca solo effetti distorcenti in chi conduce le indagini, ma anche nei colleghi della persona coinvolta. Molti potrebbero pensare che loro se ne sarebbero accorti, che a loro non sarebbe successo. Questo fa aumentare la solitudine della persona coinvolta, perché incol-parla è più comodo per tutti. Piuttosto che individuare anche fattori orga-nizzativi e contestuali, è meglio cercare la mela marcia ed espellerla, per-ché il sistema è (deve essere) sano. Tale atteggiamento, però, porta a una forma di cecità organizzativa e gruppale, essa impedisce di notare fattori di rischio già presenti, perché il rischio doveva essere solo nella persona accusata. E se i fattori di rischio permangono, prima o poi potrebbero riemergere sotto forma di altro incidente.

Purtroppo sembra che non sia facile eliminare gli effetti del senno di poi, anche sapendo della sua esistenza le persone tendono a cadere in questa trappola (Fischhoff, 1975). L’unico modo per limitarne l’influenza è quello di invitare le persone a valutare possibili alternative agli esiti effet-tivamente accaduti. Ad esempio, chiedendo ai soggetti di spiegare come ognuno dei possibili esiti avrebbe potuto verificarsi (Hoch, Lowenstein, 1989), oppure chiedendo alle persone di elencare le ragioni pro e contro ogni possibile esito (Fraser, Smith, Smith, 1992). Queste tecniche servono a stimolare un approccio mentale al problema tipo “avvocato del diavolo”,

103


favorendo quindi forme di pensiero laterale e riducendo la chiusura in una visione univoca ed esclusiva.

5.2.3. La trappola del lieto fine

In italiano e anche in altre lingue esiste un detto: “tutto è bene ciò che finisce bene”. Quando gli eventi volgono per il meglio, tutto ciò che li ha preceduti assume una connotazione positiva. Purtroppo questo atteggiamento è una trappola per chi analizza gli eventi avversi, perché vincola la valutazione dei processi alla valutazione degli effetti. Se qualcosa ha avuto un lieto fine (nessun danno, incidente sventato ecc.), allora i fattori precedenti non sono presi in considerazione o, se lo sono, non vengono valutati in modo negati-vo. Se invece le cose vanno a finire male, allora tutti gli antecedenti si mac-chiano della colpa. Questa fallacia è stata chiamata outcome bias (Baron, Hershey, 1988), quindi legata ai risultati. Riprendiamo il caso del medico di guardia che invia la donna gravida in ambulanza senza accompagnamento. Se presentassimo la storia a due gruppi di giudici, differenziando il racconto solo per l’esito (la donna arriva in ospedale e il parto si svolge regolarmente, oppure avviene il distacco della placenta e il bambino muore), i due gruppi valuterebbero la gravità dei fattori che hanno condotto all’esito in modo molto diverso. Se il bambino muore, la decisione del medico è grave e si è assunto rischi inaccettabili. Se il bambino e la mamma stanno bene, il medi-co è stato un eroe a violare la procedura e a salvare le loro vite. Purtroppo, come diceva Mach, il successo o l’insuccesso hanno la stessa origine, ciò che li differenzia sono i risultati (Hollnagel, 2009). Chi analizza gli incidenti si trova, quindi, di fronte a una storia che ha avuto un esito negativo e tende-rà a valutare i fattori processuali come più negativi e rischiosi del dovuto. Come si può immaginare, nello studio della sicurezza nei sistemi complessi bisognerebbe omettere il finale alle descrizioni degli eventi, ma è pratica-mente impossibile farlo se tali indagini si fanno solo dopo un incidente. Bisognerebbe agire prima dell’incidente, quindi. Ricordiamo la matrice segnali-risposte descritta nel cap. 2: un sistema sicuro sa dare risposte forti a segnali deboli, prima che diventino segnali forti. Il rischio della trappola del lieto fine è che, se le cose non hanno esiti negativi, si tende a valutarle meno seriamente. È il caso dei mancati incidenti, quando un autista riesce a evita-re un tamponamento per pochi centimetri, quando un infermiere si accorge di aver sbagliato farmaco poco prima di somministrarlo al paziente, quando un operaio viene sfiorato da un attrezzo caduto dall’alto. La trappola del senno di poi ci farebbe dire “tutto è bene quel che finisce bene” e ci fareb-

104


be procedere come se nulla fosse. Ricordiamo la piramide degli incidenti, dove i quasi incidenti sono preludio per danni maggiori. Questa trappola viene poi rinforzata da una cultura della colpa, in cui si cerca il colpevole a tutti i costi. Di fronte a un incidente mancato, la persona coinvolta non sarà propensa a parlarne, perché avrà timore delle conseguenze punitive. In conclusione, chi analizza gli eventi avversi dovrebbe essere consapevole di questo rischio e provare a valutare i fattori in esame indipendentemente dagli esiti conosciuti. A proposito, il bambino e sua madre stanno bene, la storia ha avuto un lieto fine. Questo ci solleva da un punto di vista umano, ma l’esito non dovrebbe influenzarci nell’analisi del caso.

5.2.4. La trappola della simmetria

In un mondo semplice, cause ed effetti sono simmetrici, cioè grandi cause producono grandi effetti e viceversa. In un mondo complesso le cose stan-no diversamente e la trappola della simmetria ci impedisce di capire che anche piccoli e remoti fattori possono condurre a effetti di vasta portata. Ricordiamo l’effetto farfalla descritto nel cap. 1, secondo cui le condizio-ni iniziali di sviluppo di un sistema complesso possono determinare esiti lontani nel tempo, nello spazio e di ordini di grandezza molto diversi. La trappola della simmetria, invece, ci farà credere che se c’è stato un effetto drammatico la sua causa sarà altrettanto grave. Torniamo al caso dell’infer-miere che stava per scambiare le provette dei due pazienti: questo banale errore cognitivo potrebbe avere gravissime conseguenze, quindi si tende-rebbe a giudicarlo come abominevole. Ma dal punto di vista cognitivo sa-rebbe come mettere il sale nel caffè, dimenticare di pagare una bolletta o lasciare un documento nella fotocopiatrice dopo averlo riprodotto.

Facciamo un esempio molto drammatico. Il 2 ottobre 1996 un Boeing 757 della Aeroperú con settanta persone a bordo ebbe un incidente misterio-so che portò alla morte dell’equipaggio e di tutti i passeggeri. Poco dopo il decollo, avvenuto verso mezzanotte, i comandanti si trovarono a volare alla cieca, nessuno strumento sembrava funzionare, non sapevano a che altitudine si trovassero e c’erano incomprensibili incongruenze nei dati della strumenta-zione. Cercarono quindi di ritornare all’aeroporto di partenza, ma credettero di essere a un’altitudine maggiore di quella effettiva e durante le manovre eb-bero un violento impatto con la superficie del mare e si inabissarono nell’oce-ano. Le indagini rivelarono che poco prima del decollo gli addetti alla manu-tenzione avevano pulito la carlinga, come previsto, ma si erano dimenticati di rimuovere il nastro protettivo che va posto sopra i sensori di bordo (i tubi di

105


Pitot), per evitare che il detergente li rovini. Dopo la pulizia il nastro andreb-be rimosso, gli operatori se ne dimenticarono e l’aereo decollò con i sensori bloccati da pochi millimetri di nastro (ntsb, 1996). Una banale dimenticanza, un piccolo fattore, ha provocato un enorme incidente.

5.2.5. La trappola della conferma

Noi esseri umani siamo particolarmente abili nel cercare conferme delle nostre credenze, ipotesi, aspettative. Siamo meno capaci di trovare eviden-ze contrarie. Questo fenomeno, chiamato confirmation bias (Klayman, Ha, 1987), è anche noto come profezia che si autoavvera. In sostanza significa che chi cerca evidenze per validare una certa ipotesi tenderà a dare più peso a ciò che la conferma, trascurando argomenti contrari. Hollnagel (2009) ha chiamato questa trappola wylfiwyf (What-You-Look-For-Is-What-You-Find), ossia “ciò che cerchi è ciò che trovi”, descrivendola come una delle principali minacce per chi conduce analisi sugli incidenti. Se la persona dispone di aspettative pregresse, va in cerca dell’errore umano, cerca il colpevole, certamente finirà per trovare ciò che cerca. Nel caso del medico di guardia al Pronto soccorso, se cerchiamo un colpevole che infrange le procedure non avremo difficoltà a trovarlo, ma questo potrebbe impedirci di vedere altri fattori altrettanto rilevanti per analizzare l’accaduto.

5.2.6. La trappola del “ma se…”

Se il medico avesse atteso il reperibile, la donna non avrebbe perso il bam-bino; se l’operatore non avesse dimenticato il nastro protettivo sui senso-ri, l’aereo non sarebbe caduto. Questi sono chiamati controfattuali, ossia ragionamenti ipotetici su come le cose sarebbero potute andare se alcuni aspetti fossero cambiati. Ci divertiamo a fantasticare con i “se” e con i “ma”, pur non essendo molto capaci di evitare grossolani errori (Kahne-man, Tversky, 1982). Nelle indagini sugli incidenti nei sistemi complessi, la trappola del “ma se…” porta le persone a credere che se quell’elemen-to della storia fosse cambiato, sarebbe stato possibile evitare il problema. Questo concentra l’attenzione solo sull’elemento in esame (ad esempio, il medico) e vede nella sua correzione (o eliminazione) la migliore strategia di intervento per la sicurezza. L’argomento sembra avere una logica strin-gente: se l’infermiere non fosse stato distratto, non avrebbe scambiato le provette dei due pazienti, quindi basta intervenire sulla sua distrazione per eliminare il problema. Ormai dovrebbe essere chiaro che nei sistemi com-

106


plessi non possiamo giocare con i “se”, perché un piccolo cambiamento potrebbe produrre effetti inattesi e gli esiti sono sempre frutto dell’inte-razione di molti fattori; in altri termini, non è detto che agendo solo sulla persona si risolverebbe il problema.

5.3Le insidie delle trappole

Le trappole che abbiamo appena visto sono pericolose per almeno tre mo-tivi. Prima di tutto sono insidiose perché non è facile notarle e correggerle. Sono il risultato di processi cognitivi basati su euristiche e sono parte del nostro normale corredo mentale, per questo molti ragionamenti possono sembrare del tutto legittimi e coerenti. Non è facile accorgersi che si stan-no adottando queste visioni distorte e, anche sapendolo, è necessario un certo impegno per limitarne gli effetti. Sono il retaggio di un approccio al mondo che la nostra specie ha adottato con successo fino ad ora, ma se queste strategie cognitive hanno funzionato nei secoli passati non sono più valide nei sistemi socio-tecnici complessi che noi stessi abbiamo progettato e sviluppato in anni recenti. Possiamo, quindi, sforzarci di cambiare pro-spettiva, ma sarà come se un destrimane dovesse imparare a scrivere con la mano sinistra: il processo sarà lento, all’inizio la prestazione sarà molto grossolana e vi sarà spesso la tendenza a ricadere nelle vecchie abitudini.

Il secondo motivo di insidia di queste trappole è che portano inevi-tabilmente a focalizzare le indagini, e quindi la colpa, sulle persone e sui loro errori. Sono la linfa che alimenta i luoghi comuni sull’errore umano e portano al consolidamento di approcci meccanicisti e riduzionisti ai siste-mi complessi. Si cerca il guasto (l’operatore che ha sbagliato) e lo si ripara. Questo porta allo sviluppo della cultura della colpa, un clima all’interno del sistema per cui l’unica soluzione possibile per fare sicurezza è cercare e punire chi commette errori.

Infine, dal momento che queste trappole concentrano l’attenzione su-gli errori delle persone, distolgono da altri fattori di tipo contestuale e organizzativo che potrebbero, invece, essere rilevanti per evitare che l’inci-dente si ripresenti. Abbiamo detto che le azioni erronee sono un sintomo e non una causa, sono il segnale che qualcosa nel sistema porta all’emersione di incidenti, grazie all’interazione con le caratteristiche fisiche e psicolo-giche degli operatori. Confondere i sintomi con le cause latenti è quindi pericoloso, perché agendo sui sintomi si illude il sistema che il problema sia stato eliminato, mentre è stato solo dilazionato.

107

6

Analizzare gli incidentinei sistemi complessi

6.1Cercare le cause

Nel cap. 5 abbiamo visto che la nozione di “errore umano” porta a una let-tura miope degli incidenti nei sistemi complessi. D’altro canto, chi conduce le analisi degli incidenti potrebbe rischiare di cadere nelle trappole di una lettura a posteriori degli eventi, giudicando i comportamenti degli attori coinvolti nell’ottica dell’anticipazione di un prevedibile disastro. Questo approccio è stato definito da Catino (2006) come accusatorio, perché di-retto alla persona, a cercare il colpevole. Esso è stato il modello dominante fino ad anni recenti e si ispira a una visione del sistema come un domino le cui tessere sono poste in fila: se un elemento cade (l’errore umano), esso provocherà una reazione a catena fino all’incidente (Heinrich, 1931). Tale modello si basa su alcuni presupposti:1. le persone agiscono sulla base del libero arbitrio, se hanno sbagliato è perché hanno deliberatamente scelto quella azione o, in caso di errori involontari, non hanno prestato la dovuta cura nel lavoro;2. le persone sono portatrici di responsabilità individuale e siccome è ne-cessario trovare dei responsabili basterà cercare coloro che hanno violato i propri doveri;3. la punizione è necessaria, per rispetto del senso di giustizia;4. l’individuazione e la punizione dei responsabili permettono al sistema un processo veloce ed economico, senza che si debba analizzare la situazio-ne a livelli più profondi e complessi.

Come sottolinea Catino (2006), questo approccio genera solo omertà, chiusura, isolamento degli operatori. Sono gli effetti della cultura della col-pa. Il sistema non apprende dagli errori, non circolano le informazioni e il sistema è destinato a coltivare al suo interno le stesse condizioni latenti che hanno condotto agli eventi avversi in passato.

108


Hollnagel (2004; 2009) ritiene che questo approccio lineare e cau-sale sia tuttora presente in molti modelli che cercano di analizzare gli eventi nei sistemi complessi partendo da retaggi tipici dell’ingegneria industriale. Le relazioni causa-effetto non sono più solo lineari, possono ramificarsi, ma il modello mantiene un’intrinseca rigidità e sequenzialità (fig. 6.1).

figura 6.1Esempi di modelli causali: singola catena causale (in alto); albero dei guasti (a sinistra); albero degli eventi (a destra)

Il modello a sinistra si chiama albero dei guasti e rappresenta tutti gli elementi del sistema che possono avere un funzionamento corretto o meno e possono quindi condurre all’incidente. Nell’esempio, tutta una serie di situazioni organizzative si combina per dare corpo a condizioni di lavoro poco sicure; in tale contesto l’operatore commette un errore e il sistema tecnologico non riesce a mitigarne gli effetti, con conseguente infortunio. Il modello a destra si chiama albero degli eventi e rappre-senta lo sviluppo delle conseguenze rispetto all’accadimento di un fat-to, che agisce da attivatore della catena. Nell’esempio, un cambiamento organizzativo può avere diverse conseguenze che col tempo possono portare all’incidente.

109

6. analizzare gli incidenti nei sistemi complessi

6.2Limiti dei modelli causali

Questi modelli sono nati per gestire la sicurezza nei sistemi industriali (ad esempio, una centrale elettrica) e dimostrano tutta la loro natura ingegne-ristica. Essa rappresenta, allo stesso tempo, un punto di forza ma anche di debolezza. È un punto di forza perché semplifica e sistematizza le di-namiche, quantifica i rischi e rende una visione d’insieme. È un punto di debolezza perché i sistemi complessi sfuggono a questa logica semplifica-toria. Un albero come quello rappresentato nella fig. 6.1 può funziona-re nell’analisi dei danni provocati dal cedimento di una conduttura. Ad esempio, una valvola cede sotto la pressione del tubo, la pressione nella conduttura cala, questo provoca il blocco delle pompe che inviano liquido refrigerante, quindi il sistema si surriscalda fino ad esplodere. Questo è un sistema semplice, lineare, meccanico e scomponibile nel funzionamento dei singoli elementi. Ma se proviamo a rileggere le situazioni descritte nella fig. 6.1, vedremo che non è possibile individuare una relazione causa-effet-to lineare tra gli elementi. Ad esempio, la mancanza di tempo per eseguire le operazioni, rappresentata nell’albero dei guasti a sinistra, è dovuta solo alle pressioni produttive e alla inadeguata pianificazione del lavoro? E in che misura i due fattori determinano questo effetto? Non potrebbe essere dovuta anche a circostanze contingenti impreviste o essere frutto di una combinazione di fattori psicologici come la poca tolleranza allo stress e il mancato coordinamento di gruppo? Come si vede, le relazioni non sono semplici e lineari. Questo approccio si basa su alcune assunzioni:– i sistemi si possono scomporre in elementi semplici;– il funzionamento di ogni elemento è bimodale (giusto/sbagliato);– la probabilità di guasto in un elemento può essere descritta e analizzata individualmente, a livello della singola parte;– la sequenza degli eventi è predefinita e immutabile;– le combinazioni tra elementi sono lineari;– le influenze del contesto sono limitate e quantificabili.

Come abbiamo visto nel cap. 2, i sistemi complessi sono esattamente il contrario: non scomponibili, non bimodali, gli eventi locali hanno relazio-ni col tutto, le sequenze di eventi non sono predicibili né lineari, il sistema è aperto a influenze dal contesto. Tali caratteristiche rendono l’approccio causale poco efficace. Esistono tentativi di applicazione ai sistemi comples-si, ad esempio la Root Cause Analysis (rca) e la Failure Mode and Effects Analysis (fmea) (Rausand, Høyland, 2003), ma l’intrinseca impostazione dei

110


modelli rischia di non cogliere la natura dinamica e non lineare del sistema. Ad esempio, un albero dei guasti si basa sul concetto di rottura. Il funzio-namento di un fusibile può avere due stati: operativo e normale o guasto. È un sistema bimodale. La decisione di un pilota se dichiarare emergenza durante il volo per rischio esaurimento carburante ha infinite sfaccettature: può essere parzialmente adeguata, oppure corretta anche se eseguita in ritar-do. Anche l’esecuzione delle procedure (ad esempio, praticare una gastro-scopia) richiede adattamento contingente di regole astratte, un adattamen-to che considera fattori come il tipo di paziente, il tipo di strumentazione, l’ambiente, i colleghi con cui si opera, il proprio stato fisico e mentale. Allo stesso modo, Hollnagel (2009) suggerisce che le analisi delle “cause-radice” come la rca sono efficaci per indagare fenomeni risultanti e non emergenti. I fenomeni risultanti sono quelli che derivano dalla semplice somma delle parti componenti, dove il rapporto causale è diretto, lineare e ha effetti pre-dicibili. Nei sistemi complessi abbiamo però fenomeni emergenti, dove le relazioni causali sono difficilmente indagabili.

6.3Cercare le condizioni

Analizzando il caso della Tuninter con un approccio accusatorio, centrato sulla persona, la colpa cadrebbe sul tecnico della manutenzione che ha preso il pezzo sbagliato. Ma se cerchiamo di allargare lo sguardo ai fattori contestuali, ad esempio adottando il modello shell descritto nel cap. 4, ve-dremmo che le azioni erronee sono state indotte da circostanze particolari: una strumentazione con dati ambigui, procedure operative poco chiare, atteggiamenti condivisi di scarso controllo. Come si vede, parlare di errore umano sarebbe riduttivo. Soprattutto perché quei comportamenti erronei potrebbero ripetersi da parte di altre persone, se è il sistema ad indurli. L’autore che forse più di tutti ha permesso di operare questo spostamento dal singolo al sistema è stato James Reason (1990), il quale ha proposto un modello di analisi delle dinamiche degli incidenti nei sistemi complessi che riscuote tuttora un considerevole credito in settori come l’aviazione (icao, 1993), la sanità (Kohn, Corrigan, Donaldson, 1999), la produzione industriale e altri settori dove la sicurezza è un tema rilevante (Reason, 2008). Un contributo al successo del modello lo ha dato anche il nome, Swiss Cheese, modello del “formaggio svizzero”. Questa immagine è ben presente e chiara nelle mente di chi, negli ultimi vent’anni, ha cercato di sviluppare un approccio sistemico alla sicurezza.

111


Nella fig. 6.2, le fette di formaggio rappresentano i livelli del sistema, composto da persone, contesti operativi e dimensione organizzativa (cul-tura aziendale, dirigenza, procedure ecc.). Ogni fetta ha dei buchi, delle falle, che si muovono costantemente e rappresentano debolezze specifiche del livello. Ad esempio, ripensando al caso della Tuninter, a livello organiz-zativo troviamo dei buchi dati dalla cultura aziendale poco attenta all’in-tegrazione dei processi, poco chiara sul rispetto delle procedure. A livello contestuale, troviamo un’ambiguità progettuale dei due indicatori dell’atr, incongruenze tra software e catalogo dei pezzi di ricambio. A livello delle persone, vediamo errori dovuti alla confusione degli indicatori, violazioni dovute allo scarso controllo dei manutentori, dei tecnici che fanno riforni-mento, dei piloti che non controllano adeguatamente il piano di volo. In questo esempio, nessun sistema di allarme ha permesso di bloccare l’alli-neamento di questi fattori, quindi le difese hanno fallito e hanno permesso all’evento avverso di propagarsi.

figura 6.2Una rappresentazione del modello del “formaggio svizzero”

Il modello ha subito trasformazioni nel tempo, sino a una sua rappresen-tazione recente dove le fette del formaggio non sono relative a uno spe-cifico elemento del sistema, ma servono solo a indicare che il sistema ha

Nota: sono rappresentati tre livelli: la persona (che commette errori e violazioni), il luogo di lavoro (che crea le condizioni per l’emersione di errori e violazioni) e l’organizzazione (le decisioni, la cultura aziendale e i processi che definiscono i contesti). Le difese tecnologiche dovrebbero evitare che il comportamento umano generi incidenti, ma a volte non riescono a contenerne gli effetti.

112


diversi livelli. In generale, al di là delle specifiche rappresentazioni, una delle intuizioni più efficaci del modello è la nozione di “fattori latenti”, distinta da quella di “errori attivi”. Il montaggio dell’indicatore sbagliato sull’atr è un errore attivo, che provoca l’incidente. Ma questo si è gene-rato per via di fattori latenti, nascosti da tempo nel sistema, che Reason ha definito “patogeni residenti”, ispirandosi alla metafora dello sviluppo di una malattia. Per questo motivo, l’approccio di Reason è stato anche definito “epidemiologico”, perché vede l’incidente come la manifestazione esteriore di interazioni latenti nel sistema, presenti da tempo, ma che pri-ma dell’incidente non si erano mai “allineate” fino a produrre un evento avverso. Esattamente come una malattia emerge dall’azione congiunta di agenti patogeni che sono presenti dentro l’organismo. Ecco perché, per Reason, intervenire sulla persona è limitato: si cambierebbe la fetta del formaggio, ma se i buchi agli altri livelli permangono qualcun altro sarà destinato a ripetere gli stessi errori. Si tratta in questo caso di incidenti organizzativi (Reason, 1997), cioè di incidenti in cui i fattori che generano l’evento avverso sono da ricercarsi nei patogeni residenti nel sistema e non nel comportamento umano.

6.3.1. Limiti del modello epidemiologico

Il modello di Reason ha avuto il pregio di diventare uno standard negli stu-di e negli interventi sulla sicurezza, ha aiutato nell’indagine sugli incidenti e, soprattutto, ha permesso di progettare interventi di prevenzione. Tutta-via non è stato esente da critiche (Reason, Hollnagel, Paries, 2006). Alcuni hanno rilevato la sua eccessiva superficialità nella metafora delle fette e dei buchi, che non permetterebbe di rendere lo strumento davvero operati-vamente utile (Luxhøj, Kauffeld, 2003; Luxhøj, Maurino, 2001; Shappell, Wiegmann, 2000). Dekker (2011) riconosce che il modello ha permesso di fare un passo avanti nella comprensione degli incidenti chiamando in cau-sa le condizioni e non le cause. Tuttavia mantiene una sua certa rigidità e linearità. Le fette sono ferme, non interagiscono, i buchi devono essere al-lineati per produrre un incidente e non è possibile “saltare” una fetta. Per certi versi, è una lettura più articolata del modello domino rappresentato nella fig. 6.1. Qui non ci sono cause, ma condizioni che si allineano. I bu-chi sono entità con una loro consistenza ontologica, sono erosioni di parti sane del sistema, ma così torniamo alla dicotomia tra normale e patologico, giusto e sbagliato. Non esistono patogeni “buoni”, così come non esistono buchi “sani”, secondo questo modello. Ma abbiamo detto, invece, che le

113


azioni erronee sono tali solo a posteriori e solo in relazione a certi contesti. Inoltre, la sicurezza, secondo il modello, deriverebbe da solide barriere (le fette) che contengono il rischio. Il rischio, quindi, viene rappresentato come una forma di energia che va contenuta, l’incidente nasce dalla som-ma di tanti errori, ma ogni errore è individuabile di per sé, come buco nella fetta di formaggio. Purtroppo la realtà è più complessa: un errore non è tale in assoluto, ma solo in relazione ad altri fattori. Infine, una lettura scorretta e superficiale del modello di Reason porterebbe a spostare semplicemente la colpa dagli operatori in prima linea ai dirigenti, perpetuando la ricerca di una causa, solo più remota e sfumata. Il rischio di tale lettura sarebbe quello di arenare l’indagine nelle secche di fattori così generali da essere inafferrabili, come ad esempio la cultura. È innegabile che l’incidente di Černobyl’ sia interpretabile anche nell’ottica della dissoluzione politica ed economica dell’Unione Sovietica, o che gli incidenti del Columbia prima e del Challenger poi vadano letti all’interno della competizione usa-urss verso lo spazio e poi delle politiche di contenimento dei costi della nasa. Ma, come lo stesso Reason (1997) ha affermato, forse il pendolo è oscillato troppo lontano, passando da un estremo (l’approccio alla persona) all’altro (l’approccio al sistema), con il rischio che la lettura degli incidenti come unica espressione di patologie organizzative comprometta una corretta vi-sione d’insieme, che parta dalle persone e vada ad analizzare i contesti. La vera lettura sistemica, quindi, non cerca le colpe nell’organizzazione, o nella cultura aziendale o nazionale, bensì cerca le condizioni a tutti i livelli e ne studia le interazioni complesse.

6.4Bilanciare sicurezza e responsabilità:

verso una “cultura giusta”

A seguito delle teorie di Reason molti studiosi ed esperti di sicurezza nei sistemi socio-tecnici complessi hanno parlato di blame culture, una cultura della colpa opposta a una cultura no-blame, detta anche just culture, os-sia una cultura basta sulla giustizia (Reason, 1997). L’approccio sistemico permetterebbe, quindi, di sviluppare una cultura no-blame, perché inda-gherebbe le condizioni organizzative e contestuali che inducono all’errore, senza focalizzarsi sulle colpe individuali. Infatti, solo il 10% degli incidenti in aviazione avviene per comportamenti biasimevoli (gain Working Group, 2005), questo significa che nel 90% dei casi di incidente in aviazione, un intervento punitivo e sanzionatorio non sarebbe garanzia di sicurezza. Ma

114


cosa fare con quel 10%, come intervenire? E, soprattutto, come fare a di-stinguere comportamenti passibili di sanzione disciplinare da altri tipi di errori “onesti”? La sicurezza passa da un approccio non colpevolizzante, ma non per questo si deve trascurare la responsabilità individuale degli operatori. La cultura giusta dovrebbe permettere questo bilanciamento, perché da un lato favorisce la fiducia negli operatori nel riportare ogni si-tuazione di rischio, anche incentivandola con forme premianti, ma dall’al-tro lato è ben chiaro a tutti il margine che separa comportamenti accetta-bili e non accettabili (e quindi punibili).

6.4.1. Segnare il limitetra responsabilità individuali e fattori sistemici

Vediamo ora un caso in cui la responsabilità individuale si intreccia in modo complesso con altri fattori.

La differenza tra cercare e vedere

Radiologia di ospedale di medie dimensioni, ore 10.30 di un mattino feriale. Il radio-logo di turno alla refertazione delle tac viene chiamato da un tecnico in una delle sale della radiologia tradizionale: il primario di Chirurgia ha inviato un paziente operato tre giorni prima di chiusura di colostomia temporanea dopo resezione del colon per diverticolosi al controllo dell’anastomosi (è questo un controllo routinario che si ese-gue a paziente asintomatico e decorso regolare), chiedendo che l’esame fosse valutato proprio da quel radiologo. Il radiologo guarda le immagini, dichiara tutto a posto, valida referto negativo per spandimento di mezzo di contrasto e firma.

Il paziente viene dimesso, asintomatico, in settima giornata dall’intervento chi-rurgico.

Sei mesi dopo lo stesso paziente si presenta nell’ambulatorio del primario di Chi-rurgia: ha dolore addominale da un mese circa. Non ha nausea né vomito, alvo e diuresi regolari. Non febbre. Alla visita il chirurgo palpa una tumefazione in fossa iliaca sinistra per la quale chiede una ecografia urgente. L’esame dimostra massa in fossa iliaca sinistra. La radiografia dell’addome eseguita per chiarire il tutto evidenzia una garza in addome.

La garza era stata lasciata in addome durante l’intervento chirurgico. Il radiologo non l’aveva vista in terza giornata. I chirurghi si erano fidati del referto del radiologo.

Il paziente era già stato operato all’addome in altro ospedale, questo rende più complesso l’intervento chirurgico. Il radiologo cercava fuoriuscita del mezzo di con-trasto dal colon (che non c’era) e non un corpo estraneo. Tra i chirurghi e quel radio-logo esiste da anni un rapporto di stima e fiducia reciproca. Il corpo del paziente non ha dato segni né sintomi di corpo estraneo in addome per molto tempo.

Il paziente è stato informato della situazione e operato per l’asportazione

115


della garza. Il decorso post-operatorio è stato regolare. In settima giornata è stato dimesso.

Vi siete chiesti: ma come ha potuto il radiologo non vedere? Errore? Di chi? Quando? E se l’ultimo intervento avesse avuto complicanze? Se il paziente si fos-se rivolto a un terzo chirurgo? I chirurghi si fideranno ancora del radiologo? Il radiologo come sta? Quante persone, in una sala operatoria, sono responsabili delle garze? Quante procedure sono state scritte in merito? Se un radiologo, in un turno, è dedicato alla tac, può refertare un esame di radiologia tradizionale? Il tecnico di radiologia doveva notare qualcosa? O solo il radiologo? I chirurghi non hanno guardato le immagini?

figura 6.3Una rappresentazione dell’albero decisionale per stabilire se e quanto punire persone coinvolte in incidenti

Fonte: adattamento da Hobbs (2008).

116


Reason (1997) propone un albero decisionale per stabilire se il comporta-mento in esame ricada nella zona accettabile o meno. Altri autori hanno integrato la proposta di Reason e nella fig. 6.3 vediamo uno schema che tiene conto dell’evoluzione dello strumento (Hobbs, 2008).

L’albero decisionale si articola in cinque domande, poste in ordine de-crescente di colpevolezza.1. L’atto era intenzionale? A questo livello occorre valutare se l’obiettivo della persona era proprio quello di ottenere il danno, se ha avuto succes-so nell’ottenere il risultato e in che misura. Naturalmente ciò che conta è l’intenzione, anche se poi questa non ha avuto esiti, perché se l’obiettivo è creare danno, il comportamento va punito. Bisogna, inoltre, distinguere tra risultato dell’azione e conseguenze. Un operatore può cercare un certo risultato dalle sue azioni, ad esempio eseguire un prelievo senza guanti per avere maggiore sensibilità, ma non essere consapevole delle conseguenze, ad esempio un contagio. I risultati, quindi, sono legati alla pianificazione del comportamento, le conseguenze potrebbero essere dovute all’intera-zione con altri fattori, che sfuggono alla pianificazione consapevole della persona. Se la risposta a tutte queste domande è sempre “sì”, siamo di fronte a un atto volontario di tipo criminale, perché la persona voleva fare ciò che ha fatto, conoscendo gli effetti del suo comportamento e tutte le possibili conseguenze. Si tratta di atti di sabotaggio, di suicidio volonta-rio, di danno intenzionale, che meritano di essere indagati e gestiti per vie esterne al sistema. Se invece si risponde “no” alla domanda sull’inten-zionalità dell’atto, dei risultati o delle conseguenze, si deve passare alla domanda 2.2. La persona ha agito sotto effetto di sostanze? In questo caso bisogna valutare se la persona era autorizzata o meno ad assumere le sostanze. Se non era autorizzata bisogna capire se la persona aveva assunto la sostan-za autonomamente per via di uno stato clinico particolare (ad esempio, ha assunto un farmaco per l’influenza che provoca sonnolenza). Se non c’erano condizioni cliniche che giustificassero l’assunzione, si tratta di abuso di sostanze. Nell’altro caso, la colpevolezza è mitigata dalla ne-cessità clinica, anche se la persona ha sottovalutato o ignorato gli effetti collaterali del farmaco. Nel caso, invece, che la persona fosse autorizzata da un medico ad assumere quelle sostanze, occorre capire se la persona avesse chiari gli effetti collaterali o se non li sapesse o li avesse ricevuti. Nel primo caso si tratta di una violazione data dalla deliberata inosser-vanza di prescrizioni mediche, nel secondo caso si tratta invece di una violazione indotta dal sistema, di cui la persona non è responsabile. Se la

117


persona non ha assunto sostanze, quindi se si risponde “no”, si passa alla domanda 3.3. La persona ha violato intenzionalmente una procedura operativa? In questo caso la persona non esegue volontariamente un comportamento atteso, definito in procedure, regole, pratiche operative. Bisogna accertarsi che le procedure fossero (a) disponibili, (b) applicabili, (c) comprensibi-li, (d), corrette e (e) ragionevoli. Se le procedure violate rispettano tutti i cinque requisiti, allora ci si deve chiedere se la persona ha adottato un comportamento spericolato per via di un suo bilanciamento costi/benefici (ricordiamo il principio etto). Inoltre, occorre valutare la correttezza e l’accuratezza della percezione del rischio della persona. A questo livello si trova la sottile linea di demarcazione tra comportamenti punibili e com-portamenti indotti dal sistema. Secondo alcuni autori, tra cui Reason, se la persona ha deliberatamente violato procedure chiare, adeguate, condivise e applicabili, si tratta di comportamento spericolato e quindi passibile di intervento disciplinare. Se invece le procedure non fossero state applica-bili, o chiare ecc., allora si dovrebbe procedere alla fase successiva. Altri autori preferiscono essere cauti sull’intervento disciplinare e suggeriscono di passare alla domanda 4 anche se la persona ha violato procedure ade-guate.4. Altri operatori, nella stessa situazione, avrebbero adottato un diverso comportamento? Qui siamo alla fase che Reason chiama “test della sosti-tuzione”, ossia una considerazione che bisognerebbe fare mettendo da parte la persona indagata e immaginando se quello stesso comportamento avrebbe potuto essere realizzato da altri operatori simili, con qualifica ed esperienza analoghe, in quella situazione. Tale verifica può essere condotta idealmente, oppure osservando altri eseguire le stesse attività, o con in-terviste più o meno strutturate. Questa analisi darebbe un’immagine del lavoro per come viene effettivamente realizzato e farebbe capire se questo è molto distante dal lavoro per come è pianificato. Se si risponde “sì” alla domanda sull’operato di altri colleghi, si passa alla domanda 5, relativa alla storia operativa dell’individuo, perché in questo caso la persona ha agito in modo diverso dalla comunità dei pari. Se la risposta a questa domanda è “no”, cioè se altri operatori si sarebbero comportati allo stesso modo, biso-gna chiedersi se esistono delle carenze o negligenze di tipo sistemico nella formazione o selezione del personale, nell’assegnazione dei ruoli, oppure se si tratta di carente esperienza degli operatori. Se anche in questo caso la risposta è “no”, se il comportamento dell’operatore non è derivato da erra-ta selezione, formazione, allocazione o carente esperienza, significa che ha

118


agito in modo imprudente assumendosi dei rischi inopportuni, quindi si tratta di un possibile comportamento di negligenza. In questo caso si può valutare se e quanto intervenire con misure disciplinari. Se invece vi sono carenze sistemiche nella selezione o formazione del personale, bisogna evi-tare la colpevolizzazione individuale e agire sul sistema. Come abbiamo detto, se invece la situazione supera il test di sostituzione, cioè se l’azione è stata messa in atto dalla persona in modo diverso da quello che avrebbero fatto altri colleghi, si passa alla domanda successiva.5. La persona ha dimostrato in precedenza comportamenti non sicuri? A questo punto ci si focalizza sulla persona e sulla sua storia. Siamo all’estre-mo no-blame dell’albero, perché in questo caso non ha senso punire la persona, al massimo si interviene con una maggior sensibilizzazione e/o formazione. Se è la prima volta che la persona assume un comportamento poco sicuro, bisognerebbe chiedersi se lo ha segnalato o meno, perché una cultura organizzativa giusta si basa sul reporting degli eventi connessi alla sicurezza. Se la persona non ha segnalato il suo errore, ciò significa che ha poca sensibilità verso la sicurezza, o forse teme una cultura della colpa e non si fida del sistema del reporting. In questo caso bisognerebbe valutare se esiste una cultura della colpa e agire sul sistema. Se la cultura della colpa non esiste, bisognerebbe intervenire sull’operatore fornendogli maggiore formazione, un adeguato counselling rispetto al ruolo e al suo vissuto. Se la persona ha commesso altri errori o violazioni in precedenza, si potrebbe anche valutare un eventuale cambio di mansione all’interno del sistema. Se, infine, la persona non ha mai commesso errori simili in passato, questo non va affatto punito e bisogna invece andare ad indagare i fattori con-testuali e organizzativi che lo hanno favorito. A maggior ragione, se è la prima volta che commette un errore e lo ha segnalato spontaneamente, l’errore non va punito e, in alcuni casi, la persona andrebbe incentivata e lodata per la fiducia.

Come si vede dall’albero decisionale, a parte azioni di sabotaggio e vio-lazione esplicita, sarebbe consigliabile evitare la punizione dell’operatore, perché vi sarebbero condizioni sistemiche sottostanti che dovrebbero es-sere analizzate. A dire il vero, tali condizioni sistemiche sarebbero presenti anche in caso di sabotaggio, perché se un sistema non si accorge di tali in-tenzioni, non cura la selezione e la formazione dei suoi operatori, è di fatto un sistema non sicuro. Questo significa che, in ogni caso, anche di fronte a esplicite e volontarie violazioni spericolate, l’organizzazione dovrebbe interrogarsi sul perché ha permesso che tali comportamenti arrivassero a manifestarsi. Ritorniamo per un momento al caso Costa Concordia. Se la

119


compagnia di navigazione si fosse fermata a denunciare il comandante per come ha condotto la nave verso il naufragio e per come ha gestito l’emer-genza, si sarebbe privata dell’opportunità di analisi del come è potuto succedere quello che è successo, di quali condizioni organizzative hanno portato un gruppo dirigente come quello coinvolto nel disastro ad agire in quel modo.

Non è certamente facile individuare chi, in base alla situazione, sia più idoneo a fare tutte le valutazioni secondo l’albero decisionale. In alcuni casi è necessaria sensibilità e conoscenza del contesto, in altri forse sarebbe necessario un punto di vista esterno e meno influenzato da pregiudizi o abitudini condivise. Ecco perché la sicurezza non può essere demandata ai tecnici, perché è un fatto che riguarda tutti. Torniamo al caso del radiologo che non vede la garza. Come si potrebbe intervenire sul caso seguendo l’albero decisionale?

6.4.2. Dare potere alle personetutelando uno spazio di discrezionalità

Alcuni autori ritengono che l’albero decisionale sia concettualmente ri-schioso (Woods et al., 2010), perché si focalizza sui comportamenti, sui risultati, e non sui processi. Come ogni strumento, esso può essere usato più o meno bene. Consapevoli delle trappole in cui può cadere chi analizza gli incidenti, consapevoli che le azioni erronee sono sintomi e non cause, è possibile usare questo strumento per andare ad analizzare i fattori sistemi-ci. Molti sostengono che la demarcazione tra comportamenti accettabili e non accettabili starebbe a cavallo delle violazioni di procedure e regole. Se queste ci sono, sono chiare, applicabili e sensate, devono essere rispettate. Bisogna però ricordare che le procedure sono astrazioni dal lavoro, che invece viene eseguito nel qui-ed-ora da persone che operano un adatta-mento locale di tali regole. Ripensiamo al caso del medico di guardia al Pronto soccorso, che invia la donna a rischio di distacco della placenta senza attendere, anzi senza nemmeno chiamare, il personale reperibile. La procedura era presente, era chiara. Ma era sensata e applicabile in quel contesto? A posteriori, se il bambino fosse morto, diremmo di sì. Se invece fosse vivo e la madre stesse bene potremmo dire che il medico ha fatto bene, in quelle condizioni, a non aspettare il reperibile. Come possiamo rispondere? Non possiamo rispondere. Prendiamo il comportamento del medico come sintomo e non come causa, e anziché chiederci se punirlo o meno, usiamo l’albero decisionale per chiederci se la procedura è sicura, se

120


un caso simile si può ripresentare, se quella procedura deriva da un riasset-to organizzativo che forse non ha tenuto conto di tali evenienze. E, sia ben inteso, non poteva farlo. Non spostiamo la colpa dal medico ai dirigenti, sarebbe un circolo vizioso. Il riassetto organizzativo è stato fatto in buona fede, purtroppo questo ha creato condizioni che, di fronte a situazioni im-previste, portano a correre rischi elevati. A questo punto ci si deve fermare e mettere in atto quelle pratiche della flessibilità e dell’apprendimento tipi-che della vera cultura della sicurezza. “Cosa possiamo imparare da questo evento? Come possiamo cambiare per evitare che accada di nuovo?”. Ecco le domande che un’organizzazione sicura dovrebbe porsi, e non “chi è stato e quanto è colpevole?”.

Il caso del medico di guardia è esemplare: in prima linea esiste sempre uno spazio di discrezionalità che nessuna procedura o innovazione potrà coprire. È lo spazio per l’intelligenza umana, per la sua flessibilità, capacità critica, sensibilità al contesto. Le procedure sono astratte e non possono che essere così, sarebbe assurdo e pretenzioso fare procedure per ogni pos-sibile evenienza. Il problema sarebbe solo spostato: l’operatore dovrebbe capire che tipo di problema sta vivendo e individuare quale, fra le mille procedure diverse, è quella corretta. Ma abbiamo visto che la nostra razio-nalità è limitata, che siamo carenti nel valutare tutte le informazioni possi-bili e le loro interazioni. Allora è bene lasciare libero questo spazio affinché le persone siano capaci di ragionare, decidere, agire. È lo spazio che il medico ha usato per decidere che seguire la procedura, attendendo l’arrivo del reperibile, sarebbe stato troppo rischioso. Ed è uno spazio fitto di am-biguità, incertezze e dilemmi morali. Certamente il medico avrà vissuto mi-nuti d’angoscia, sapendo che la donna era in viaggio verso l’altro ospedale a rischio di perdere il bambino e di morire lei stessa. Si sarà attanagliato nel dubbio di aver fatto la scelta giusta, lui stesso sarà caduto nella trappola del “e se…”. Ma quello spazio va tutelato, va rispettato. Il medico, così come altri operatori in sistemi complessi, non vorrebbe vedersi limitato in procedure e vincoli. Sarebbe impossibile, perché i sistemi complessi non possono essere ricondotti al solo livello Rule. Quello spazio rende il lavoro qualcosa di cui andare fieri, ciò che rende l’operatore davvero impegnato per fare bene il suo lavoro, con responsabilità. Lui sa che quello spazio è anche la sede della sua responsabilità, lui sa e vuole scegliere così.

Per tutelare questo spazio, l’organizzazione ha due cose da fare. Prima di tutto deve cercare di essere molto chiara sui confini di questo spazio di discrezionalità. Il rischio è creare situazioni di doppio legame, nelle quali da un lato l’operatore deve attenersi a procedure rigide (attendere il repe-

121


ribile) e dall’altro essere responsabile per le sue azioni (subire un processo in caso di morte della paziente). È come se lo spazio discrezionale fosse ristretto prima della decisione, impedendo all’operatore di agire secondo la sua sensibilità, ma poi si espandesse in caso di esito negativo, chiaman-do in causa la sua responsabilità personale. Questa ambiguità sui confini dello spazio di discrezionalità mortifica gli operatori e li rende impotenti, impauriti, isolati.

La seconda cosa da fare, per tutelare lo spazio di discrezionalità, è che l’organizzazione chiarisca come motivare le persone ad esercitare la loro libertà di azione in quello spazio. Se la leva motivazionale è la paura di una denuncia, le persone saranno solo caricate di un peso insopportabile e poco produttivo. Un esempio di tale effetto è la medicina difensiva, pratica che porta gli operatori sanitari a sentirsi talmente responsabili e attaccabili legalmente da praticare inutili diagnosi e trattamenti, al solo scopo di poter dimostrare in sede legale che hanno fatto tutto il possibile per trattare il paziente. Fanno bene a fare così. Se l’approccio al lavoro è quello della mi-naccia, la paura li porterà a difendersi come possono. Ma certamente que-sto ha un costo enorme in termini economici (tempo e risorse spesi male) e umani (stress, malessere, burnout). Se, al contrario, la leva motivazionale punta sul coinvolgimento delle persone nel miglioramento del sistema, in quella cultura dell’apprendimento e flessibilità, allora le persone avran-no un ruolo per la costruzione della sicurezza. Dare potere alle persone significa farle sentire autorizzate a dire la loro sulla sicurezza, a giocare un ruolo attivo nel vedere i segnali deboli e nel contenerli, partecipando alla costruzione condivisa di un sistema migliore e più sicuro. Solo così le persone potranno abitare quello spazio di discrezionalità con la serenità che le rende efficaci, assumendosi tutte le responsabilità delle loro azioni. Perché queste saranno dovute alla loro professionalità e competenza, alla loro intelligenza di esseri umani impegnati nella gestione di un sistema complesso.

123

7

Progettare sistemi resilienti

7.1La necessaria immaginazione

per anticipare i rischi

Cosa differenzia il fumo di sigarette dal riscaldamento globale? Il primo è un rischio “semplice”, il secondo è complesso. Hollnagel (2008) utilizza questo esempio per spiegare la difficoltà dei moderni sistemi socio-tecnici nella gestione dei rischi. La valutazione di rischi richiede una “necessaria immaginazione” (Adamski, Westrum, 2003) per anticipare almeno tre tipi di situazioni:1. cosa può andare storto?2. come può andare storto?3. cosa si potrebbe fare per ridurre/eliminare il rischio o per mitigare le conseguenze?

Quando un rischio è semplice è facile rispondere alle tre domande. Il rischio che il fumo provochi il cancro ai polmoni è stato accertato da decenni di ricerche. Quindi si sa che il fumo provoca certi danni al nostro organismo (il cancro), se ne conoscono le dinamiche (rapporto tra fumo, stili di vita e predisposizioni genetiche) e si sa anche cosa bisognerebbe fare per contenere i rischi o trattare le conseguenze (trattamenti oncologi-ci). Al contrario, il riscaldamento globale è un tipo di rischio complesso, perché è in corso un animato dibattito sulle sue conseguenze (desertifica-zione, scioglimento dei ghiacciai, cambiamenti climatici inattesi), su come i presunti effetti si potrebbero manifestare (nell’arco di anni, o secoli, su scala locale o globale, in misura ridotta o con grandi effetti), né tantomeno vi è chiarezza e condivisione sui modi per eliminare il rischio o mitigarne gli effetti (quanto e come ridurre le emissioni, come modificare le nostre attività produttive, come gestire gli ecosistemi).

124


Gestire i rischi nei sistemi complessi è quindi un’impresa difficile, per-ché l’immaginazione necessaria per anticiparli deve affrontare informazioni carenti, mutevoli, dinamiche, non lineari. Tra i primi ad accorgersi di tale si-tuazione fu Perrow (1984), il quale parlò di “incidenti normali”, per riferirsi al fatto che i sistemi socio-tecnici dagli anni Settanta in poi avevano subito un cambiamento tale da renderli qualitativamente diversi dal passato. Per tale motivo egli parla di incidenti normali, ossia assolutamente inevitabi-li, visto l’incremento di complessità dei sistemi produttivi. Per descrivere i sistemi e i relativi incidenti, Perrow propose di utilizzare due parametri: l’interazione e la connessione tra gli elementi del sistema. L’interazione è un continuum che può andare da lineare a complesso, laddove i sistemi com-plessi sono caratterizzati da:– fonti di informazione indirette o dedotte;– limitata possibilità di isolare i guasti;– limitata possibilità di sostituzione di strumenti e materiali;– limitata comprensione di alcuni processi;– numerosi parametri di controllo in potenziale interazione;– numerose connessioni tra componenti che non sono vicine nella sequenza produttiva;– limitata consapevolezza delle interdipendenze dovuta alla specializzazio-ne degli operatori;– fasi della produzione molto ravvicinate fra loro;– poco spazio tra le apparecchiature;– cicli di retroazione imprevisti e non voluti.

La connessione, invece, può essere rappresentata in debole o forte. I sistemi complessi che hanno forte connessione sono caratterizzati dai seguenti aspetti:– le ridondanze e i sistemi di recupero devono essere appositamente pro-gettati;– non è possibile ritardare i processi;– le sequenze produttive sono invariabili;– il ricambio di apparecchiature, materiali e personale è limitato e deve es-sere precedentemente progettato;– non sono possibili pause nell’operatività di personale e macchinari;– esiste un solo modo per eseguire le procedure e portare a termine i pro-cessi;– un evento che accade in una parte del sistema si propagherà presto alle altre, vista la loro stretta connessione.

Dalla combinazione di connessione (debole o forte) e interazione (line-are o complessa), Perrow classifica molte realtà produttive. Si hanno così

125

7. progettare sistemi resilienti

situazioni di poca interazione e debole connessione, come gli uffici postali o le catene di montaggio, interazione lineare e connessione stretta, come le ferrovie, deboli connessioni e interazioni complesse, come i sistemi di ricerca e le miniere, o forte connessione e interazione complessa, come le centrali nucleari, il trasporto aereo, le centrali chimiche. Ovviamente, que-sti sistemi sono quelli più a rischio, vista la natura estrema di connessioni e interazioni. Secondo Hollnagel (2009), tuttavia, il parametro della inte-razione potrebbe essere sostituito con quello più misurabile di controllo, che va da un minimo (sistemi poco gestibili) a un massimo (sistemi molto gestibili). I sistemi poco gestibili (o, come li definisce lui, “intrattabili”) sono caratterizzati dai seguenti aspetti:– scarsa o assente conoscenza dei principi di funzionamento del sistema;– la descrizione del sistema è difficile e contiene molti dettagli;– la descrizione richiede molto tempo per essere realizzata;– il sistema cambia prima che la descrizione sia completata.

figura 7.1Il diagramma connessione-controllo come evoluzione della proposta di Perrow (1984). I sistemi più a rischio sono quelli nel quadrante in alto a destra

Fonte: adattamento da Hollnagel (2009).

126


Rivedendo quindi il diagramma di Perrow, Hollnagel propone di classifi-care i sistemi secondo la connessione e il controllo (fig. 7.1). Come si vede, all’aumentare della connessione aumentano i rischi di eventi avversi. Non è detto che aumenti anche la frequenza di eventi avversi, anzi. Basta un incidente nucleare per avere danni enormi. Quindi la connessione riflet-te il rischio collegato all’evento, non la sua frequenza di accadimento. Al diminuire del controllo le procedure e le regole sono meno efficaci, vista la natura variabile e intrattabile del sistema, aumenta quindi l’esigenza di spostare l’adattamento dalle regole predefinite agli aggiustamenti locali operati dalle persone.

Quello che è interessante di questo diagramma è la visione d’insieme dei vari sistemi che sono interessati dal tema della sicurezza. La posizione dei sistemi nel diagramma non è rigida, lo stesso Hollnagel ha cambia-to collocazioni in diverse edizioni dello schema, ma ciò che importa è la divisione in quattro quadranti. Questa ci aiuta a capire anche lo svilup-po dei modelli di indagine degli incidenti, descritti nel cap. 6 (Hollnagel, 2008). Ad esempio, non è un caso che i modelli lineari, basati sulla logica causa-effetto, siano i più antichi e siano stati sviluppati proprio per inda-gare sistemi “primitivi” come catene di montaggio, ferrovie, poste, miniere e manifatture, ossia tutto ciò che ricade nel quadrante in basso a sinistra della fig. 7.1. I modelli lineari e causa-effetto, come l’analisi delle “cause-radice”, sono quindi adatti all’analisi di sistemi del genere, dove la connes-sione è bassa e la controllabilità è alta. L’evoluzione dei sistemi ha portato a maggiori connessioni tra gli elementi, la natura degli incidenti ha fatto capire che non era possibile interpretarli solo come sequenze lineari di errori, ma derivavano dall’interazione di fattori latenti presenti nei sistemi da tempo. Il modello che più di tutti ha contribuito alla comprensione di questi sistemi è quello del formaggio svizzero, proposto da Reason. Esisto-no poi sistemi con connessioni deboli, ma poco trattabili: ad esempio, gli enti di ricerca, le università, i servizi pubblici. In questi casi la complessità dei sistemi è alta, anche se le connessioni tra gli elementi sono lasche e vi sono zone cuscinetto, aree di recupero, tempi flessibili. Secondo Hollnagel (2008) non esistono al momento dei metodi di analisi e gestione dei rischi per questi sistemi, perché la ricerca si è sempre focalizzata su sistemi dalla forte componente tecnologica, dove la minaccia per la salute umana era elevata e i casi di incidenti erano frequenti. I sistemi di questo quadrante, invece, hanno avuto storicamente meno rilevanza per quanto riguarda la sicurezza, sono sistemi sociali, con una ridotta componente tecnologica, dove i rischi sono raramente diretti all’integrità fisica delle persone. Venia-

127


mo, infine, ai sistemi complessi per eccellenza, quelli caratterizzati da forte connessione e poca controllabilità. In questi casi i modelli di analisi e ge-stione dei rischi devono essere diversi, uscire dalla logica lineare e ispirarsi a quella delle teorie della complessità (Alderson, Doyle, 2010).

7.2Le dinamiche dei sistemisocio-tecnici complessi

Il 31 gennaio 2000, un md-83, volo 261della Alaska Airlines, decollò dall’ae-roporto di Puerto Vallarta, in Messico, diretto a Seattle. Due ore dopo il decollo i piloti contattarono il centro di manutenzione della compagnia per problemi allo stabilizzatore del timone di coda e chiesero un atterraggio di emergenza all’aeroporto di Los Angeles. Malgrado i tentativi di controllo scendendo di quota, l’aereo divenne praticamente ingovernabile per via dello stabilizzatore che si era bloccato in una posizione che poneva il veli-volo quasi in picchiata. Dieci minuti circa dopo la segnalazione del guasto, l’aereo andò a schiantarsi nel Pacifico. Persero la vita ottantotto persone, tra passeggeri e membri dell’equipaggio, nessuno sopravvisse all’impatto con l’oceano. Le indagini rivelarono che lo stabilizzatore si era bloccato per via di una vite poco lubrificata che scorreva all’interno di un martinet-to (ntsb, 2001). Se si trattasse di un sistema lineare, ci si potrebbe limitare a dare la responsabilità ai tecnici di manutenzione della compagnia aerea, che avevano operato in modo superficiale durante la fase di lubrificazione. Dekker (2011), tuttavia, dimostra come, adottando le lenti delle teorie della complessità, l’incidente assume altre sfumature. Non sembrerebbe esistere un vero fattore causale, un errore, un guasto, una violazione. Purtroppo nei sistemi complessi l’incidente può derivare dall’interazione fra diversi fattori ed eventi che, di per sé, non sono gravi. Vediamo alcune delle dina-miche che hanno caratterizzato questo incidente e che possono riguardare i sistemi complessi.

Piccoli passi verso la deriva: il tipo di aereo del volo Alaska Airlines 261 è stato messo in commercio a metà degli anni Sessanta e all’epoca il co-struttore aveva raccomandato di lubrificare la vite dello stabilizzatore ogni 300-350 ore di volo. Nel 2000, quando è accaduto l’incidente, l’intervallo di lubrificazione era stato spostato a 2.550 ore di volo. Questa dilazione non è avvenuta per malevolenza, bensì come risultato della deregulation dell’industria aeronautica avvenuta negli anni Ottanta che ha permesso di dilazionare la manutenzione a 700 ore, poi 1.000, 1.200, 1.600. Nel 1996,

128


la Alaska Airlines ha cambiato il sistema di conteggio, non più in ore di volo, ma in mesi, ponendo la lubrificazione ogni 8 mesi. Questo signifi-ca che si è passati dalle 350 ore di partenza alle 2.550 (corrispettivo di 8 mesi di volo). Nessuno è direttamente colpevole, nessuno ha scelto di dilazionare per violare le procedure. Questa è l’inquietante natura della lenta deriva. Le indagini rivelarono che la lubrificazione della vite era stata condotta sommariamente nell’ultima manutenzione, ma questa non può essere vista come una causa nel senso tradizionale del termine. Una simile approssimazione non avrebbe avuto conseguenze, se praticata ogni 350 ore di volo, mentre è stata fatale quando l’intervallo è salito di quasi dieci volte. A posteriori è facile dire che, con un intervallo così lungo, la manutenzione avrebbe dovuto essere più accurata, ma questa dilazione è avvenuta lentamente, nel giro di vent’anni, quindi non era semplice accor-gersi della deriva.

Scarsità e competizione: i sistemi complessi operano in ambienti “osti-li”, dominati dalla concorrenza di altri operatori e dall’esigenza di gestire al meglio le risorse economiche, umane e tecnologiche. Ricordiamo il prin-cipio etto e l’esempio dell’animale che deve bilanciare il tempo per cibarsi e quello speso a controllare che non si avvicinino pericoli. I sistemi biolo-gici, così come quelli socio-tecnici, sono sempre impegnati in questo bilan-ciamento. La sicurezza è stata anche definita come la libertà di un sistema da rischi inaccettabili (Hollnagel, 2009), ma come si definisce un rischio inaccettabile? Vi sono determinanti sociali, culturali, storiche ed economi-che che definiscono l’accettabilità di un rischio. Se fossimo radicali, non useremmo automobili, cellulari, sistemi di diagnostica per immagini come la tac o la pet ecc. I sistemi biologici hanno il vantaggio che la soglia di accettabilità è stata spesso sedimentata a livello evolutivo. Ad esempio, un leopardo che insegue la sua preda non correrà per un tempo indefinito, perché altrimenti i costi (in termini di energie spese) eccederebbero i be-nefici (in termini di energie acquisite cibandosi della preda). Rasmussen (1997) sostiene che i sistemi complessi sono costretti a operare all’interno di uno spazio definito da tre vincoli: c’è un confine economico, oltre il quale il sistema non avrebbe risorse per sostenersi; c’è un confine di carico di lavoro, oltre il quale persone e tecnologie perdono di affidabilità e resi-stenza; e c’è un confine di sicurezza, oltre il quale il sistema collassa. Uscire dai confini significa estinguersi, l’unica possibilità e muoversi all’interno di essi, spingendo più da una parte o dall’altra a seconda dei momenti. La deregulation che ha permesso alla compagnia aerea di dilazionare la lubri-ficazione della vite è stata un modo per ampliare il confine delle risorse

129


economiche, perché dava spazio alle imprese per essere più aggressive sul mercato e ottimizzare le risorse. Qualcosa di simile sembra accadere oggi, in un contesto di crisi economica globale, per quanto riguarda la fuel poli-cy, ossia la politica di gestione del carburante sugli aerei. Come sostengono Chialastri e Pozzi (2008), le compagnie aeree stanno sempre più riducendo la quantità di carburante di emergenza che deve essere imbarcata, perché comporta un peso ulteriore e un costo di gestione. In caso di emergenza, il carburante dovrebbe essere sufficiente per un atterraggio sicuro, ma sono possibili situazioni in cui l’aereo non riesca ad atterrare in tempo prima della fine del carburante (ad esempio, a causa di critiche condizioni mete-orologiche e di traffico).

Dipendenza dalle condizioni iniziali: si tratta del già citato effetto far-falla, ossia la connessione tra eventi distanti nel tempo e nello spazio, di ordini di grandezza diversi. Siamo di fronte a un esempio di interconnes-sione stretta, perché gli standard di qualità definiti negli anni Sessanta, quando l’aereo è stato progettato, sono cambiati, ma hanno definito in seguito i tempi e i modi della manutenzione della vite, giungendo poi alla sua rottura. La vite è stata classificata come parte strutturale, e questo ha comportato che fosse valutata in base a requisiti di certificazione tipici di un elemento meccanico, ma non era stato visto nella sua interazione col sistema nella sua interezza.

Tecnologia fuori controllo: questa è la caratteristica dei sistemi com-plessi, dove i margini di controllabilità sono spesso limitati, perché se co-nosciamo le dinamiche delle singole parti del sistema, non siamo capaci di descrivere le dinamiche del sistema in generale. La casa produttrice del velivolo non aveva raccomandato sostituzioni frequenti della vite, perché riteneva che una corretta lubrificazione ne limitasse l’usura. Non potevano prevedere che le manutenzioni sarebbero state dilazionate.

La storia del volo Alaska Airlines 261 insegna che nei sistemi complessi gli incidenti, per manifestarsi, non hanno bisogno di una causa iniziale, né di una catena di errori, né di buchi nelle difese, né di fattori latenti. Be-ninteso, questi possono esistere in molti incidenti, ma non sono per forza presenti in ogni evento avverso che interessa un sistema complesso. L’inci-dente al volo 261 ci racconta una storia di normali procedure, dove nessuno vede (né poteva facilmente vedere) il rischio legato alla dilazione dei pro-cessi di manutenzione. Questo è il paradosso dei sistemi moderni, come dice Amalberti (2001), perché gli incidenti derivano dalla combinazione di fattori che sono difficili da notare nella normale operatività. Questo getta anche una sinistra luce sui sistemi di reporting tradizionali, basati solo sui

130


quasi incidenti o sugli incidenti. La piramide di Heinrich, vista nel cap. 2, potrebbe non essere valida per i sistemi complessi, perché non è detto che l’incidente grave sia preceduto da piccoli incidenti. Forse c’è direttamente un salto dai segnali deboli all’incidente, senza passare attraverso eventi più visibili, come i quasi incidenti.

7.2.1. La deriva verso l’incidente

Per spiegare il legame tra segnali deboli ed eventi avversi, Dekker (2011) parla di deriva verso l’incidente, perché il passaggio è lento, senza eventi significativi. Ad ogni passo si osserva che quanto deciso non comporta rischi e diventa la base da cui partire per ulteriori spinte, deviazioni ver-so il disastro. E non è facile pensare che gli operatori avrebbero dovuto vedere quei segnali deboli, perché a posteriori sappiamo che erano pro-dromi di eventi maggiori, ma dobbiamo metterci nei loro panni e vedere gli eventi dall’interno, quando tutto sembra normale. Questa è una deriva normalizzata perché, se leggiamo le decisioni alla luce di vincoli, pressio-ni, opportunità, aspettative del contesto, vedremo che erano dotate di senso e solo a posteriori diventano segnali di una deriva. Non è facile saper distinguere i segnali deboli dal rumore di fondo, sapere che quella manutenzione dilazionata diventerà un problema, mentre le migliaia di altre decisioni prese sulla manutenzione non avranno riscontri. Se i mo-delli di analisi cercheranno i buchi del sistema o le cause, condurranno a una lettura distorta del sistema e non faranno sicurezza. Occorre un linguaggio nuovo, centrato sul lavoro per come viene vissuto ed effettiva-mente svolto, condotto da persone che cercano di dare un senso a ciò che fanno, raccogliendo informazioni sparse in un ambiente dinamico, fatto di vincoli e incertezze.

Nelle organizzazioni le persone hanno consapevolezza limitata nel tem-po e nello spazio, ossia hanno rappresentazioni poco dettagliate sia delle storia delle decisioni precedenti, sia di come si evolveranno in futuro, e sia di come si distribuiscono nelle varie aree del sistema. È quella che Vaughan (1996) ha chiamato “segretezza strutturale”, un normale risultato della bu-rocrazia e della complessità dei sistemi che rende le persone incapaci di avere una visione d’insieme, limitata a dipartimenti, unità operative, grup-pi di lavoro. Le informazioni, quindi, rimangono localizzate e non è possi-bile capire come queste, in interazione con altre informazioni in altre parti del sistema, potrebbero interagire portando all’incidente. D’altro canto, l’organizzazione non è una entità a sé, che può rimediare alla limitatezza

131


degli individui, è fatta di persone che cambiano ruolo, cambiano punti di vista, interagiscono. Le persone cercano al massimo di dare un senso a ciò che fanno, cercano di gestire quello spazio di azione loro consentito in modo efficace, bilanciando costi e benefici. Se le loro decisioni hanno avuto successo, tenderanno a ripeterle. Nel caso della Alaska Airlines, la decisione di dilazionare le manutenzioni ha avuto successo, perché nel mo-mento storico della deregulation le pressioni economiche erano rilevanti, ed aveva senso che lo fossero, in quel preciso momento. La dilazione non aveva portato conseguenze e diventava punto di partenza per nuove dila-zioni, e così via fino all’incidente. Una deriva fatta di tanti, piccoli, sensati, ragionevoli, logici passi. Se a questa deriva si aggiungono gli adattamenti locali, le scorciatoie, le ottimizzazioni del qui-ed-ora che spesso le persone fanno, come ad esempio una manutenzione più frettolosa del solito, i due elementi si combinano e formano qualcosa che emerge, cioè ha qualità diverse dai costituenti, e che a posteriori chiamiamo incidente. I fenomeni della normalizzazione della deriva, delle ottimizzazioni locali, della segre-tezza strutturale non sono di per sé prodromi di un incidente. Ma talvolta entrano in interazione e, così come l’ossigeno e l’idrogeno sono diversi dall’acqua, danno vita a fenomeni emergenti, diversi e imprevedibili, tal-volta drammatici.

7.3Approcci per la gestione dei sistemi complessi

Se riprendiamo la fig. 7.1, che rappresenta il diagramma proposto da Hol-lnagel come aggiornamento del modello di Perrow, le caratteristiche pre-sentate finora riguardano il quadrante in alto a destra, che include sistemi a elevata connessione interna e poca controllabilità. Per un’estesa trattazione delle teorie organizzative nei sistemi complessi, rimandiamo al contributo di Catino (2006); in questa sede vediamo come alcune fra le principali pro-poste teoriche hanno tentato un approccio alla gestione della complessità.

7.3.1. Le organizzazioni ad alta affidabilità

Abbiamo visto che la deriva nasce da piccoli compromessi quotidiani, de-cisioni che hanno senso nel qui-ed-ora, operatività adattate al contesto. Sebbene difficile, è proprio a questo livello che si può intervenire per ge-stire questa deriva ed evitare conseguenze non volute. In questo spazio si trovano le informazioni che le persone usano per prendere decisioni,

132


attivare comportamenti. Occorre quindi studiare, progettare e gestire questo ambiente informativo, sapendo che le persone ne coglieranno gli elementi per operare delle scelte. Questo elemento del potere decisionale degli operatori è stato uno dei pilastri della teoria organizzativa che ha studiato le cosiddette organizzazioni ad alta affidabilità (High Reliabili-ty Organizations, hro), ossia quei sistemi che devono essere affidabili se vogliono sopravvivere, perché la lezione appresa dopo un errore avrebbe costi troppo elevati, ad esempio centrali nucleari, controllo del traffico aereo, portaerei (Rochlin, LaPorte, Roberts, 1987; Rochlin, 1993; Weick, Sutcliffe, Obstfeld, 1999; Weick, Sutcliffe, 2007). Come dicevamo, la valo-rizzazione della conoscenza e la creazione di spazi di decisione è un punto di forza delle organizzazioni affidabili. Questo comporta una decentra-lizzazione delle decisioni, perché ognuno, ad ogni livello gerarchico, può prendere decisioni rilevanti se collegate alla sicurezza del sistema. Natu-ralmente questo richiede che la dirigenza sia fortemente motivata a soste-nere questa forma reticolare e non gerarchica di organizzazione, perché se fosse arroccata su posizioni di potere darebbe al sistema quella rigidi-tà che lo renderebbe incapace di adattarsi in modo flessibile e dinamico alle situazioni imprevedibili. Sempre a livello di dirigenza, si stimola una cultura dell’apprendimento che sappia capitalizzare esperienze ed errori, grazie a simulazioni, immaginazione dei vari operatori sui possibili esiti ecc. A livello tecnologico e procedurale, si cerca di arricchire il sistema con elementi ridondanti, in modo tale da ridurre la probabilità che un fallimento in una parte del sistema si propaghi alle altre e, per via della forte connessione, se ne perda il controllo.

Secondo Weick e Sutcliffe, le hro, nei confronti delle attività che svol-gono, utilizzano una forma di pensiero che chiamano mindfulness, tradu-cibile con concetti come consapevolezza, presenza mentale, attenzione. In particolare, la mindfulness si realizza sia anticipando eventi avversi sia contenendone gli effetti. L’anticipazione si basa su:1. preoccupazione verso il fallimento: l’organizzazione deve mettere la sicurezza al primo posto nelle sue priorità, essa deve far parte dell’attività normale del sistema, gli operatori devono quindi essere sempre consape-voli che le cose potrebbero evolvere verso un incidente, essere sensibili ai segnali deboli e intervenire tempestivamente;2. riluttanza verso la semplificazione: occorre ricordarsi che l’ambiente è complesso e imprevedibile, quindi abbandonarsi ad abitudini e automati-smi è rischioso perché potrebbe far perdere di vista la reale natura di ciò che si vuole comprendere;

133


3. sensibilità verso le operazioni: dato che il sistema segue dinamiche di tipo non lineare, occorre sforzarsi di capire come le operazioni svolte in un settore del sistema possano riverberarsi in altri settori.

Il contenimento, invece, come già detto, riguarda la gestione degli eventi quando sono già accaduti. Esso si basa su:1. impegno verso la resilienza: ossia la capacità del sistema di mantenere le sue funzioni principali anche durante situazioni di crisi, assorbendo le sollecitazioni, proteggendo le funzioni di base, cercando di ripristinare la normalità dopo l’evento e, soprattutto, imparando dall’esperienza passa-ta;2. deferenza verso l’expertise: capacità dell’organizzazione di dare autori-tà decisionale a chi possiede esperienza necessaria per gestire il problema, senza per forza seguire la gerarchia rigida del sistema.

La teoria delle organizzazioni ad alta affidabilità ha avuto un notevole seguito, ma ha anche ricevuto critiche di eccessiva semplificazione (Sagan, 1993). Ad esempio, la ridondanza di processi e strumenti non è sempre una soluzione per gestire l’inatteso, perché avere più elementi significa otte-nere più complessità. Inoltre, in contesti dinamici e rapidi, la ridondanza potrebbe portare rumore di fondo, piuttosto che informazione. Dekker (2001) fa l’esempio dei piloti che devono comunicare con la torre di con-trollo: la ridondanza prevede che ogni messaggio emesso da una parte sia ripetuto dall’altra, ma in certi contesti estremamente variabili il pilota non può attendere che la torre ripeta il suo messaggio perché nel frattempo le condizioni sono cambiate. Inoltre, la totale libertà degli operatori, di ogni livello, di prendere decisioni critiche non è sempre possibile in sistemi ad alta connessione, dove una decisione in una parte del sistema richiede un coordinamento con altre parti, cosa che solo un supervisore può fare. Infine, la nozione di affidabilità sembrerebbe non essere del tutto sovrap-ponibile con quella di sicurezza. L’affidabilità è tipica di uno strumento dal quale ci si aspetta che faccia sempre e bene il suo lavoro. Ma sappiamo che questo non basta per fare sicurezza, soprattutto nei sistemi complessi, dove non è possibile prevedere tutte le possibili situazioni. Ripensiamo al medico di guardia in Pronto soccorso. Se avesse seguito la procedura alla lettera, cioè se fosse stato affidabile, avrebbe probabilmente esposto a grave rischio la donna e il suo bambino, mentre decidendo di violare la procedura ha salvato loro la vita. In generale, quindi, la teoria sembrereb-be essere efficace per studiare sistemi a bassa connessione e moderata con-trollabilità, ma perderebbe il suo potere esplicativo qualora si prendessero in esame sistemi a maggior complessità.

134


7.3.2. La teoria del controllo

Una proposta recente che ci porta ancora più vicino alla teoria dei sistemi complessi è quella avanzata da Nancy Leveson (2004). Tale approccio vede il sistema in interazione dinamica con un ambiente in cui deve adattarsi. Le componenti umane, tecnologiche e organizzative sono quindi immerse in questo sistema in equilibrio dinamico e gli adattamenti reciproci sono fattori da tenere sotto controllo. Cruciale in questo modello è la nozione di vincolo, poiché ogni livello del sistema controlla quelli sottostanti e la sicu-rezza è vista come adeguata gestione dei vincoli per controllare gli eventi in equilibrio con l’ambiente. L’equilibrio deve essere dinamico, non è possi-bile realizzarlo in modo statico, proprio come una bicicletta, che rimane in equilibrio solo se spinta in movimento. L’equilibrio è mantenuto con siste-mi di controllo e circolazione di informazioni tra i livelli. Un incidente, in questa prospettiva, appare come un fallimento nel mantenere la sicurezza mentre il sistema cambia la sua prestazione nel tempo per poter rispon-dere a uno specifico insieme di obiettivi e valori. L’analisi dell’incidente andrà a cercare quei vincoli che non hanno saputo contenere l’emergenza dell’evento avverso. Ricordiamo la rappresentazione di un sistema propo-sta da Rasmussen: una realtà costantemente in movimento per bilanciare vincoli economici, di carico di lavoro e di sicurezza. La sicurezza diventa, quindi, un insieme di processi di controllo che impongono dei vincoli al sistema nei suoi cambiamenti e adattamenti. Cambiamenti che, lo abbiamo visto, possono essere lenti, subdoli, normalizzati e apparentemente razio-nali. Contrariamente ai modelli passati, la teoria del controllo non si foca-lizza sugli errori umani, o sui guasti, ma cerca quei fattori di controllo che non li hanno contenuti, quelle condizioni che li hanno plasmati e hanno loro permesso di evolvere in incidente (Leveson, 2003).

7.4La Resilience Engineering

Uno dei concetti cardine della teoria delle organizzazioni ad alta affidabi-lità è quello di resilienza. Questo termine deriva dal latino resalio e signi-fica rimbalzare; è stato usato per descrivere le proprietà di un materiale di assorbire l’energia quando sottoposto a una sollecitazione e di riprendere la sua forma originaria dopo la perturbazione. Il termine è stato poi tra-sferito in altri ambiti come l’informatica, l’ecologia, la psicologia, lo studio delle organizzazioni, mantenendo la metafora della risposta a sollecitazioni

135


che vengono assorbite senza perdere l’integrità. Nella definizione data da Weick e Sutcliffe, ad esempio, si fa riferimento alla capacità del sistema di recuperare la sua funzionalità dopo un evento avverso. Prendendo spunto da questa caratteristica e integrandola con i principi della complessità ma-turati nella teoria del controllo, un gruppo di studiosi pervenne alla formu-lazione della cosiddetta Resilience Engineering (re), ossia la progettazione di sistemi resilienti. La loro visione riprende sia la capacità di un sistema di recuperare la sua stabilità dopo una perturbazione in modo reattivo, sia quella di anticipare eventi avversi futuri (Hollnagel, Woods, Leveson, 2006). Ciò che accomuna reattività e proattività è il tipo di eventi, che sono in genere inattesi e quindi non facilmente prevedibili. La resilienza non è una proprietà, quanto piuttosto una capacità di riconoscere quando il sistema sta andando troppo alla deriva verso i margini oltre i quali emerge un incidente. Si tratta, quindi, della capacità di monitorare e tenere traccia degli aggiustamenti, degli adattamenti locali, capendo come e quanto pos-sono portare ad eventi avversi.

I principi della re fanno riferimento alla teoria dei sistemi complessi, in particolare ruotano intorno ad assunzioni fondamentali come:– l’incidente è una proprietà emergente: la prestazione normale e quella erronea sono proprietà emergenti che non sono sempre riconducibili a una specifica azione, errore o violazione, piuttosto derivano dall’interazione dinamica di fattori che, presi singolarmente, potrebbero essere regolari, ma che a livello sistemico producono anomalie;– la prestazione normale è ben diversa dalla prestazione normativa: le rego-le e le procedure sono astrazioni, semplificazioni e riduzioni della comples-sità. Il comportamento normativo è pensato in base a regole, ma quando si applica in una specifica situazione contingente, il comportamento normale è sempre un adattamento locale di tali regole. Esso diventa, quindi, una forma di equilibrio tra la regolarità delle procedure e la casualità delle situazioni contingenti;– analizzare i processi e non i risultati: i risultati delle azioni degli ope-ratori, che nascono da euristiche consolidate e che hanno avuto successo in passato, possono essere negativi se interagiscono con condizioni conte-stuali che richiedono nuovi tipi di strategie;– la sicurezza non si basa su letture reattive e a posteriori: la resilienza nasce da un atteggiamento proattivo che si sforzi di anticipare gli eventi av-versi, non focalizzandosi sugli errori umani o sui guasti delle singole parti, perché ritiene che l’incidente sia comprensibile e possibilmente anticipa-bile solo partendo da un’ottica sistemica;

136


– l’ambiguità della flessibilità umana: la nostra adattabilità ci permette di fare ottimizzazioni locali di procedure generali, rendendoci quindi capaci di gestire la situazione in modo sicuro ed efficace, ma allo stesso tempo essa può essere fonte di esiti negativi. Non è possibile eliminare la varietà della prestazione, perché siccome le situazioni sono variabili e le regole non possono coprirle tutte, la varietà è utile, anche se talvolta la varietà porta all’emersione di eventi avversi. Per questo motivo, la sicurezza non è tanto una questione di vincolo o limitazione (con regole e procedure) della variabilità umana, quanto del suo monitoraggio e controllo, mantenendola entro limiti accettabili.

7.4.1. L’importanza della varietà

Tutti i sistemi complessi (biologici, organizzativi, socio-tecnici) vivono e si auto-organizzano grazie a un ingrediente fondamentale: la varietà (Ma-turana, Varela, 1980). La varietà è quella forma di energia che permette al sistema di crescere e adattarsi. Per noi esseri umani la varietà è data dalle informazioni, dal cibo, dall’energia solare, tutti elementi che ci permettono di adattarci all’ambiente. Per un sistema socio-tecnico complesso la varietà nasce sia internamente (prestazioni variabili, interazioni dinamiche fra le parti) sia esternamente, nei rapporti con l’ambiente. Questa varietà può portare nuova organizzazione, ma anche far implodere il sistema, in base a come viene gestita.

Abbiamo visto nel cap. 2 la matrice segnali per risposte. Essa definisce i sistemi per come gestiscono questa varietà, perché possono dare risposte forti o deboli a segnali anch’essi forti o deboli. Abbiamo detto che un siste-ma che fornisce risposte forti a segnali forti è semplicemente reattivo, quindi non resiliente, perché attende l’evento avverso per reagire. Un sistema che dà risposte deboli a segnali forti è destinato al collasso: non solo attende l’evento avverso, ma non impara da esso e non lo sa gestire. Un sistema che fornisce risposte deboli a segnali deboli è avviato verso quella deriva di cui parla Dekker: un lento spostamento dei margini della sicurezza, sospinto da pressioni economiche e operative tali da trascurare le cautele per la sicurez-za proattiva. L’unica forma di resilienza è quella di un sistema che sa dare risposte forti a segnali deboli. I segnali deboli sono la varietà di cui abbiamo parlato poco sopra (prestazioni variabili, decisioni organizzative, mutamenti ambientali) che manifesta, però, una deriva lenta verso i margini di sicurezza, mentre le risposte forti sono quelle forme di anticipazione, immaginazione e controllo che contengono la deriva normalizzata.

137


La varietà, quindi, aiuta il sistema ad avere un vasto repertorio di in-formazioni sulle situazioni, perché esso raccoglie e valorizza tale varietà e la usa per avere molteplici punti di vista su situazioni che, stando alla sola astrazione della regola, sarebbero invece viste da una sola prospettiva. Torniamo all’esempio del medico di guardia in Pronto soccorso. La varietà si trova nella circostanza in cui arriva una donna gravida in condizioni cri-tiche, il personale è carente e il medico reperibile potrebbe arrivare troppo tardi per accompagnarla in sicurezza al più vicino presidio ospedaliero. Questa varietà non era apparentemente contemplata nella procedura, che prevedeva l’obbligatorietà (assolutamente ragionevole) che un medico accompagnasse una persona in ambulanza. L’organizzazione può quindi decidere come gestire questa varietà che nasce dall’esperienza. Può incol-pare il medico per violazione di procedura e archiviare il caso, perché ha trovato il “guasto”. Oppure può ascoltare questa varietà, questo segnale debole, e arricchire le sue procedure, rivederle, chiedersi se si sta andando alla deriva, valutare come monitorare tali segnali ed eventualmente con-tenerli. Si tratta, in questo caso, di applicare proprietà tipiche dei sistemi ad alta affidabilità, ossia la cultura dell’apprendimento e la filosofia della dirigenza di dare margini di decisione ampi ad ogni livello della gerarchia. Questo comporta una “anticipazione decentralizzata” (Wildavsky, 1988), ossia una capacità dell’organizzazione di dare potere a tutti i livelli per diventare “sensori di varietà”, anticipando in questo modo la deriva. Per fare questo, però, è necessario che ogni persona si senta libera di riportare ciò che vede, capace di poterlo fare e sappia di essere veramente ascoltata, senza colpevolizzazioni. Bisogna stimolare, quindi, quel locus of control interno di cui abbiamo parlato nel cap. 4, cioè far sentire alle persone il diritto/dovere di essere portatrici di mindfulness, di presenza e apertura mentale tali da vedere e segnalare la varietà.

7.4.2. Il dilemma dell’intervento

Si presenta in questo caso un dilemma di non facile soluzione: le persone che vogliono segnalare varietà, i cosiddetti segnali deboli, devono sapere quando riportarli. Perché se li riportano troppo tardi, il sistema potrebbe già essere alla deriva e gli interventi correttivi potrebbero risultare vani. Se invece li riportano troppo presto, potrebbe non essere chiaro il legame tra quel segnale e un futuro possibile evento avverso. Una possibile soluzione di questo dilemma sta nella fiducia che la persona nutre nell’organizza-zione (dai colleghi ai dirigenti) e nella chiara e aperta comunicazione che

138


si può realizzare affrontando il segnale debole che viene riportato. Nel caso del medico di Pronto soccorso, gli operatori hanno provato a segna-lare questa anomalia della procedura, che richiedeva un miglioramento in funzione della nuova varietà appresa. Ma se la dirigenza risponde che non vede il problema, che basta seguire le procedure già definite, siamo di fronte a una rottura della fiducia. Si crea un doppio legame nei confronti dell’operatore: da un lato gli si chiede di essere responsabile e lavorare in sicurezza, dall’altro gli si chiede di rispettare le procedure. Ecco, quindi, che il segnale debole è stato riportato troppo presto: o meglio, gli interlo-cutori dei medici non erano pronti a cogliere il legame tra quella varietà e la deriva verso l’incidente.

7.4.3. Il dilemma della quantità

Un altro dilemma legato alla varietà riguarda quanti di questi segnali deboli debbano essere riportati per evitare la deriva. Un eccesso di varietà diventa rumore ingestibile, troppe informazioni affastellate che perdono di signifi-cato e bloccano il sistema. I sistemi biologici hanno trovato il loro equili-brio. Si pensi all’alimentazione, per esempio. Abbiamo fame e ci nutriamo, incameriamo nuova varietà. Subentra la sazietà, che blocca la pulsione al cibo e permette all’organismo di metabolizzare, con i suoi tempi, le ener-gie acquisite. Quando il sistema è pronto, ritorna l’appetito e nuova varietà viene cercata e assimilata. Purtroppo i sistemi socio-tecnici non possiedono il meccanismo regolativo della fame e della sazietà e va posta cautela nell’in-centivare in modo indiscriminato ogni persona a riportare qualsivoglia varie-tà. Il sistema sarebbe presto intasato di informazioni, parte delle quali inutili e parte, nascoste, utili per prevedere la deriva. Una soluzione del dilemma della quantità starebbe nell’aggiustamento che, col tempo, il sistema potreb-be raggiungere. Bilanciando incentivi alla segnalazione nella fase di avvio e, in seguito, alla disseminazione di una cultura della sicurezza che fornisca i giusti occhiali per vedere i segnali deboli, il sistema potrebbe arrivare a una taratura del livello ottimale, per sé, della varietà da incamerare. Proprio come un organismo che sa quanto cibo mangiare: né troppo poco, per non morire di fame, né troppo, con il rischio di non riuscire a digerirlo.

7.4.4. Varietà delle prestazioni, informazione e incidenti

Nei sistemi complessi non esiste una logica binaria del tipo giusto o sba-gliato, non basta seguire la regola, bisogna saperla adattare alla situazione.

139


A volte questo adattamento assume forme devianti, che sembrano ragio-nevoli nell’orizzonte di senso di chi prende la decisione, ma che a livello globale si rivelano come una deriva. È il caso della dilazione della manu-tenzione nel caso dell’Alaska Airlines. Altre volte l’adattamento assume le forme di una violazione ottimizzante o di un errore a livello Skill, e la tendenza più naturale sarebbe quella di mondare la colpa, punire chi ha sbagliato. L’attenzione alla varietà riconosce, invece, che il mondo non è binario, ma fatto di sfumature, che la prestazione è variabile e anche l’erro-re, per come è definito a posteriori, può essere informazione utilissima per il sistema. Vedere l’errore come informazione che deriva dalla prestazione variabile aiuta il sistema a capire meglio le ragioni per cui si è sviluppato quel comportamento e, magari, a costruire metodi per gestirlo in modo più efficace in futuro.

La varietà di prestazione, ovviamente, riguarda le persone e non la tec-nologia. Questa è affidabile e farà sempre la stessa cosa, per come è stata impostata, e si suppone che non esibisca prestazioni variabili. Gli esseri umani, invece, cambiano la loro prestazione sulla base di situazioni interne (stress, fatica, aspettative, emozioni, abitudini ecc.), esterne (pressioni del gruppo, interazioni con i colleghi, richieste organizzative ecc.) o contestua-li (caratteristiche variabili del luogo di lavoro come rumore, temperatura, affollamento ecc.). Possiamo rappresentare la prestazione “normale” come un’onda che si muove intorno alla linea ideale della prestazione “normati-va”, cioè quella ritenuta corretta in astratto (fig. 7.2).

figura 7.2La curva della prestazione variabile

Fonte: adattamento da Hollnagel (2009).

140


Le tipologie di varietà, a loro volta, possono essere diverse (Hollnagel, 2009):– variabilità teleologica: è quel tipo di varietà che si manifesta quando gli obiettivi sono instabili per via di eventi esterni (ad esempio, aumento improvviso delle richieste a un reparto, aumento degli accessi a un Pronto soccorso dopo un grave incidente) o perché cambiano valori e aspettative. In questo caso si tratta di variabilità teleologica perché la prestazione si adatta in funzione di cambiamenti attesi;– variabilità contestuale o situazionale: si tratta di comportamenti varia-bili perché la situazione non è adeguatamente specificata e si cercano gli adattamenti migliori in termini di efficienza ed efficacia. Ad esempio, se per arrivare a chiudere una valvola in una conduttura non è specificato il percorso da seguire, è possibile che le persone seguiranno quello più velo-ce o meno faticoso, anche se forse meno sicuro;– variabilità compensatoria: si tratta di quel tipo di azioni eseguite per rimediare alla mancanza temporanea di qualche risorsa (ad esempio, uno strumento, un collega di lavoro ecc.). In questo caso la persona farà a meno della risorsa, pensando di poter comunque eseguire il compito, perché aspettare di averla a disposizione sarebbe inopportuno, rischioso, costoso. È questo il caso del medico di Pronto soccorso, che decide di inviare la donna senza il medico reperibile.

La variabilità teleologica e quella contestuale sono forme “normali” di variabilità, perché sono sempre rilevabili nel sistema, mentre quella compensatoria dovrebbe essere eccezionale. La variabilità teleologica è prevedibile se si conoscono le dinamiche e la storia del sistema. Ad esempio, si sa che gli accessi a un Pronto soccorso possono aumentare drasticamente in certi periodi dell’anno o nelle notti del fine settimana, e quindi ci si aspetta che le prestazioni degli operatori si adatteranno a quelle condizioni. Per poter gestire questa varietà di prestazione, il sistema dovrebbe ragionare in termini strategici e chiedersi se fornire più risorse o se la variabilità rimane comunque entro i limiti di sicu-rezza. Anche la varietà contestuale è abbastanza prevedibile, perché le euristiche e gli adattamenti delle persone sono relativamente comuni; conoscendo i contesti operativi si possono quindi prevedere quali aggiu-stamenti saranno messi in atto. Ad esempio, se la valvola da regolare si trova in mezzo a tubature che attraversano l’area di lavoro a un metro da terra, è probabile che le persone scavalcheranno i tubi per accedere velocemente alla valvola, piuttosto che fare un lungo percorso che aggira i condotti. La variabilità compensatoria è la più difficile da prevedere,

141


perché avviene proprio in caso di situazioni eccezionali. In questo caso, più che prevedere la situazione specifica, è possibile immaginare che le persone seguiranno il già citato principio etto (Hollnagel, 2009), adot-tando comportamenti che ritengono sufficientemente sicuri e che aiutino a raggiungere l’obiettivo.

La necessità di prestazioni variabili aumenta con l’aumentare della complessità del sistema, con il crescere della sua intrattabilità. Riprendia-mo la fig. 7.1 presentata all’inizio del capitolo. Vediamo che più il sistema è intrattabile, più sfugge alla proceduralizzazione e richiede, oltre a permet-tere, più ampi margini di azione, di prestazione variabile. È proprio qui, quindi, che è necessaria una adeguata sensibilità degli operatori per capire quanto la loro prestazione rimanga entro limiti accettabili o stia avviando una deriva.

La nozione di variabilità della prestazione ci aiuta a capire meglio cosa osservare, in un sistema complesso, e come osservarlo. I modelli tradiziona-li di gestione dei rischi e analisi degli incidenti andavano in cerca dell’erro-re umano, rendendo quindi invisibili tutti quei comportamenti in cui non si manifestavano esiti negativi. Hollnagel li definisce efficacemente come se fossero una sorta di “materia oscura”, qualcosa che gli astronomi sanno esistere, ma che non possono vedere. Se invece vediamo la prestazione nella sua variabilità, non cercando l’errore, ma vedendo l’errore come un caso speciale di prestazione normale, potremo capire meglio perché spesso le cose vanno bene e non accadono incidenti. La sicurezza non sarà più mirata a ridurre i casi di incidente, ma ad aumentare la capacità di successo in condizioni operative variabili.

7.4.5. Caratteristiche delle organizzazioni resilienti

Senza rinunciare ai contributi apportati dalle teorie precedenti, gli studiosi della re hanno tentato di elencare alcuni dei punti fondamentali su cui un’organizzazione dovrebbe lavorare per promuovere la resilienza (Wre-athall, 2006):– impegno dei dirigenti: la resilienza emerge dal sistema se tutti sono orientati ad essa, non è una nuova competenza da trasmettere al personale di prima linea, né un nuovo strumento da mettere nelle mani dei tecnici preposti alla sicurezza. La resilienza richiede che tutta la dirigenza sia con-sapevole delle pressioni e dei vincoli che derivano dalle loro decisioni e sappia che una cultura della colpa e dell’omertà nasce spesso da come essi gestiscono le informazioni sulla variabilità delle prestazioni;

142


– cultura della segnalazione: le informazioni devono circolare, bisogna avere una mappa della variabilità delle prestazioni, tracciare le loro devia-zioni e monitorare i segnali deboli, fidandosi del fatto che non si cercherà il colpevole, l’errore umano, ma si darà valore alle informazioni come ma-teriale su cui apprendere; – apprendimento continuo: le informazioni che circolano devono essere metabolizzate a tutti i livelli; ogni esperienza, anche quelle conseguenti a eventi avversi, deve essere seguita dalla domanda su come essa possa inse-gnare qualcosa sul sistema, sulle sue pratiche e sulla tendenza alla deriva;– consapevolezza delle dinamiche: l’organizzazione deve sapere dove si trova all’interno dello spazio compreso tra pressioni economiche, carico di lavoro e sicurezza; deve sapere come si svolge il lavoro normale, quanto è distante da quello immaginato, pianificato dai supervisori; deve essere consapevole che il sistema ha zone opache, poco visibili, e non arrestarsi alle conoscenze più facili da acquisire;– prontezza verso gli imprevisti e anticipazione: un’organizzazione resi-liente cerca di anticipare la deriva, dà valore ai segnali deboli e se questi evolvono in perturbazioni, eventi avversi, sa mettere in atto processi di recupero e contenimento;– flessibilità sull’ambiente e sullo stesso monitoraggio: un’organizzazione resiliente sa essere flessibile, perché vive in contesti dinamici e la rigidità sarebbe infruttuosa nella gestione della varietà. Inoltre, la flessibilità vale anche per il processo di monitoraggio stesso, che col tempo potrebbe non cogliere più informazioni rilevanti.

Come abbiamo visto in precedenza, Dekker (2011) ha descritto le ca-ratteristiche della deriva verso l’incidente. Tali condizioni sono gestibili dal sistema resiliente per far emergere sicurezza, anziché eventi aversi. Ad esempio, la scarsità di risorse e la competizione esterna, che potrebbero spingere un sistema alla deriva, possono essere messe in discussione dall’or-ganizzazione se permette la circolazione di voci “fuori dal coro”, di punti di vista alternativi, che sappiano valorizzare la varietà intrinseca al sistema. I piccoli passi verso la deriva, le scelte che sono viste come ragionevoli, po-trebbero essere prodromi di un incidente, perché un’ottimizzazione locale potrebbe diventare un disastro globale (Alaska Airlines insegna). Ma se l’organizzazione adotta la cultura dell’apprendimento e della condivisione, ad ogni scelta stimola quella immaginazione necessaria per anticipare gli eventi, chiedendo ai vari livelli come quella scelta potrebbe riverberare su di loro, essendo pronta a ricevere feedback anche scomodi, ma utili per ca-pire le conseguenze a lungo termine di una decisione che, per l’effetto far-

143


falla, sembra innocua, ma avvia una deriva incontrollabile. In conclusione, così come gli incidenti sono proprietà emergenti dall’interazione di parti diverse del sistema, la sicurezza stessa può diventare proprietà emergente, se si sa gestire l’interazione in modo virtuoso, dando voce ai segnali deboli ed essendo pronti a fornire risposte forti e coerenti.

7.4.6. La risonanza funzionale

Abbiamo lasciato il diagramma che combina controllo e connessione (fig. 7.1) con un’area non esplorata, quella relativa ai sistemi socio-tecnici com-plessi, caratterizzati da alta interconnessione e bassa controllabilità. Hol-lnagel (2009) sostiene che i modelli di analisi degli incidenti e gestione dei rischi finora proposti sono efficaci solo per i contesti in cui sono nati, e quindi per sistemi ad elevata o bassa connessione ma ad alta controllabi-lità. Per la gestione dei sistemi complessi, egli vede la re come un valido approccio e introduce il concetto di risonanza funzionale, per spiegare la genesi degli incidenti. Un sistema è composto di diversi elementi: ci sono le persone, con la loro prestazione variabile, che cercano adattamenti lo-cali secondo il principio etto; ci sono elementi tecnologici, che possono essere più o meno affidabili per via di una manutenzione adeguata e pro-gettazioni opportune; ci sono condizioni organizzative latenti, che possono portare allo sviluppo di derive verso la produzione e il risparmio di risorse, oppure la cultura della colpa; e, infine, ci sono le barriere alla propagazio-ne dell’incidente, che potrebbero non essere efficaci. Tutti questi elementi sono come corde che vibrano, oscillano intorno alla linea di operatività ot-timale. Esistono condizioni particolari in cui la somma delle varie frequen-ze, delle diverse variabilità, porta a una risonanza funzionale che amplifica il segnale trasformandolo da debole in forte, e quindi in incidente. Ecco allora che l’evento avverso è interpretato come una proprietà emergente che nasce dall’interazione complessa, dalla risonanza, di diversi elementi del sistema. Non si tratta di connessioni causali, ma di normali forme di varietà che, associate, si amplificano a dismisura. Se poi il sistema è caratte-rizzato da forte connessione, la risonanza si propaga velocemente in tutto il sistema e lo può portare al collasso. Non è un caso che Hollnagel usi il termine “risonanza”. Questo fenomeno ha causato il crollo di molti ponti, per esempio, per il solo effetto combinato del passo delle persone che li attraversavano. Non possiamo dire che il ponte sia crollato per colpa del passo di un individuo, ma dell’interazione fra il tipo di struttura del ponte e le vibrazioni ritmiche imposte dalle centinaia di passanti.

144


Esportando questa chiave di lettura in un modello per l’analisi degli incidenti, Hollnagel (2012) propone fram, Functional Resonance Analysis Method, ossia un metodo per l’analisi funzionale delle risonanze nel siste-ma. Esso si articola in quattro passi.1. Identificare le funzioni essenziali del sistema: a prescindere dall’inciden-te, occorre analizzare le funzioni caratterizzanti il sistema, ad esempio rifa-cendosi a un’analisi dei compiti, delle procedure, dei processi. Per tornare al noto caso del medico di guardia in Pronto soccorso, le funzioni sono quella di accettazione e diagnosi della paziente, di trasporto in ambulanza, di richiamo del medico reperibile ecc. Ogni funzione (ad esempio, il tra-sporto in ambulanza) è analizzata sotto sei aspetti:a) input: il punto di partenza della funzione, ciò che la funzione riceve per iniziare la sua attività (ordine di trasferimento da parte del medico);b) output: il risultato della funzione (ricovero presso altro ospedale);c) precondizioni: condizioni che devono essere presenti prima che la fun-zione possa essere eseguita (valutazione della gravità della paziente);d) risorse: ciò che la funzione deve avere per poter essere eseguita (ambu-lanza e personale reperibile);e) tempo: vincoli temporali che limitano la funzione (tempo di attesa del reperibile e durata del viaggio);f) controllo: come la funzione viene monitorata e controllata (presenza del medico in ambulanza).2. Caratterizzare la variabilità osservata nelle funzioni del sistema: occorre definire la variabilità possibile per ogni funzione, quindi quanto la presta-zione di ogni elemento può variare e come ha variato nel caso specifico dell’incidente; ad esempio, la decisione di inviare la donna senza medico è stata una prestazione variabile dovuta a una funzione precedente (la pro-cedura di invio ad altra struttura per via delle ristrutturazioni organizzati-ve), combinata con un’altra funzione (la presenza del reperibile), che però avevano vincoli temporali diversi: l’invio doveva essere rapido, l’attesa del medico troppo lunga. 3. Identificare e descrivere la risonanza tra le funzioni: una volta descrit-te le funzioni e le loro relazioni, si individuano le specifiche modalità di interazione che sono entrate in risonanza; ad esempio, la variabilità della funzione del medico reperibile è stata decisiva, perché essendo questa fun-zione caratterizzata da un vincolo temporale elevato (trenta minuti), anda-va a scontrarsi con l’altra funzione del trasporto in ambulanza immediato. Questi due elementi sono entrati in risonanza e hanno creato un segnale che avrebbe potuto propagarsi fino a generare la morte del bambino o

145


della madre. Non è stato così, perché l’ambulanza è arrivata in tempo, per caso o per le condizioni di salute della paziente non sono emerse compli-canze ecc. Ma se questi fattori fossero stati presenti, la risonanza sarebbe stata enorme e sarebbe sfociata in un esito fatale.4. Identificare barriere per la variabilità: occorre identificare i fattori che potrebbero smorzare le prestazioni variabili e limitare la risonanza. Posso-no essere identificate delle barriere per prevenire la risonanza, o per limi-tarne i danni. Queste possono essere (a) fisiche (porte, blocchi, password ecc.), (b) funzionali, che definiscono le precondizioni che devono essere presenti prima che la funzione abbia luogo (ad esempio, le checklist, la presenza di strumenti e risorse adeguate ecc.), (c) simboliche (ad esempio, cartelli, segnali, allarmi), (d) incorporee (ad esempio, nuove regole o pro-cedure). Tornando al caso del medico di guardia in Pronto Soccorso, ad esempio, si potrebbe ricorrere ad un dottore presente all’interno dell’ospe-dale per il trasporto per evitare l’attesa del medico reperibile.

Il metodo fram è molto recente e non è il solo proposto dai ricercatori del settore. Un altro modello molto noto, soprattutto in campo aerospa-ziale, è lo stamp, System-Theoretic Accident Model and Process, sviluppato da Leveson (2004) e basato sulla teoria del controllo. Il valore aggiunto di questi approcci è che permettono un’analisi davvero nuova degli eventi avversi, senza interpretarli come effetti di una catena di errori, bensì come proprietà emergenti derivate dall’interazione di elementi normalmente va-riabili, ma dei cui effetti si è perso il controllo. Ad esempio, Hollnagel, Pruchnicki, Woltjer e Etcher (2008) hanno analizzato l’incidente aereo del volo Comair 5191 e sono giunti a conclusioni ben più ricche e approfondite rispetto alle indagini condotte dagli organi istituzionali. Quello che sembra un notevole valore aggiunto, oltre a evitare inutili colpevolizzazioni, è che questa prospettiva aiuta a vedere le variabilità di prestazione anche in chia-ve proattiva, permettendo di sviluppare quella immaginazione necessaria per anticipare l’emersione di eventi avversi.

147

8

Un modello per la promozionedella resilienza

8.1Dalla teoria alla pratica

Da poco meno di dieci anni la ricerca si è avvicinata al tema della resilienza e in questo lasso di tempo si sono costituiti gruppi di lavoro e di consulenza a livello internazionale che si ispirano alla re. Purtroppo non sembra che queste tematiche abbiano trovato spazio nel nostro paese, a parte le inizia-tive di pochi ricercatori o consulenti privati. In particolare, chi si occupa di sicurezza spesso adotta modelli di analisi di tipo tecnico o normativo, ancora legati a una visione della sicurezza come responsabilità individuale e legami di causa-effetto. Nella migliore delle ipotesi, gli approcci alla sicu-rezza seguono il modello Swiss Cheese di Reason, anche sollecitati dall’evo-luzione normativa italiana, che si sta portando verso una visione sistemica dei rischi. Quello che manca, però, è lo sviluppo di un approccio che sia intrinsecamente ispirato alla complessità, e che non nasca come adesione passiva a dettami di legge. La cultura della sicurezza è proprietà emergente di un gruppo di lavoro, e non può nascere come effetto di un’imposizione normativa, bensì come frutto di un orientamento comune che valorizzi le variabilità dei singoli.

Bisogna riconoscere, tuttavia, che l’approccio della resilienza non è fa-cile da trasferire e da sviluppare nei contesti operativi. Si basa su nozioni complesse e c’è il rischio che rimanga una stimolante elucubrazione tra accademici. Affinché questa visione trovi applicazione anche nel nostro paese occorre sviluppare un modello operativo concreto e facile da usa-re mentre si lavora, ma ispirato alle teorie della complessità. Deve essere concreto, perché gli operativi e i dirigenti non possono spendere energie e risorse nell’applicare le teorie della complessità al loro contesto; occorre invece fornire indicazioni pratiche, facilmente applicabili e monitorabili.

148


Deve poi essere facile da usare, ossia il modello non deve diventare un esoterico strumento nelle mani degli esperti, altrimenti la sicurezza sarà sempre un concetto nella testa di qualcuno e mai proprietà emergen-te del sistema. Quindi è imprescindibile che tutti, dal direttore genera-le all’operaio praticante, abbiano in mente lo stesso schema, lo stesso insieme di principi e valori. Solo così potranno comunicare e capirsi. Una volta instaurata questa lingua comune, bisogna dare alle persone la possibilità di parlarla. Se parlare questa lingua è un’attività troppo impegnativa, nessuno si preoccuperà di condividere, essendo preso dal suo lavoro. Ricordiamo il principio etto: se sono richieste attività per la sicurezza che vanno contro il mio standard ottimale di bilanciamento co-sti/benefici, troverò il modo di non farle o di applicarle in modo parziale. Il modello, quindi, deve essere sufficientemente semplice da essere com-preso da tutti e da essere tenuto in mente durante le normali operazioni quotidiane. Esso non deve essere un’attività in più, o a parte, rispetto al lavoro. Non deve essere visto come qualcosa che toglie energie, risorse e tempo alla normale attività. Il modello per la promozione della resilienza va impostato come qualcosa che accompagna la persona, un modo di essere e di guardare la sua attività quotidiana. Naturalmente la semplicità e l’applicabilità non devono impoverire il modello al punto da renderlo semplicistico e non più ispirato alle teorie della complessità, altrimenti perderebbe di efficacia e pertinenza.

8.1.1. Occhiali nuovi per vedere i segnali deboli

Nel cap. 2 abbiamo visto la piramide degli incidenti, proposta nella sua forma iniziale negli anni Trenta da Heinrich. Alla luce delle teorie dei si-stemi complessi possiamo dire che la piramide forse non ha davvero questa forma, che gli incidenti non sempre accadono in seguito a decine di quasi incidenti, a migliaia di azioni rischiose e anomalie. A volte non ci sono prodromi così evidenti. Si pensi al caso dell’Alaska Airlines, non c’era-no segnali di usura della vite prima dell’incidente. Allora forse nei sistemi complessi la piramide si appiattisce e dal livello dei segnali deboli si passa subito all’incidente o quasi incidente. Non è sempre così, ovviamente, ma l’assenza di rischi evidenti o di incidenti mancati non significa che il siste-ma sia sicuro. L’incidente potrebbe emergere all’improvviso dalla risonan-za delle prestazioni variabili delle persone e di altre variabili sistemiche più o meno latenti. Ecco quindi che i tradizionali sistemi di gestione della sicu-rezza risultano poco efficaci, perché si concentrano sul sistema di incident

149

8. un modello per la promozione della resilienza

reporting e near-miss reporting, ossia su situazioni già avvenute, perdendo di vista quei segnali deboli che stanno al livello più basso della piramide e che potrebbero generare incidenti diversi da quelli analizzati. Questa situazione è illustrata nella fig. 8.1, dove si vede che la base dei segnali deboli, delle quotidiane, normalizzate prestazioni variabili, può generare quasi eventi, oppure diverse forme di incidenti, ma non necessariamente collegati in modo gerarchico. L’obiettivo di un modello per la promozione della sicurezza in modo resiliente e proattivo è, quindi, quello di interveni-re sui segnali deboli e non sui livelli successivi, perché si tratta già di quasi incidenti o incidenti.

figura 8.1La piramide degli incidenti nei sistemi complessi

Possiamo riprendere la metafora del gorilla, presentata nel cap. 2. Se sia-mo impegnati a contare i passaggi (fare il nostro lavoro) rischiamo di non vedere i gorilla (i rischi, i segnali deboli). Fare sicurezza in modo proattivo non significa fare solo il proprio lavoro, ma anche vedere come questo interagisce con i gorilla circostanti (le prestazioni variabili). I gorilla sono i segnali deboli che proliferano alla base della piramide, nella sua normale operatività. La loro presenza non è sempre negativa, passano nella scena e non impediscono di contare i passaggi. Ma a volte potrebbero entrare in risonanza (aumentare di numero, interferire con i giocatori) e portare

Nota: da una base di segnali deboli che derivano da prestazioni variabili emergono quasi incidenti o incidenti di diversa natura, solo a volte collegati fra loro.

150


scompiglio nel sistema. Il modello che vedremo tra poco si basa su questa efficace immagine dei gorilla, serve a visualizzare in concreto questi segnali deboli e aiuta a capire come gestirli, condividerli nel gruppo e controllarli a livello organizzativo, riuscendo a dare, finalmente, riposte forti a segnali deboli.

8.2La matrice della resilienza

Riprendiamo il caso dell’infermiere che attacca le etichette con i dati anagrafici alle provette sbagliate, invertendo paziente A con paziente B. Questo, che a posteriori chiamiamo errore, è frutto di prestazioni varia-bili, eseguite a livello Skill, associate a un’altra condizione variabile, che è l’incalzante accesso di pazienti in Pronto soccorso. Le due condizioni risuonano e possono portare all’incidente. Tuttavia, nel caso in questione c’è stato un altro elemento che completa la storia e che ha smorzato la risonanza: l’intervento del medico che lavorava con l’infermiere. Il medi-co, infatti, sapeva della condizione di fatica psicologica in cui si trovava l’infermiere, in attesa di un trasferimento ad altro reparto per un suo ma-lessere lavorativo. Per questo motivo il medico non si limitava a seguire il suo lavoro (contare i passaggi, nella metafora del gorilla), ma ha lascia-to libere parte delle sue risorse per notare segnali deboli che avrebbero potuto risuonare, viste le condizioni di lavoro pressanti. Infatti, ha visto che l’infermiere aveva posto le provette sul bancone senza etichettarle e questo segnale d’allarme lo ha predisposto a notare il successivo scam-bio di etichette. A questo punto è intervenuto interrompendo l’azione dell’infermiere e facendogli notare lo scambio. Il medico ha visto il go-rilla. Ma, a questo punto, si potrebbe dire che la sicurezza è tutelata? Assolutamente no. Il medico ha visto un gorilla, ma i segnali deboli de-vono essere condivisi con il sistema intero e gestiti, non basta notarli. Se le persone agiscono a livello locale, adottando aggiustamenti che vanno bene per loro, commettono due imprudenze. Prima di tutto privano il resto del sistema (colleghi, supervisori, collaboratori) di questa informa-zione importante, che potrebbe interessare anche loro. In secondo luogo, i loro aggiustamenti locali potrebbero essere solo apparentemente sicuri, perché non sanno come potrebbero risuonare a livello globale. I segnali deboli, quindi, vanno condivisi con il gruppo e con il sistema. Per fare questo ci vuole una cultura no-blame, dove ci sia fiducia reciproca e vo-glia di mettersi in gioco. L’organizzazione deciderà poi a che livello inter-

151


venire per gestire questa variabilità, se con mutamenti sistemici generali o se bastano interventi più localizzati. Ad esempio, il rischio di scambio etichette, una volta condiviso senza pensare che è successo all’infermiere X perché è imprudente, va discusso a livello di gruppo e si valuta cosa si può modificare nel sistema, per evitare che la prestazione variabile di un qualsiasi operatore (ad esempio, un errore a livello Skill) risuoni in un incidente. Ad esempio, si potrebbe valutare la modalità di accesso alla stanza delle visite, capendo se sono necessarie barriere procedurali ulteriori per definire se il precedente paziente è stato gestito e “chiuso” in modo corretto. In questo modo il sistema apprende e definisce il suo modo per gestire la varietà che, se ben metabolizzata, diventa cibo che fa crescere il sistema. Una varietà non metabolizzata, non elaborata con attenzione, è come un alimento indigesto che blocca il sistema digerente e può provocare danni gravi.

Vediamo ora come inquadrare queste dinamiche secondo una matrice ispirata al modello srk e alla definizione di resilienza come capacità di dare risposte forti a segnali deboli. Abbiamo detto che un segnale debole nasce dalla possibile risonanza tra variabilità delle prestazioni e altre condizioni del sistema (variabilità delle procedure, condizioni latenti, tecnologie ri-gide ecc.). Esso è debole nel senso che la risonanza è solo possibile e non si è ancora evoluta in un incidente. Proprio la nozione di variabilità è il concetto chiave della resilienza e diventa uno dei fattori che definiscono la matrice. I tipi di segnali, infatti, possono essere classificati lungo un conti-nuum che va da poca variabilità a molta variabilità. Un contesto operativo caratterizzato da segnali poco variabili è poco esposto alla probabilità di risonanza, perché i segnali sono prevedibili e quindi gestibili con procedu-re certe. Ad esempio, gli eventi in una catena di montaggio possono essere limitati, i gradi di libertà del sistema sono pochi e prevedibili, i possibili esiti sono gestibili. Questo è un sistema ove c’è poca variabilità, i segnali sono trattabili grazie a procedure. Vi sono casi in cui le procedure sono utili, ma vanno adattate, capite fino in fondo, vanno contestualizzate e, talvolta, possono essere modulate in base alla situazione. Si tratta di con-testi in cui i segnali sono variabili, ma sono più o meno contenibili entro le procedure, la loro variabilità è prevedibile e la procedura può adattarsi per attutirne l’ampiezza. È il caso di un reparto di ospedale, dove le procedure si devono adattare al qui-ed-ora del tipo di paziente, operatore e malattia. A livello estremo, abbiamo condizioni in cui i segnali sono altamente va-riabili, le prestazioni umane, tecnologiche, organizzative sono esposte a grandi cambiamenti e non è possibile ingabbiarle in procedure standard. A

152


questo livello le procedure non servono, o sono comunque limitate. Qui la variabilità è tale che non è possibile prevedere tutte le forme di interazione tra gli elementi del sistema e quindi la possibilità di risonanza inattesa è alta. In questa zona i segnali sono poco trattabili, nel senso che le proce-dure non possono limitarli nella loro variabilità. Ad esempio, un Pronto soccorso può spesso trovarsi in situazioni simili, dove non si può segui-re la procedura alla lettera, occorre gestire la varietà in modo flessibile e adattivo, proprio come nell’esempio della donna a rischio di distacco della placenta.

I sistemi complessi sono caratterizzati dalla presenza di tutti questi tipi di segnali, alcuni molto trattabili perché stabili, altri intrattabili per-ché variabili. Più il sistema è ricco di segnali intrattabili, più è esposto al rischio di risonanza e di incidenti, ma è proprio a questo livello che la prestazione umana, intesa come intervento di singoli, gruppi e orga-nizzazioni, può fare la differenza. Infatti, l’altra dimensione che caratte-rizza la matrice della sicurezza è definita da chi deve erogare risposte ai segnali deboli, se individui, gruppi o l’organizzazione. Ognuno di questi attori può trovarsi a gestire i vari tipi di segnali, potrebbe farlo in modo funzionale o meno. Una gestione è funzionale se l’attore è adeguato per gestire quel tipo di segnale. Ad esempio, se il medico di turno cerca di gestire da solo il segnale debole relativo alla procedura inadeguata, sen-za condividerlo con il gruppo di lavoro e poi con l’organizzazione, que-sta gestione sarà fallimentare, perché l’individuo non ha la capacità di attutire da solo tale variabilità. La combinazione di tipi di segnali (stabili o variabili) e di erogatori di risposte (dall’individuo all’organizzazione) genera uno spazio che per semplicità possiamo dividere in nove settori (fig. 8.2). In ognuno di essi vi sono elencate alcune caratteristiche che descrivono cosa può fare quel tipo di attore in base al tipo di segnale, al fine di promuovere la resilienza. Come indica la freccia sulla destra, il livello di impegno cognitivo, di gruppo e organizzativo cambia molto a seconda del tipo di segnali: quando sono stabili e trattabili l’impegno è ridotto, tutti lavorano nella routine e le procedure coprono ampiamente i margini di variabilità degli elementi del sistema. Quando sono intrat-tabili e molto variabili l’impegno è massimo, perché gli attori devono saper vedere i gorilla, capirne la natura, capire come variano e se quella variazione è un evento che potrebbe generare una risonanza funzionale. Devono poterne parlare, analizzarli e provare a gestirli pur mantenendo la loro operatività.

153


figura 8.2La matrice della resilienza

Il messaggio di fondo della matrice è che la vera resilienza si manifesta se tutti gli attori sono coinvolti nel modo opportuno e se si attua una circo-larità nel sistema che comincia dalle persone, nella loro operatività quoti-diana e routinaria, sale a livello di riflessione sulle procedure e sulla loro adeguatezza per la gestione di segnali variabili, si trova a prendere atto di variabilità ingestibili di cui occorre fare tesoro, si muove quindi a livello di gruppo condividendo in modo non colpevolizzante queste esperienze. Si decide, poi, se il tipo di segnale può essere gestito a livello di gruppo o se deve essere affrontato a livello organizzativo. In tal caso, l’organizzazione riceve questa varietà e la deve comprendere, studiare, attutirne la probabi-lità di risonanza. Si deve capire come contenerla adeguando le procedure o le barriere (fisiche, normative, tecnologiche) esistenti. Quindi il sistema si ritrova con procedure arricchite di nuova varietà e si deve occupare di trasferirle al gruppo e poi ai singoli, che verificheranno la loro applicabilità ed efficacia nella gestione dei segnali deboli. Col tempo la nuova varietà inserita nelle procedure e nelle barriere verrà normalizzata e verrà a far parte degli skills operativi del front-line.

154


Come vedremo qui di seguito, la resilienza sistemica si può favorire se si rispettano almeno queste sei condizioni:1. capacità di muoversi liberamente lungo la matrice;2. capacità di scegliere il livello appropriato in base al tipo di segnale;3. capacità di ottimizzare la varietà grazie alla mindfulness;4. capacità di condividere la varietà con gli attori opportuni;5. capacità di metabolizzare la varietà e controllare la variabilità delle pre-stazioni, grazie all’adattamento dinamico;6. capacità di verifica dell’efficacia dei nuovi adattamenti e normalizza-zione della varietà nelle operatività routinarie.

8.2.1. Capacità di muoversi liberamente lungo la matrice

Prima di tutto le persone e l’organizzazione devono essere in grado di muoversi ai vari livelli della matrice. I sistemi complessi sono ricchi di situazioni che richiedono una gestione di segnali più o meno variabi-li; quindi, proprio come le marce di un’automobile, le persone devono poter essere in grado di usare tutte le marce disponibili. Ricordiamo il modello srk, dove il livello Skill può essere adeguato alla gestione di segnali poco variabili e le procedure sono applicate in modo pressoché automatico. Quando i segnali si fanno più variabili possono continuare a essere gestiti dalle procedure, ma a questo livello è necessario un monito-raggio di tipo Rule, dove le persone valutano quando la procedura possa contenere tutta la variabilità della situazione. Vi sono, infine, situazioni dove la variabilità è tale che le procedure sono poco efficaci e rischiano di trascurare elementi importanti per prevedere la risonanza funzionale. Vediamo queste tre condizioni nella fig. 8.3. Naturalmente le procedure e le barriere alla risonanza dovrebbero riuscire a contenere l’emergere di situazioni di pericolo, ma i sistemi complessi sono caratterizzati da una forte presenza di variabilità e quindi è possibile che vincoli e regole non bastino a mitigare la risonanza. Ricordiamoci che una procedura potreb-be anche essere stata predisposta, ma non risultare applicata. Questo è comunque un segnale. Non basta limitarsi a dire che la procedura esiste e va applicata, bisogna capire perché non è stata seguita.

Esistono fattori interni o esterni che possono bloccare le persone a un livello e limitarle nel loro uso delle procedure. Tra i fattori interni possiamo citare la fatica e il carico di lavoro mentale. Quando siamo sovraccarichi o fisicamente affaticati, la mente tende a restare a livello Skill, perché gli automatismi sono il tipo di processo più economico dal

155


punto di vista del dispendio di risorse. In questi casi è possibile che un problema di tipo Rule o Knowledge sia affrontato a livello Skill, solo perché la persona non ha le energie per cambiare livello. Di natura simi-le sono gli effetti di stress e malessere, sia personale che organizzativo. In questo caso la mente della persona non si può dedicare all’analisi della situazione, non vedrà alcun gorilla intorno a sé, non coglierà va-rietà, perché i problemi personali o il malessere sul lavoro assorbiranno tutti i suoi pensieri e lascerà le risorse residue per l’attivazione degli automatismi. È questo il caso dell’infermiere che aveva chiesto il trasfe-rimento: si trovava in una condizione di malessere che lo faceva agire a livello Skill, non aveva saputo adattarsi all’incalzare dei pazienti e salire a livello Rule, cioè controllando in modo consapevole che la procedura di etichettatura della provetta del paziente A fosse completata. Un altro fattore di blocco interno potrebbe essere il panico: quando la persona si trova di fronte a una situazione nuova e dovrebbe agire a livello Know-ledge, ma non avendo sufficiente tempo, risorse, addestramento, agisce a livello Skill o Rule. È questo il caso dell’incidente accaduto al volo Swissair 111 nel 1998 (tsb, 1998), dove i piloti furono presi dal panico per lo scoppio di un incendio in cabina e non si resero conto della gravità della situazione, che richiedeva un salto a livello Knowledge. Attivarono quindi le procedure (livello Rule) per un atterraggio di emergenza, ma nel frattempo il fuoco aveva completamente compromesso la manovra-bilità dell’aereo facendolo precipitare. Un fenomeno simile è la perdita della consapevolezza situazionale, ossia il non saper percepire le infor-mazioni rilevanti intorno a sé, o il non capirle, o il non saperne preve-dere l’andamento nell’immediato futuro (Endsley, Garland, 2000). È ciò che accadde ai piloti del volo Air Transat 236 nel 2001 (gpiaa, 2004). Una grossa falla nel motore fece fuoriuscire tutto il carburante, ma i piloti erano convinti che si trattasse di un errore del computer, data l’anomalia dei segnali riportati. Solo quando rimasero senza carburante e l’aereo divenne un enorme aliante che planava a motore spento sull’oceano, si resero conto che erano rimasti bloccati a livello Rule quando invece avrebbero dovuto salire a livello Knowledge. Vi salirono quando i fatti furono incontrovertibili e riuscirono a planare verso le isole Azzorre con estrema abilità (e fortuna), eseguendo il volo planato con aereo com-merciale più lungo della storia (circa 180 km). Infine, l’eccessiva fidu-cia nelle proprie capacità o atteggiamenti da macho possono portare le persone a bloccarsi a livello Skill, perché ritengono di saper gestire la situazione grazie alla loro esperienza e abilità.

156


figura 8.3I tre livelli Skill, Rule e Knowledge, in base al tipo di variabilità dei segnali. I gorilla sono forme di variabilità che eccedono la normale area di pertinenza delle procedure o delle prassi condivise

In altre situazioni, vi possono essere fattori esterni alla persona, derivanti dalla cultura, dal clima organizzativo, dalle pressioni del gruppo, dei clien-ti, dei fornitori, delle leggi, dei mezzi di comunicazione. Ad esempio, la pressione commerciale e produttiva può bloccare le persone a sottostimare i rischi. Fu ciò che accadde al volo American Airlines 1420 (ntsb, 2001), quando i piloti decisero di tentare un atterraggio pur essendo superati i limiti di sicurezza, per via di due temporali che si stavano incrociando so-pra l’aeroporto. Anziché scendere a livello Rule e seguire le procedure di atterraggio in un aeroporto alternativo, provarono a correre il rischio a livello Knowledge, per evitare di perdere tempo e denaro della compagnia. Un altro esempio è la presenza di una cultura burocratica o fortemente normativa, che potrebbe bloccare le persone a livello Rule, anche quan-do, operando in un sistema complesso, si trovassero di fronte a situazioni di tipo Knowledge. L’effetto delle normative e la minaccia delle denunce possono bloccare gli operatori, specie in campo sanitario, dove talvolta si aderisce alla procedura o alla formalità, senza capirne il significato e solo per evitare conseguenze sul piano legale. La medicina difensiva nasce da questa minaccia legale ad opera di stampa, magistratura e cittadini, che porta i sanitari ad eseguire procedure inutili, non liberi di scegliere le pra-tiche più opportune per il paziente, ma piuttosto quelle che minimizzano i rischi per se stessi in termini legali.

157


8.2.2. Capacità di scegliere il livello appropriatoin base alla situazione

Non basta potersi muovere lungo la matrice se non si è capaci di scegliere il livello giusto. Una persona potrebbe trattare un segnale come molto va-riabile e ingestibile (livello Knowledge), quando in realtà sarebbe gestibile e il problema potrebbe essere affrontato a livello Rule, come è successo ai piloti del volo Swissair 111 citato prima. Come sappiamo, ogni livello cognitivo ha vantaggi e svantaggi: il livello Skill è veloce, economico, ma ri-gido; il livello Rule è flessibile e affidabile, ma lento e dispendioso; il livello Knowledge è creativo e flessibile, ma consuma tutte le risorse disponibili. Per scegliere il livello appropriato bisogna:1. identificare l’informazione utile nell’ambiente in modo da valutare correttamente la situazione: naturalmente bisogna sapere cosa guarda-re e dove guardare, se esistono i fattori interni o esterni elencati nel paragrafo precedente, non sarà possibile orientarsi sulle informazioni rilevanti;2. considerare le richieste cognitive necessarie per affrontare corretta-mente la situazione: ad esempio, in caso di controllo motorio basterebbe il livello Skill (guidare), in caso di decisione complessa sarebbe necessario salire a livello Rule o Knowledge (cercare una via in una città che non si conosce);3. valutare le risorse proprie e le opportunità del sistema per realizzare l’intenzione: una volta deciso il livello opportuno per il tipo di situazione, occorre valutare se sono disponibili risorse proprie o contestuali per la messa in atto. Ad esempio, durante un’emergenza in volo, un pilota potrà agire a livello Knowledge per capire cosa sta succedendo e trovare una so-luzione, l’altro pilota dovrebbe restare a livello Skill o Rule per mantenere l’aereo in condizioni di assetto e manovrabilità.

Un esempio di questa scelta inadeguata del livello operativo è l’inciden-te al volo Eastern Airlines 401 (ntsb, 1973). I piloti, in fase di atterraggio, attivarono il comando di apertura del carrello anteriore, ma la spia down and locked che segnalava la fuoriuscita del carrello non si accese. Il coman-dante disattivò inavvertitamente il pilota automatico e tutti si dedicarono a comprendere se il problema fosse nel carrello o nella spia malfunzionante (livello Knowledge) e nessuno si dedicò alla conduzione dell’aereo (livello Skill), né si accorse che l’aereo perdeva quota, pur sentendo il segnale di allarme di eccessiva prossimità al suolo, che avrebbe dovuto attivare una procedura di risalita (livello Rule).

158


Un esempio di successo, tanto per non citare solo eventi tragici, è il ben noto caso dell’Apollo 13. L’esplosione dei serbatoi d’ossigeno obbligò la nasa a rivedere completamente i suoi piani, passando dal livello Rule a quello Knowledge. L’obiettivo non era più andare sulla Luna, ma riportare i tre astronauti sani e salvi sulla Terra. Per fare questo, i tecnici di Houston adottarono una soluzione flessibile e creativa, rompendo le regole del li-vello Rule. Essi usarono il modulo lunare (pensato per il solo allunaggio) come unico propulsore disponibile per riportare gli astronauti nell’orbita terrestre. Questo ha richiesto che tutti riorganizzassero piani, schemi di lavoro e tempistiche per capire come usare il modulo lunare come una zattera di salvataggio.

8.2.3. Capacità di ottimizzare la varietà grazie alla mindfulness

Finora abbiamo visto che per rispondere in modo flessibile e resiliente alle condizioni di lavoro, individui e organizzazioni devono sapersi collocare al giusto livello di prestazione capendo il tipo di segnali che devono gestire. Vediamo ora più in dettaglio come la matrice può essere una base per pro-muovere la resilienza. Essa va letta come un ciclo che comincia dal livello individuale in cui si gestiscono segnali stabili a livello Skill, si passa quindi alla gestione di tipo Rule di segnali più variabili ma pur sempre controlla-bili, per finire a livello Knowledge, dove la persona gestisce variabilità tale che è sfuggita a barriere e procedure. Siamo di fronte a un gorilla. La pri-ma parte, l’ascesa da Skill a Rule e Knowledge, può essere riassunta con il termine mindfulness, che analizzeremo tra poco, e riguarda principalmente il livello individuale. A questo punto, però, la persona da sola non può gestire tale varietà e deve poterla condividere col gruppo di lavoro e poi, se necessario, anche a livello organizzativo. Questa seconda fase vede il passaggio di informazioni dal singolo al sistema tramite la comunicazione. Qui vanno studiati i segnali deboli e vanno trovati modi per gestire, conte-nere, attutire la risonanza. In questa terza fase l’organizzazione si mette in gioco e si analizza, cambiano le procedure e quindi si attua un adattamento dinamico di tipo organizzativo. La quarta fase consisterà nella verifica di applicabilità degli adattamenti (procedure rinnovate, barriere e vincoli più affidabili) da parte del gruppo e dei singoli; se tali adattamenti risulteranno efficaci verranno adottati e replicati finché, con addestramento e ripetizio-ne, non verranno a fare parte degli skills degli operatori.

Con il termine mindfulness ci possiamo riferire alla definizione data da Weick e Sutcliffe (2001, p. 42). Essa può essere intesa come la

159


combination of ongoing scrutiny of existing expectations, continuous refinement and differentiation of expectations based on newer experiences, willingness and capability to invent new expectations that make sense of unprecedented events, a more nuanced appreciation of context and ways to deal with it, and identifica-tion of new dimensions of context that improve foresight and current functioning. Mindfulness is a pre-occupation with updating.

In questa definizione vediamo alcuni elementi importanti. Troviamo un monitoraggio costante della situazione, delle aspettative delle persone, del-la volontà di utilizzare le nuove esperienze per arricchire i propri modi di pensare il sistema e dare senso al lavoro. Se la leggiamo nell’ottica della re potremmo dire che riguarda la capacità delle persone di notare la variabili-tà delle prestazioni, i segnali deboli sempre presenti, le possibili vibrazioni degli elementi del sistema per anticipare future risonanze. Una domanda chiave a questo livello è: come si può sapere se un segnale debole merita di essere notato e riportato? Non è possibile riportare ogni minimo segnale, ogni evento anomalo, perché ciò impedirebbe di lavorare e farebbe cadere le persone in una paranoica caccia ai gorilla. La risposta a questa domanda potrebbe essere il cuore della resilienza, almeno secondo questa prospetti-va. Non possiamo prevedere le dinamiche dei sistemi complessi, perché in quanto tali sono imprevedibili. Ma a livello locale possiamo notare oscilla-zioni, segnali deboli che, in base all’esperienza, risultano anomali. Proprio l’esperienza delle persone può aiutare ad alimentare quella necessaria im-maginazione dei possibili rischi. Solo la conoscenza del proprio contesto operativo, maturata grazie ad esperienza operativa e condivisione con i colleghi, può portare a sviluppare una sensibilità verso quei segnali che non saranno solo occasionali variazioni, ma indice che un elemento sta oscillando in modo preoccupante e potrebbe entrare in risonanza con altri elementi del sistema.

La mindfulness interpretata nell’ottica della matrice si articola in due fasi.1. Capacità di uscire dagli automatismi: abbiamo visto che il livello Skill è quello degli automatismi, della routine, della normale quotidiana ope-ratività. È il livello più semplice ed economico, dove ci piace stare e dove la mente scivola ogni volta che il contesto si fa ripetitivo e prevedibile. Gli incidenti e le anomalie sono eventi rari e quindi è assolutamente nor-male che la nostra mente, immersa in un contesto ripetitivo, costante e prevedibile, come sono molte attività lavorative, tenda a sottostimare la presenza di segnali deboli che rendono la situazione diversa rispetto alla norma. Qui si tratta di essere consapevoli delle vibrazioni di ogni elemen-

160


to, della prestazione variabile delle persone, che oscilla intorno al concetto astratto di “normalità”. Le persone non devono essere bloccate a livello Skill dai fattori visti in precedenza, ma l’abitudine, l’esperienza e la routine rischiano di smorzare questa capacità di aprire la mente verso i segnali deboli. Se le persone riescono a gestire questa tendenza a scivolare negli automatismi operativi, a mettere in dubbio che “la situazione è sempre la stessa”, che “basta fare come abbiamo sempre fatto”, riescono a salire di livello e a portarsi dal livello Skill a quello Rule, cioè a chiedersi in maniera consapevole se è davvero tutto sotto controllo, se la situazione è normale e se le procedure applicate sono quelle corrette e adeguate alla situazione. Ricordiamo il caso del marocchino ricoverato per dolore toracico: il me-dico cercava una frattura alle costole, non riusciva a vedere l’infarto; non riusciva a mettere in dubbio la sua prestazione e a chiedersi se la procedura fosse adeguata. 2. Sensibilità verso la varietà: i sistemi complessi hanno una forte com-ponente Knowledge, ossia presentano molte situazioni dove le procedu-re e le regole non sono perfettamente applicabili. Inoltre, le procedure sono astrazioni che dovrebbero semplificare la variabilità delle possibili situazioni. Gli operatori di sistemi complessi sanno che l’applicazione della procedura “alla cieca” è impossibile e rischiosa, perché è necessario l’adattamento locale, l’ottimizzazione al contesto specifico, alla situazione contingente. Sanno anche che talvolta le procedure sono aggiustate per comodità o abitudine, cadendo in quella che abbiamo definito normaliz-zazione della devianza: una lenta e inconsapevole deriva verso l’incidente. Ma anche quando la regola è applicabile e sicura, gli operatori dovrebbero sapere che i gorilla possono passare. La procedura richiede di contare i passaggi, e questo rende ciechi verso i gorilla. Allo stesso modo, le proce-dure potrebbero rendere ciechi verso quelle variabilità che circolano nel contesto operativo e che potrebbero evolvere e risuonare in un incidente. A questo livello, quindi, le persone possono salire da Rule a Knowledge e vedere i gorilla intorno a loro. È quello che è successo al medico quan-do non si è limitato ad operare secondo le sue procedure di tipo Rule, ma ha riservato attenzione anche all’infermiere affaticato che lavorava a livello Skill e scambiava le etichette dei pazienti. Il medico è salito a livel-lo Knowledge perché ha temporaneamente arricchito la sua procedura, vedendo nella distraibilità dell’infermiere un potenziale gorilla. Per fare questo ha speso energie mentali e non si può chiedere alle persone di fare tutto: risparmiare risorse, seguire le procedure e vedere i gorilla. La resi-lienza individuale è anche data, quindi, dalla capacità di capire quando è

161


opportuno salire a livello Knowledge, perché si intuisce che la situazione è troppo esposta al pericolo di risonanza di variabilità, e quando invece si può risparmiare risorse ed agire a livello Rule o Skill.

8.2.4. Capacità di condividere la varietà

Una volta notati i gorilla, gli operatori sono al livello più alto della ma-trice, sono a livello Knowledge, e questo è uno stato temporaneo e impe-gnativo. Non possono restare a quel livello per molto tempo ed è asso-lutamente necessario che il gruppo e poi l’organizzazione intervengano. Perché le persone, da sole, non hanno il potere, la conoscenza, la capacità di gestire i segnali deboli e la loro interazione a livello di sistema. Le per-sone sono i sensori dei segnali deboli, ma poi questi vanno gestiti a livello organizzativo. Se le persone restano da sole, con i loro segnali deboli, senza poterli condividere, subentrano disfattismo, impotenza appresa, malessere organizzativo; proliferano la cultura della colpa e il cinismo organizzativo. Immaginiamo la solitudine di una persona che subisce il peso dei suoi gorilla e non li può condividere, non può liberarsi dal ca-rico delle anomalie che ha notato e che teme possano risuonare in un incidente. Se sussistono queste condizioni organizzative una delle conse-guenze più probabili è che la persona blocchi il ciclo lungo la matrice e non proceda al trasferimento delle informazioni a livello di gruppo e poi di organizzazione. La persona cercherà il suo modo di gestire la variabi-lità, ma questo impedirà al sistema di imparare e soprattutto non renderà la persona più sicura. Le variabilità potrebbero risuonare in modi che sfuggono al singolo operatore e quindi, per quanto lui potrebbe pensare di aver gestito i suoi gorilla, egli non avrebbe una visione d’insieme tale da capire se qualcosa gli è sfuggito.

Naturalmente la segnalazione non sarà solo relativa a incidenti e quasi incidenti, ma piuttosto sarà mirata ad agire in modo proattivo sui segnali deboli. Abbiamo visto che la piramide degli incidenti ha un limitato valore descrittivo per quanto riguarda i sistemi complessi, laddove è possibile che si evolva dai segnali deboli agli incidenti, senza passare attraverso i qua-si incidenti. È quindi opportuno che l’organizzazione crei quella cultura giusta, non giudicante, che faccia sentire le persone libere di segnalare le anomalie senza timore di vedersi coinvolte in dinamiche punitive. Prima il gruppo dei pari, e poi l’organizzazione, devono essere capaci di ascoltare i lavoratori e dare dignità alle loro segnalazioni. Ecco, quindi, che a questo livello della matrice è fondamentale utilizzare canali comunicativi forma-

162


li e informali per trasferire le informazioni a livello di gruppo e poi, se necessario, di organizzazione. Per canali formali si intendono strumenti e metodi definiti a livello aziendale che facilitino il confronto aperto e non giudicante, ad esempio riunioni per la sicurezza, sistemi di reporting, audit ecc. A livello informale è necessario che il gruppo senta la fiducia reciproca di potersi aprire al confronto e alla condivisione, fosse anche in momenti informali come il cambio turno, le pause di lavoro, momenti di incontro al di fuori dell’azienda. In base al tipo di problema si può va-lutare se la gestione compete al gruppo o merita di essere estesa a livello organizzativo. Più la situazione è complessa e interessa attori diversi, più è probabile che si debba trasferire a livello organizzativo per una revisione delle procedure, dei vincoli e delle barriere che non hanno saputo conte-nere quella variabilità.

Tutto il sistema si trova ora a un livello di impegno elevato, l’analisi del-le variabilità è difficile, richiede risorse ed è importante dare risposte effi-caci, veloci, credibili, commisurate al problema. Questo livello è Knowled-ge, c’è il massimo contributo attivo delle persone e anche l’organizzazione è sottoposta a grande attività. Qui si tratta di gestire nuove informazioni, saperle ascoltare, capire, e dare risposte adeguate. I sistemi di reporting dei segnali deboli sono uno strumento complesso da sviluppare, perché i segnali deboli sono sicuramente maggiori, come numero, dei quasi eventi o degli incidenti, e quindi chi si fa carico di raccogliere le segnalazioni rischia di essere sommerso di informazioni. Talvolta le informazioni saranno inu-tili, saranno falsi allarmi, e questo fa parte del gioco, perché un segnale de-bole è ambiguo per definizione; se la sua natura maligna fosse chiara, non sarebbe un segnale debole. Questo è un altro elemento di difficoltà, perché se gli operatori non sanno bene cosa riportare e caricano il sistema di dati da analizzare, è necessario che l’organizzazione si doti di una strategia di allocazione di priorità, per capire quali segnali sono più rilevanti e quali meno. Una volta classificati i segnali vanno gestiti, ma anche in questo caso, essendo fenomeni complessi, non è facile capire le possibili connessioni tra i segnali, come questi possano risuonare. Infine, dopo una segnalazione è assolutamente necessario che le persone che hanno segnalato ricevano un feedback che faccia capire che il loro sforzo è stato accolto e apprezzato. Il feedback potrebbe già indicare come il sistema intende muoversi rispetto alla segnalazione; e se l’informazione non risulta pertinente, va comunque riferito all’operatore. Per due motivi: prima di tutto un feedback è dovu-to, anche in caso di falso allarme, spiegando perché è un falso allarme. In secondo luogo l’operatore imparerà ad aggiustare il tiro sui futuri segnali

163


deboli, se conosce i criteri che guidano l’organizzazione verso l’analisi di tali segnali. Queste fasi sono molto delicate, perché si rischia di scontrare visioni, aspettative, logiche e bisogni di livelli diversi del sistema. Ciò che è rilevante per alcuni operatori di prima linea potrebbe non esserlo per i dirigenti. Ripensiamo al caso del medico di guardia che ha violato una procedura che riteneva non sicura. In quel caso i medici hanno segnalato il gorilla, ma i loro interlocutori non lo hanno riconosciuto come tale. Ciò che è mancato, in questo evento, è la spiegazione delle rispettive posizioni. È possibile che quello che sembra un rischio se visto da una prospettiva, non lo sia da un’altra, e non è detto che la ragione sia solo da una parte. La comunicazione e il confronto aperto dovrebbero aiutare ad uscire da questo stallo.

8.2.5. Capacità di adattamento dinamico

Grazie alla capacità di tutte le persone che formano il gruppo di lavoro, il sistema ha acquisito nuova varietà, nuove informazioni sulla variabilità delle prestazioni e sui segnali deboli che si possono annidare nell’opera-tività quotidiana. Una volta acquisita varietà, proprio come un organismo biologico, il sistema la deve metabolizzare, ossia la deve scomporre per estrarne gli elementi che gli permetteranno di costruire nuova e più solida organizzazione e adattamento. L’adattamento dinamico comporta un ar-ricchimento degli schemi e delle procedure che può essere messo in atto solo se il sistema è flessibile e disposto al cambiamento. Un’organizzazione orientata alla sicurezza possiede la cultura dell’apprendimento e della fles-sibilità, vuole acquisire nuove informazioni e si sa adattare in base ad esse. Una volta acquisiti i segnali deboli, la varietà viene incamerata in nuovi schemi, cioè nelle procedure. Questo aiuta il passaggio dal livello Know-ledge a quello Rule. Il rapporto tra procedure e segnali deboli può portare a due tipi di conseguenze: la regola può essere estesa o limitata. Nel primo caso, i segnali deboli dimostrano che la regola non copre tutte le possibilità ed è meglio arricchirla per poter gestire le situazioni riscontrate. Ad esem-pio, nel caso dell’infermiere che scambia le etichette, si potrebbe aggiun-gere una forma di controllo incrociato con un collega, una checklist, uno spazio di attesa tra un paziente e l’altro che permetta di controllare i dati ecc. Nel secondo caso, invece, si nota che la regola andrebbe limitata per-ché in alcune circostanze non è completamente applicabile. Ad esempio, malgrado il sorpasso in autostrada sia sempre consentito a patto che la cor-sia di sorpasso sia libera e la linea di mezzeria sia discontinua, l’esperienza

164


insegna che bisognerebbe evitare di sorpassare i camion in prossimità degli imbocchi dai caselli, dove un’auto potrebbe invadere improvvisamente la carreggiata di marcia e obbligare il camion che sorpassiamo a sterzare a sinistra verso di noi. Il passaggio da Knowledge a Rule è di competenza dell’organizzazione, perché solo a quel livello si possono vedere dinami-che che ai livelli operativi potrebbero sfuggire, come nuove procedure, ad esempio, potrebbero influire sul lavoro di altri reparti.

8.2.6. Capacità di verifica e normalizzazione degli adattamenti

Naturalmente le procedure ottimizzate non vanno decise in modo autori-tario, ma costruite con la collaborazione dei diretti interessati, che in que-sto modo si sentiranno riconosciuti nel loro ruolo di sensori della varietà e saranno motivati a seguire le nuove procedure, perché nate anche dalle loro iniziative. Il ruolo del gruppo a questo livello è molto importante per-ché aiuta a capire come e quanto le procedure e le barriere sono adeguate per il contenimento della risonanza e quanto sono applicabili nella routine quotidiana. Una procedura inapplicabile o insensata non solo è inutile, ma è anche pericolosa, perché aumenta la frustrazione degli operatori e, di conseguenza, il loro cinismo verso l’organizzazione e la sua capacità di reale ascolto.

Una volta che i nuovi adattamenti sono stati verificati nella loro ap-plicabilità, sono stati accettati dagli operatori, vengono adottati a livello di operazioni di routine. Il sistema è sceso da Knowledge a Rule e qui ha trovato nuovi adattamenti per poter contenere i gorilla, gestire la varia-bilità con barriere di vario tipo (procedure, controlli, barriere fisiche). Le energie spese sono state molte e a questo punto il sistema deve an-dare a regime con l’adozione delle nuove procedure. All’inizio non sarà semplice, perché l’adattamento richiede tempo e risorse. Sviluppando percorsi di addestramento, verificando come e quanto le nuove procedu-re permettono la gestione della variabilità al fine di evitare la risonanza funzionale, il sistema potrà scendere dal livello Rule a quello Skill. Col tempo il sistema opererà secondo le nuove regole e queste saranno adot-tate dagli operatori senza eccessivo sforzo, perché saranno entrate nella routine. Il ciclo è tornato così a livello Skill e il sistema è pronto per la ricerca di nuova varietà. Solo la fluida circolazione lungo la matrice può garantire un’effettiva resilienza del sistema, che sarà in grado di cercare e raccogliere varietà, da un lato, e metabolizzarla adattandosi in modo dinamico, dall’altro.

165


8.3Vedere i gorilla e fare il proprio lavoro è possibile

Una possibile obiezione a questo modello è che le persone non possono passare il tempo a cercare gorilla, hanno un lavoro da svolgere e le risor-se sono limitate. In parte è un’obiezione condivisibile, anche se rischia di cadere nella già citata divisione tra lavoro e sicurezza, delegando quest’ul-tima a tecnici e preposti. La sicurezza nasce dentro ogni membro del si-stema e sarà sostenuta in modi e tempi diversi in base ai livelli e settori, ma ogni parte del sistema ne deve essere ispirata. Inoltre, non è vero che vedere i gorilla distoglie dal lavoro. Una volta che il segnale debole è stato amplificato e condiviso, esso non sarà più difficile da notare e le persone potranno notarlo senza problemi. La dimostrazione cognitiva di tale capa-cità si può trovare nel filmato del gorilla. Una volta che le persone sanno del passaggio del gorilla, non hanno problemi a contare i passaggi (fare il proprio lavoro) e vedere il gorilla (il segnale debole). Allo stesso modo, se guardiamo la fig. 8.4, che riprende il gioco presentato nel cap. 2, ci risulta quasi impossibile non notare i due errori di ripetizione nel testo, anche per coloro che non li hanno notati la prima volta.

figura 8.4Adesso è facile trovare gli errori

Ma forse a qualcuno sarà sfuggito che i numeri 5 e 6 sono scambiati di posto, e magari altri non avranno notato gli errori nelle parole “propio” e “concertrati” nel testo. Esattamente come nei sistemi complessi, le anoma-lie sono tante e sono variabili. Una volta visto un segnale debole non è pos-

166


sibile adagiarsi sul successo e pensare che la sicurezza sia stata garantita. La sicurezza è un processo e non uno stato, la sicurezza non si ottiene come risultato di una procedura, ma la si promuove, la si sviluppa, la si mantie-ne. E alcune persone vedranno certi segnali deboli, altre vedranno segnali diversi. Ognuno porterà un pezzo di storia, un pezzo di una realtà che esiste solo nella condivisione. Nessuno sarà mai capace di vedere e gestire ogni segnale debole nel sistema complesso: se lo potesse fare, il sistema non sarebbe complesso. Grazie alla matrice come base per la resilienza è possibile far emergere la sicurezza, proprio come emergono gli incidenti, dalla risonanza positiva e virtuosa degli elementi costitutivi del sistema. Una risonanza che deriva dalla capacità di ogni elemento di giocare la pro-pria parte nella gestione della complessità.

8.4Come rendere la sicurezza una risonanza virtuosa

Esponendo il concetto di risonanza funzionale, abbiamo detto che la sicu-rezza potrebbe nascere dalla creazione di barriere che potrebbero assor-bire, smorzare la variabilità degli elementi ed evitare quindi che entrino in risonanza. Ma abbiamo anche detto che la sicurezza stessa potrebbe essere una forma di risonanza virtuosa, che nasce grazie alla fluida circo-lazione lungo la matrice rappresentata dal modello srk. Vediamo in breve cosa potrebbe attutire questa risonanza virtuosa e come invece rimuovere queste barriere. Le barriere potrebbero essere rappresentate dalle tre note scimmiette che si chiudono occhi, orecchie e bocca, col motto “non vedo, non sento, non parlo”.

Le persone potrebbero chiudersi gli occhi e non vedere i segnali de-boli, potrebbero lavorare secondo routine o procedure, senza dare im-portanza alla variabilità delle prestazioni, ai segnali-gorilla che circolano nel loro contesto. I gruppi di lavoro potrebbero non parlare, non co-municare, non raccogliere informazioni utili alla resilienza del sistema. Questo mutismo deriva da una cultura della colpa, dove vige l’omertà e dove i sistemi di segnalazione sono poco utilizzati, dove non c’è nulla da comunicare, nulla da segnalare, perché meno si comunica meglio è. L’or-ganizzazione nel suo complesso, i dirigenti, potrebbero essere incapaci di sentire, di ascoltare il malessere, di mettersi nei panni dei lavoratori capendo i fattori contestuali che li portano ad agire in certi modi. Sareb-be un sistema privo della cultura dell’apprendimento e della flessibilità, dove i livelli operativi sono vissuti come diversi dal gruppo dirigente e

167


amministrativo, con logiche e bisogni diversi, incomunicabili. Un siste-ma dominato dalla sindrome del “non vedo, non sento, non parlo” è destinato al collasso, perché blocca la circolazione della varietà e inibisce l’adattamento dinamico. Vediamo ora come contenere questa sindrome, quali competenze sono necessarie.

8.5Le competenze non tecniche per la resilienza

Negli ultimi anni la ricerca nel campo della sicurezza, e non solo, ha dimo-strato che gli operatori devono possedere adeguati livelli di preparazione sia per quanto riguarda le competenze tecniche, sia per quelle cosiddette non tecniche. Le competenze tecniche sono quelle relative alla specificità del proprio lavoro: il saper fare una diagnosi per un medico, il condurre un aereo per un pilota, il saper gestire il traffico aereo sui cieli di un ae-roporto per un controllore di volo. Ma queste competenze non bastano per garantire la sicurezza del sistema, per tutti i motivi visti nelle pagine precedenti. La sindrome del “non vedo, non sento, non parlo” non viene scongiurata dalle competenze professionali degli operatori. Ecco quindi che si dimostrano rilevanti le competenze non tecniche: capacità “trasver-sali” di relazione, comunicazione, decisione, leadership, che permettono l’applicazione delle competenze tecniche in modo integrato fra i vari li-velli del sistema (Flinn, O’Connor, Crichton, 2008). Possiamo dire che tali competenze non tecniche sono ciò che facilita la risonanza virtuosa, perché aiutano le persone nella circolazione lungo la matrice della resilienza. Pro-viamo ora a ripercorrere le principali competenze non tecniche, muoven-doci lungo la matrice.

Gestione dello stress e del carico di lavoro: siamo a livello Skill e in questa fase le persone rischiano di restare bloccate negli automatismi. La gestione dello stress può, quindi, aiutare gli operatori a non cadere nell’ipersemplificazione delle situazioni. Sotto stress le risorse mentali e fisiche sono limitate e quindi è naturale tendere a utilizzare modalità au-tomatiche di comportamento, anche quando non sarebbero opportune. Il caso dell’infermiere che scambia le etichette ci racconta proprio un tipico errore a livello Skill indotto probabilmente da una condizione di stress o malessere lavorativo. Il tema dello stress da lavoro e quello del benesse-re nelle organizzazioni sono di grande attualità in Italia, vista la recente normativa. Questa potrebbe essere occasione per un serio intervento, ma il rischio è che in molti casi la valutazione dello stress sia concepita e con-

168


dotta esattamente come la verifica degli estintori o la messa a norma delle sedie ergonomiche. Lo stress si lega al lavoro per come viene vissuto, per come le persone sanno creare un senso rispetto a ciò che fanno. Più sen-tiranno di essere parte di un sistema alieno, maggiore saranno lo stress e il malessere. Il malessere porta alla chiusura, al ritiro motivazionale, alla limitazione delle proprie attività a ciò che è obbligatorio fare, senza conce-dere nulla di più ad un sistema che sembra mosso da logiche estranee alla persona. Non è possibile promuovere la resilienza se prima non si ha cura del benessere delle persone, altrimenti il malessere stesso diventerà motore di quelle oscillazioni pericolose del comportamento che andranno in riso-nanza funzionale con altre forme di varietà, fino all’evento avverso. Avere cura di stress e malessere permette, quindi, alle persone di sbloccarsi dal livello Skill o Rule e le aiuta a vedere i segnali deboli intorno a loro. Stessa cosa accade per quanto riguarda il carico di lavoro. Se gli operatori sono spinti a gestire carichi troppo elevati, prima o poi adotteranno comporta-menti ispirati dal principio etto, di massimo risparmio delle risorse, anche a costo di erodere la sicurezza.

Consapevolezza situazionale: la capacità di cogliere elementi significativi nel proprio ambiente, di comprenderli in un quadro coerente di significato e di saperli proiettare nell’immediato futuro è stata chiamata consapevo-lezza situazionale (Endsley, Garland, 2000). Siamo al livello Rule, dove le persone capiscono la situazione e adottano la procedura più idonea. Per fare questo però devono sapere dove guardare, che tipo di informazioni valorizzare. L’esperienza aiuta gli operatori a cercare nei punti giusti, a condizione però che il sistema sia rimasto invariato, altrimenti l’esperienza e le conseguenti aspettative si baserebbero su un modello di sistema che nel frattempo è cambiato. La consapevolezza della situazione aiuta a non ragionare per schemi predefiniti, ma a capire come e cosa varia nella spe-cifica circostanza: in altri termini, aiuta a valorizzare la varietà. Grazie ad essa, quindi, è possibile salire da Rule a Knowledge, avendo notato segnali deboli che potrebbero evolvere in qualcosa di pericoloso.

Comunicazione: una volta giunti in cima alla matrice, le persone devo-no poter condividere le informazioni che hanno notato. A questo livello sono fondamentali competenze comunicative nel gruppo di lavoro, perché la persona che riporta i segnali è portatrice di una varietà che forse solo lei ha visto; occorrono quindi ascolto empatico, sospensione del giudizio, valorizzazione delle differenze, capacità di fornire feedback facilitanti. Ri-cordiamo che in questa fase, quando una persona riporta un’anomalia, è necessario stare attenti a non cadere nelle trappole del senno di poi, del

169


lieto fine, della simmetria, della conferma o del “ma se…”. Il rischio è di rompere la comunicazione con l’operatore e compromettere la sua fiducia. Ad esempio, uno strumento che sembra dare risultati interessanti in me-dicina si chiama Significant Event Audit (Bowie, Pringle, 2008). Per ogni evento significativo (positivo o negativo che sia) si conduce una riunione con tutti i possibili interessati al fine di trovare soluzioni e miglioramenti. Ciò che rende lo strumento efficace è proprio la capacità di comunicare senza inibire le persone coinvolte, senza suscitare difese o blocchi. Usato come uno strumento di indagine investigativa perderebbe il suo potenziale e aumenterebbe il senso di chiusura degli operatori. La comunicazione efficace fa sentire che chi ha riportato un segnale debole viene ascoltato e questo produce effetti positivi nel suo contesto. Ognuno diventa portatore di informazione e costruttore di resilienza. In tal modo, si combatte uno dei peggiori mali delle organizzazioni, il senso di impotenza appresa, che nasce nelle persone quando esperiscono ripetutamente che i loro sforzi per migliorare la situazione sono vani e restano soli nella condizione di fatica, finché accettano passivamente la situazione pensando che non vi sono ri-medi, anche quando, forse, ve ne sarebbero le possibilità. L’impotenza ap-presa che nasce da una comunicazione disfunzionale porta a tre forme di ritiro: motivazionale (le persone perdono la spinta a fare il loro lavoro, non cercano di migliorarsi), emozionale (le persone sono impaurite, bloccate, impotenti, sole e inermi), cognitivo (le persone non usano le proprie risor-se in modo efficace, non ci credono più, operano in modo approssimativo e rudimentale, perché hanno esaurito forze e spinte interne).

Lavoro di gruppo: il sistema deve scendere da Knowledge a Rule, bi-sogna capire cosa fare delle informazioni raccolte, come inserire la nuova varietà all’interno degli schemi preesistenti, arricchendoli. È necessario un lavoro di gruppo, dove tutte le parti si sentano capaci di portare un con-tributo, comunicando apertamente soluzioni senza pregiudizi e chiusure. All’inizio della discussione è probabile che le soluzioni proposte siano adat-te a rispondere ai bisogni di una parte, ma non di tutti. Il lavoro di gruppo aiuta i membri a sentirsi attivi sensori di varietà sia nella fase di “caccia ai gorilla”, sia in quella di gestione dei segnali deboli. Per poter realizzare tale integrazione tra operatori ci vogliono fiducia, obiettivi condivisi, capacità di condividere aspettative e bisogni. Il gruppo è la dimensione intermedia tra individuo e sistema ed è spesso ciò in cui la persona trova il suo benes-sere, se sente che il sistema organizzativo è troppo lontano e articolato per poter interagire con esso. Il gruppo protegge e motiva, fa sentire che non si è soli in questa gestione complessa dei segnali deboli.

170


La presa di decisioni: la nuova varietà deve essere metabolizzata in procedure o barriere di vario genere; occorre quindi decidere le soluzio-ni migliori, sapendo che non è facile prevedere come e quanto le solu-zioni saranno efficaci, perché le dinamiche sono complesse e imprevedi-bili. Occorre immaginare come la decisione si riverbera sul lavoro degli operatori, quanto sarà applicabile, come verificarlo e come monitorare l’efficacia delle soluzioni. In questa fase è fondamentale ascoltare coloro che saranno interessati dalle decisioni, perché nuove barriere portano con sé altra varietà, e quindi altri potenziali segnali deboli. Sentendo il punto di vista degli operatori è possibile anticipare gli effetti delle decisioni sulla linea operativa. In aggiunta, sarebbe auspicabile che le decisioni fossero prese insieme agli operatori che le dovranno applicare, perché la motivazione a rispettare le decisioni sarebbe intrinseca, cioè fondata su bisogni e valori interni alle persone e non solo estrinseca, imposta dall’esterno grazie al potere istituzionale. Se le decisioni saran-no accettate e praticate, e col tempo diverranno parte integrante del lavoro, si sarà tornati al livello Skill. Pronti per cercare nuova varietà e ricominciare il ciclo.

Leadership: per quanto possa sembrare specifica del livello organiz-zativo, questa competenza non è collocabile ad uno specifico livello del-la matrice, ma potrebbe invece essere vista come il motore che avvia e sostiene la circolazione delle informazioni. Si tratta della leadership di chi crede nella resilienza e nel potere del gruppo di lavoro come base da cui nasce la sicurezza. Essa facilita la cultura della sicurezza, stimolando una cultura dell’apprendimento, della flessibilità, del reporting, una cul-tura giusta orientata alla condivisione delle informazioni, che è consape-vole delle differenze tra lavoro progettato e lavoro realmente eseguito. Sa dove si spinge il sistema, sa quali derive si stanno subendo e cerca di controllarle. È una leadership non autoritaria, né passiva. Sa proporre con fermezza la sicurezza come impegno di tutti, dà a tutti un posto in questa ricerca di risonanza virtuosa. Facilita il sistema verso la resilien-za, sa adottare quella necessaria immaginazione, si mette in discussione e accetta punti di vista scomodi. È la leadership di chi pensa al sistema, ma vede le persone, di chi si fa carico di dare un senso alle attività. Si preoccupa che il senso attribuito alle attività sia funzionale al disegno dell’organizzazione, dove la sicurezza non sia un orpello aggiunto per legge, ma un valore imprescindibile, un modo di essere. È la leadership di chi è convinto che la sicurezza nei sistemi complessi sia una questione altrettanto complessa e che possa nascere solo da strategie complesse

171


che vedono coinvolti tutti gli elementi del sistema e valorizzati nelle rispettive competenze, perché questo non-evento dinamico possa emer-gere dall’interazione virtuosa dei suoi componenti. È una leadership che ha capito che la sicurezza non si vede, non si installa, né si misura, ma si promuove dall’interno.

173

9

Conclusioni

Questo libro è nato per fornire materiali di riflessione su come promuo-vere la sicurezza nei sistemi complessi. La parola promozione non è ca-suale. Fa riferimento al movimento in avanti (pro-movere), al far progre-dire, allo stimolare, provocare un cambiamento, ma anche al far salire di livello, al dare dignità a qualcuno o qualcosa. La sicurezza si pro-muove, perché nasce, emerge, dal movimento imposto dai comportamenti co-ordinati di molte persone in interazione con un ambiente tecnologico, normativo, sociale. È un movimento che deriva dalla fluida circolazione lungo la matrice della resilienza, vista nel cap. 8. È anche un movimen-to che nasce dalla stimolazione degli elementi costitutivi, dall’intervento facilitante di una leadership sensibile alla sicurezza proattiva, che è in grado di far vibrare gli elementi in modo virtuoso. Essendo movimento, se ne intuisce la natura dinamica: non è uno stato, ma un processo che può fluttuare, conoscere momenti di rapida accelerazione e momenti di resistenza al cambiamento. Infine, la promozione rimanda all’idea di gra-tificazione, di elevazione di livello e di dignità. È un modo per dare im-portanza alle persone e alla loro salute e benessere nei luoghi di lavoro, per dare dignità al loro impegno per la sicurezza e per il miglioramento del sistema nel suo complesso.

Abbiamo visto che la sicurezza nei sistemi socio-tecnici complessi richiede l’adozione di nuovi punti di vista, perché occorre superare ap-procci nati per indagare sistemi di natura diversa rispetto agli attuali. I sistemi moderni sono caratterizzati da forte interconnessione e scarsa con-trollabilità, sono sistemi dove le variabilità (le forze entropiche, secondo una terminologia delle teorie dei sistemi complessi) sono elevate e non è possibile controllare tutto mediante procedure, regole e automazione. In questi sistemi la variabilità degli elementi attivi può risuonare in modo tale da generare anomalie che, per effetto della stretta interconnessione, si

174


riverberano in tutto il sistema e divengono incidenti. La variabilità, quin-di, potrebbe sembrare nemica della sicurezza, se la vedessimo solo come fonte di risonanza e di incidenti. La tesi di questo libro è che la variabilità può essere anche la fonte della sicurezza, se gestita in modo opportuno. Dando potere alle persone, rendendole sensori di varietà e mettendo in circolazione le informazioni sui segnali deboli. Solo così si possono dare risposte forti ai segnali deboli, solo dando importanza alla varietà nelle sue prime fasi di sviluppo, nel comportamento degli operatori e nei loro am-bienti di lavoro. Ecco giustificato l’ampio approfondimento sulla nozione di errore umano e sulle dinamiche cognitive sottostanti i comportamenti erronei. Conoscere euristiche e razionalità limitata non significa fare i conti con i nostri difetti, ricadendo nella solita caccia al colpevole, ma significa conoscere la nostra natura e le dinamiche mentali che ci caratterizzano. Progettando barriere, contesti, procedure, è quindi opportuno conoscere i margini di variabilità umana, affinché questi non entrino in risonanza con le caratteristiche dei contesti operativi e portino all’incidente. Ci definiamo limitati solo comparandoci a un elaboratore elettronico, a una macchina o a un sistema perfettamente logico e razionale; noi non lo siamo non perché manchevoli, ma perché diversi. La sicurezza che nasce dalle persone punta sulla loro variabilità, sulla loro sensibilità nel notare segnali deboli, abilità che nessuna macchina saprebbe emulare.

Non è facile dare importanza alla varietà quando è sotto forma di se-gnali deboli, perché è nascosta nelle operatività quotidiane e rischia di es-sere trascurata per dare priorità alle urgenze che spesso avviluppano le organizzazioni. Ma la saggezza nasce anche dal saper distinguere le cose importanti dalle cose urgenti, perché se le cose urgenti hanno sempre il sopravvento, le cose importanti saranno trascurate. La sicurezza è una cosa importante che è auspicabile non diventi mai urgente, perché se lo fosse potrebbe essere già compromessa. È bene che la sicurezza resti una cosa importante, che non si dà per scontata solo perché non la si vede o non la si misura.

L’esperimento del gorilla dimostra che spesso non vediamo informa-zioni che sono davanti ai nostri occhi, solo perché non siamo pronti a co-glierle. Questo libro ha voluto fornire degli strumenti per vedere queste in-formazioni e farle risuonare in modo virtuoso. Per poterle vedere occorre essere pronti, perché non basta sapere che ci sono, occorre anche saperle cogliere e gestire. Non basta dare potere di parola agli elementi del siste-ma, bisogna sapere come farli parlare senza produrre una babele di parole. Prendiamo a prestito dalla mitologia greca un’immagine che ben descrive

175

9. conclusioni

questa condizione. Il tempo è un concetto che è stato rappresentato in due forme: Chronos, come tempo cronologico, flusso lineare e ordinato degli eventi, e Kairos, il tempo del momento opportuno, il momento in cui accade qualcosa di speciale. Esso rappresenta un’apertura temporanea e fugace attraverso la quale, se colta, vi è un passaggio verso stati superiori di realizzazione. Vediamo una rappresentazione del Kairos nella fig. 9.1.

Come si vede, Kairos è un dio alato e ha anche le ali ai piedi; esso corre veloce e non è facile vederlo. Ma il particolare più curioso della sua iconografia è il lungo ciuffo di capelli sulla fronte, a dispetto di una nuca completamente calva. Questo significa che il momento opportuno non si può afferrare quando lo si vede sfrecciare davanti ai propri occhi, perché le nostre mani scivolerebbero sulla nuda pelle della nuca. L’unico modo per cogliere questo tempo dell’opportunità è saperlo anticipare, vederlo arrivare e prepararsi ad afferrarlo per la fronte, prendendo quel ciuffo che gli fluttua davanti al viso.

figura 9.1Una rappresentazione del Kairos scolpito da Lisippo (Museo dell’Antichità, Torino)

176


Non è questo un libro sulla mitologia greca e le interpretazioni potrebbero essere imprecise. Ma ciò che importa di questo mito è il suo potere comu-nicativo, estremamente attuale e pertinente col tema della sicurezza. Non possiamo parlare di sicurezza e promuoverla se aspettiamo che ci passi davanti l’opportunità. Essa va attesa, va preparata. La sicurezza va vista in anticipo con gli occhi pronti di chi sa che il tempo per promuoverla è un tempo fugace ed effimero. È fatto di tanti momenti apparentemente banali, che formano le giornate nei luoghi di lavoro, un tempo in cui la deriva potrebbe essere in atto e andrebbe colta prima del disastro. Bisogna sapere dove guardare e cosa guardare, altrimenti i segnali deboli, i Kairos, i gorilla, la varietà (tutti sinonimi), passeranno davanti ai nostri occhi e la finestra del tempo giusto per la resilienza sarà chiusa.

Il concetto di opportunità potrebbe essere ambiguo, perché il mito di Kairos non significa che dobbiamo cogliere tutte le opportunità. Allo stesso modo abbiamo detto che sarebbe impossibile dare rilevanza a tutti i segnali deboli. Non esiste il tempo giusto in assoluto, così come non esiste il segnale opportuno in assoluto. Il tempo è giusto, è opportuno, in base a chi lo sta cogliendo, alla sua natura, alle sue aspettative, bisogni, risorse. I segnali deboli sono rivelatori di varietà e di resilienza in base allo specifi-co sistema. Ecco perché non abbiamo elencato i segnali deboli da notare, non sarebbe stato un elenco utile per altri se non per chi ha il punto di vista di chi lo scrive. Più che elencare i segnali deboli, il volume ha avuto l’ambizione di indicare come cercarli e come gestirli, ma ogni sistema ha la sua storia, le sue dinamiche, i suoi segnali deboli. Ecco il senso della con-vinzione che la sicurezza nasce da dentro. Non è sopra, non è fuori, non è sotto, né davanti, né dietro le persone. La sicurezza è dentro i sistemi, è negli occhi di chi la cerca, nella forza di chi la pro-muove.

177

Bibliografia

aci-istat (2012), Rapporto incidenti stradali 2011, in http://www.aci.it/fileadmin/documenti/notizie/Comunicati/Incidenti_2011_Rapporto_aci_istat.pdf (consultato il 5 gennaio 2013).

adamski a. j., westrum r. (2003), Requisite Imagination: The Fine Art of Anticipating what Might go Wrong, in E. Hollnagel (ed.), Handbook of Cognitive Task Design, Lawrence Erlbaum Associates, Hillsdale (nj).

adebisi o., sama g. n. (1989), Influence of Stopped Delay on Driver Gap Acceptance Behavior, in “Journal of Transportation Engineering” 3, 115, pp. 305-15.

alderson d. l., doyle j. c. (2010), Contrasting Views of Complexity and their Implications for Network-centric Infrastructures, ieee Transactions on Systems, Man and Cybernetics – Part A: Systems and Humans, 40, 4, pp. 839-52.

amalberti r. (2001), The Paradoxes of Almost Totally Safe Transportation Systems, in “Safety Science”, 37, pp. 109-26.

ansv (2008), Incidente occorso all’aeromobile atr 72, marche ts-lbb, ammaraggio al largo di Capo Gallo (palermo) 6 agosto 2005, relazione finale d’inchiesta.

baron j., hershey j. c. (1988), Outcome Bias in Decision Evaluation, in “Journal of Personality and Social Psychology”, 54, 4, pp. 569-79.

bertlanffy l. von (1968), General System Theory: Foundations, Development, Applications, George Braziller, New York (rev. ed. 1976).

bisio c. (2009), Psicologia per la sicurezza sul lavoro. Rischio, benessere e ricerca del significato, Giunti-os, Firenze.

bowie p., pringle m. (2008), Significant Event Audit. A Guidance for Primary Care Teams, National Patient Safety Agency, London.

bracco f. (2005), Approccio sistemico alla sicurezza nelle organizzazioni complesse: i sistemi ad alta affidabilità, in “Ticonzero”, 61, pp. 1-12.

bracco f., bruno a., sossai d. (2011), Improving Resilience through Practitioners’ Well-being: An Experience in Italian Health-care, in E. Hollnagel, E. Rigaud, D. Besnard (eds.), Proceedings of the Fourth Symposium on Resilience Engineering, Presses des Mines, Paris, pp. 43-9.

bracco f., cipresso p., villamira m. a. (2009), L’errore. Umano, troppo umano, in M. A. Villamira, F. Bracco (a cura di), Comunicare, Franco Angeli, Milano.

178

bibliografia

bracco f., gianatti r., pisano l. (2008), Resilience Engineering in Emergency Room Operations: A Theoretical Framework, in E. Hollnagel, F. Pieri, E. Rigaud (eds.). Proceedings of the Third Resilience Engineering Symposium, École des Mines de Paris, Paris, pp. 19-25.

brennan t. a. et al. (1991), Incidence of Adverse Events and Negligence in Hospitalized Patients-results of the Harvard Medical Practice Study, in “New England Journal of Medicine”, 324, pp. 370-6.

campbell r. d., bagshaw m. (2004), Human Performance and Limitations in Aviation, Wiley-Blackwell, New Jersey.

catino m. (2006), Da Chernobyl a Linate. Incidenti tecnologici o errori organizzativi?, Bruno Mondadori, Milano.

chabris c. f., simons d. j. (2009), The Invisible Gorilla, and Other Ways Our Intuitions Deceive Us, Crown Publishing Group, New York.

chapman l. j., chapman p. (1967), Illusory Correlation as an Obstacle to the Use of Valid Psychodiagnostic Signs, in “Journal of Abnormal Psychology”, 74, 3, pp. 271-80.

chialastri a. (2011), Human Factor, ibn, Roma.chialastri a., pozzi s. (2008), Resilience in the Aviation System, in M. D. Harrison,

A. Sujan (eds.), Computer Safety Reliability, and Security, 27th International Conference, safecomps 2008, Newcastle upon Tyne (uk), September 22-25, pp. 86-98.

corning p. a. (2002), The Re-emergence of Emergence: A Venerable Concept in Search of a Theory, in “Complexity”, 7, 6, pp. 18-30.

damasio a. (1995), L’errore di Cartesio. Emozione, ragione e cervello umano, Adelphi, Milano.

dekker s. w. a. (2005), Ten Questions about Human Error, Lawrence Erlbaum Associates, Mahwah (nj).

id. (2007), Just Culture. Balancing Safety and Accountability, Ashgate, London.id. (2011), Drift Into Failure. From Hunting Broken Components to Understanding

Complex Systems, Ashgate, London (trad. it. Sicurezza e pensiero sistemico, Hirelia Edizioni, Milano 2013).

di nocera f. (2004), Cos’è l’ergonomia cognitiva, Carocci, Roma.endsley m. r., bolte b., jones d. g. (2003), Designing for Situation Awareness: An

Approach to Human-centered Design, Taylor and Francis, London.endsley m. r., garland d. j. (eds.) (2000), Situation Awareness Analysis and

Measurement, Lawrence Erlbaum Associates, Mahwah (nj).fischhoff b. (1975), Hindsight ≠ Foresight: The Effect of Outcome Knowledge on

Judgement under Uncertainty, in “Journal of Experimental Psychology: Human Perception and Performance”, 1, 3, pp. 288-99.

fischhoff b., beyth r. (1975), “I Knew it Would Happen” Remembered Probabilities of Once-future Things, in “Organizational Behaviour and Human Performance”, 13, pp. 1-16.

flinn r., o’connor p., crichton m. (2008), Safety at the Sharp End. A Guide to Non-

179

bibliografia

technical Skills, Ashgate, London (trad. it. Il front-line della sicurezza. Guida alle Non-technical skills, Hirelia Edizioni, Milano 2012).

fraser j. m., smith p. j., smith j. w. (1992), A Catalog of Errors, in “International Journal of Man-Machine Studies”, 37, 3, pp. 265-307.

frenkel a., graydon-baker e., neppl c., simmonds t., gustavson m., gandhi t. k. (2003), Pateint Safety Leadership Walkrounds, in “Joint Commission Journal on Quality and Patient Safety”, 29, 1, pp. 16-26.

gain working group (2005), A Roadmap to a Just Culture: Enhancing the Safety Environment, in “Flight Safety Digest”, 24, 3, pp. 1-34.

gpiaa (2004), All Engines-out Landing Due to Fuel Exhaustion Air Transat Airbus A330-243 marks c-gits Lajes, Azores, Portugal 24 August 2001 (Accident Report) (22/accid/gpiaa/2001), Ministero delle Opere Pubbliche, dei Trasporti e delle Comunicazioni, Portogallo.

hawkins f. h. (1987), Human Factors in Flight, Ashgate, London (ii ed.).heinrich h. w. (1931), Industrial Accident Prevention: A Scientific Approach,

McGraw-Hill, New York.heinrich h. w., petersen d., roos n. (1980), Industrial Accident Prevention: A Safety

Management Approach, McGraw-Hill, New York (v ed.).hobbs a. h. (2008), Human Performance Culpability Evaluations, in “White Paper”,

University of Tennessee-Knoxville, Battelle.hoch s. j., lowenstein g. f. (1989), Outcome Feedback: Hindsight and Information,

in “Journal of Experimental Psychology: Learning, Memory and Cognition”, 15, 4, pp. 605-19.

holden r. j. (2009), Peolple or Systems? To Blame Is Human. The Fix is to Engineer, in “Professional Safety”, 12, pp. 34-41.

hollnagel e. (1993), The Phenotype of Erroneous Actions, in “International Journal of Man-Machine Studies”, 39, pp. 1-32.

id. (2004), Barriers and Accident Prevention, Ashgate, London.id. (2005), The Natural Unnaturalness of Rationality, in J. M. C Schraagen

(ed.), Proceedings of the Seventh International ndm Conference, Amsterdam, June.

id. (2008), The Changing Nature of Risks, in “hfesa Journal, Ergonomics Australia”, 22, 1, pp. 33-46.

id. (2009), The etto Principle. Efficiency-Thjroughness-Trade-Off, Ashgate, London.

id. (2012), fram, the Functional Resonance Analysis Method: Modeling Complex Socio-technical Systems, Ashgate, London.

hollnagel e., pruchnicki s., woltjer r., etcher s. (2008), Analysis of Comair Flight 5191 with the Functional Resonance Accident Model, 8th International Symposium of the Australian Aviation Psychology Association”, Sydney, 8-11aprile.

hollnagel e., woods d. d., leveson n. (2006), Resilience Engineering, Ashgate, London.

huang j. l., ford j. k. (2012), Driving Locus of Control and Driving Behaviors:

180

bibliografia

Inducing Change through Driver Training, in “Transportation Research Part F: Traffic Psychology and Behaviour”, 15, 3, pp. 358-68.

hunter d. r. (2002), Development of an Aviation Safety Locus of Control Scale, in “Aviation, Space, and Environmental Medicine”, 73, 12, pp. 1184-8.

icao – international civil aviation organisation (1993), Human Factors Digest No 7: Investigation of Human Factors in Accidents and Incidents, Circular 240-an/144, icao, Montréal.

jones e. e., nisbett r. e. (1971), The Actor and the Observer: Divergent Perceptions of the Causes of Behavior, General Learning Press, New York.

jones j. w., wuebker l. (1985), Development and Validation of the Safety Locus of Control Scale, in “Perceptual and Motor Skills”, 61, pp. 151-61.

idd. (1993), Safety Locus of Control and Employees’ Accidents, in “Journal of Business and Psychology”, 7, pp. 449-57.

kahneman d. (2011), Thinking Fast and Slow, Farrar, Straus and Giroux, New York.kahneman d., tversky a. (1982), The Simulation Heuristic, in D. Kahneman, P.

Slovic, A. Tversky (eds.), Judgment under Uncertainty: Heuristics and Biases, Cambridge University Press, Cambridge, pp. 201-8.

kahneman d., tversky a., slovic p. (eds.) (1982), Judgment under Uncertainty: Heuristics & Biases, Cambridge University Press, Cambridge.

klayman j., ha y. w. (1987), Confirmation, Disconfirmation and Information in Hypothesis Testing, in “Psychological Review”, 94, 2, pp. 211-28.

klein g. a. (1999), Sources of Power: How People Make Decisions, The mit Press, Cambridge (ma).

kohn l. t., corrigan j. m., donaldson m. (eds.) (1999), To Err is Human: Building a Safer Health System, Institute of Medicine, Washington dc.

leape l., lawthers a. g., brennan t. a. (1993), Preventing Medical Injury, in “Quality Review Bulletin”, 19, 5, pp. 144-9.

leveson n. (2003), A New Approach to System Safety Engineering, Aeronautics and Astronautics, Massachusetts Institute of Technology, Cambridge (ma).

id. (2004), A New Accident Model for Engineering Safer Systems, in “Safety Science”, 42, pp. 237-70.

luxhøj j. t., kauffeld k. (2003), Evaluating the Effect of Technology Insertion into the National Airspace System, The Rutgers Scholar, 3.

luxhøj j. t., maurino m. (2001), An Aviation System Risk Model (asrm) Case Study: Air Ontario 1363, The Rutgers Scholar, 5.

maturana h., varela f. (1980), Autopoiesis and Cognition: The Realization of the Living, Kluwer, Boston.

miller d. t., ross m. (1975), Self-serving Biases in the Attribution of Causality: Fact or Fiction?, in “Psychological Bulletin”, 82, 2, pp. 213-25.

ministero delle infrastrutture e dei trasporti (2011), L’incidentalità nella navigazione marittima negli anni 2001-2010, Ministero delle Infrastrutture e dei Trasporti, Direzione generale per il Trasporto marittimo e per vie d’acqua interne, Divisione 4 – Sistemi di gestione integrati.

181

bibliografia

montag i., comrey a. l. (1987), Internality and Externality as Correlates of Involvement in Fatal Driving Accidents, in “Journal of Applied Psychology”, 72, pp. 339-43.

norman d. a. (1990), La caffettiera del masochista. Psicopatologia degli oggetti quotidiani, Giunti, Firenze.

ntsb (1973), Eastern Airlines, Inc, L-1011, N310EA, Miami, Florida, December 29, 1972, ntsb (report number aar-73/14), June 14, 1973, Washington dc.

id. (1996), Safety Recommendation A-96-141, Washington dc.id. (2001a), Aircraft Accident Report. Runaway Overrun during Landing. American

Airlines Flight 1420, Washington dc.id. (2001b), Loss of Control and Impact with Pacific Ocean Alaska Airlines Flight 261

McDonnell Douglas md-83, N963AS About 2.7 Miles North of Anacapa Island, California, January 31, 2000, Washington dc.

o’neill b., williams a. (1998), Risk Homeostasis Hypothesis: A Rebuttal, in “Injury Prevention”, 4, 2, pp. 92-3.

ozkan t., lajunen t. (2005), Multidimensional Traffic Locus of Control Scale (t-loc): Factor Structure and Relationship to Risky Driving, in “Personality and Individual Differences”, 38, pp. 533-45.

perrow c. (1984), Normal Accidents: Living with High Risk Technologies, Basic Books, New York.

pettigrew t. f. (1979), The Ultimate Attribution Error: Extending Allport’s Cognitive Analysis of Prejudice, in “Personality and Social Psychology Bulletin”, 5, 4, pp. 461-76.

rasmussen j. (1983), Skills, Rules, Knowledge. Signals, Signs, and Symbols, and Other Distinctions in Human Performance Models, in “ieee Transactions on Systems, Man and Cybernetics”, 13, pp. 257-66.

id. (1985), The Role of Hierarchical Knowledge Representation in Decision Making and System Management, in “ieee Transactions on Systems, Man and Cybernetics”, 15, pp. 234-43.

id. (1990), Mental Models and the Control of Action in Complex Environments, in D. Ackermann, M. J. Tauber (eds.), Mental Models and Human-Computer Interaction 1, Elsevier Science Publishers, North-Holland, pp. 41-6.

id. (1997), Risk Management in a Dynamic Society. A Modeling Problem, in “Safety Science”, 27, 2-3, pp. 183-213.

rausand m., høyland a. (2003), System Reliability Theory: Models, Statistical Methods, and Applications, Wiley, New Jersey.

reason j. (1990), L’errore umano, il Mulino, Bologna.id. (1997), Managing the Risks of Organisational Accidents, Ashgate, London.id. (2008), The Human Contribution. Unsafe Acts, Accidents and Heroic Recoveries,

Ashgate, London (trad. it. The Human Contribution. Errori, incidenti e recuperi eroici, Hirelia Edizioni, Milano 2010).

reason j., hollnagel e., paries j. (2006), Revisiting the Swiss Cheese Model of Accidents, Eurocontrol, Bruxelles.

182

bibliografia

rochlin g. (1993), Defining “High Reliability” Organizations in Practice: A Taxonomic Prologue, in K. H. Roberts (ed.), New Challenges to Understanding Organizations, Macmillan, New York, pp. 11-32.

rochlin g., laporte t., roberts k. (1987), The Self-designing High Reliability Organization: Aircraft Carrier Flight Operation at Sea, in “Naval War College Review”, 40, pp. 76-90.

ross l. (1977), The Intuitive Psychologist and his Shortcomings: Distortions in the Attribution Process, in L. Berkowitz, Advances in Experimental Social Psychology, 10, Academic Press, New York, pp. 173-220.

rotter j. b. (1966), Generalized Expectancies for Internal versus External Control of Reinforcement, in “Psychological Monographs”, 80, pp. 1-28.

sagan s. d. (1993), The Limits of Safety, Princeton University Press, Princeton (nj).

savadori l., rumiati r. (2005), Nuovi rischi, vecchie paure, il Mulino, Bologna.idd. (2009), Rischiare, il Mulino, Bologna.seligman m. e. p. (1975), Helplessness: On Depression, Development, and Death, W.

H. Freeman, San Francisco.shappell s. a., wiegmann d. a. (2000), The Human Factors Analysis and Classification

System (hfacs) (Report Number dot/faa/am-00/7), Office of Aerospace Medicine, Washington dc.

idd. (2004), hfacs Analysis of Military and Civilian Aviation Accidents: A North American Comparison, in “isasi”, pp. 1-8.

simon h. (1957), A Behavioral Model of Rational Choice, in Id. (ed.), Models of Man, Social and Rational: Mathematical Essays on Rational Human Behavior in a Social Setting, Wiley, New York.

simons d. j., chabris c. f. (1999), Gorillas in our Midst: Sustained Inattentional Blindness for Dynamic Events, in “Perception”, 28, pp. 1059-74.

slovic p. (ed.) (2000), The Perception of Risk, Earthscan, London. strack f., mussweiler t. (1997), Explaining the Enigmatic Anchoring Effect:

Mechanisms of Selective Accessibility, in “Journal of Personality and Social Psychology”, 73, 3, pp. 437-46.

thorndike e. l. (1898), Animal Intelligence: An Experimental Study of the Associative Processes in Animals, in “Psychological Monographs”, 8, 1911, pp. 1-109.

tsb – transportation safety board (1998), Investigation Report A98H0003, Governement of Canada.

turing a. m. (1947), Lecture to the London Mathematical Society on 20 February 1947, in B. E. Carpenter, R. W. Doran (eds.), A. M. Turing’s ace report of 1946 and other papers, The mit Press, Cambridge (ma).

vanderbilt t. (2008), Trafficologia, Rizzoli, Milano.vaughan d. (1996), The Challenger Launch Decision: Risky Technology, Culture and

Deviance at nasa, University of Chicago Press, Chicago. vincent c. et al. (1998), Framework for Analysing Risk and Safety in Clinical

Medicine, in “British Medical Journal”, 316, pp. 1154-7.

183

bibliografia

walton d., bathurst j. (1998), An Exploration of the Perceptions of the Average Driver’s Speed Compared with Perceived Driver Safety and Driving Skill, in “Accident Analysis & Prevention”, 30, pp. 821-30.

wasielewski p., evans l. (1985), Do Drivers of Small Cars Take Less Risk in Everyday Driving?, in “Risk Analysis”, 5, 1, pp. 25-32.

weick k. e., sutcliffe k. m. (2001), Managing the Unexpected. Assuring High Performance in an Age of Complexity, Jossey-Bass, San Francisco.

idd. (2007), Managing the Unexpected: Resilient Performance in an Age of Uncertainty, Jossey-Bass, San Francisco.

weick k. e., sutcliffe k. m., obstfeld d. (1999), Organizing for High Reliability: Processes of Collective Mindfulness, in R. S. Sutton, B. M. Staw (eds.), Research in Organizational Behavior, vol. 1, jai Press, Stanford, pp. 81-123.

weinstein n. d. (1989), Optimistic Biases about Personal Risks, in “Science”, 246, pp. 1232-3.

wickens c. d., hollands j. g. (1999), Engineering Psychology and Human Performance, Prentice Hall, Upper Saddle River (nj).

wiegmann d., shappell s. (2003), A Human Error Approach to Aviation Accident Analysis: The Human Factors Analysis and Classification System, Ashgate, London.

wildavsky a. (1988), Searching for Safety, Transaction Books, New Brunswick (nj).wilde g. j. s. (1982), The Theory of Risk Homeostasis: Implications for Safety and

Health, in “Risk Analysis”, 2, pp. 209-25.id. (1994), Target Risk, pde Publications, Toronto.woods d. d., dekker s., cook r., johannesen l., sarter n. (2010), Behind Human

Error, Ashgate, London. wreathall j. (2006), Properties of Resilient Organizations: An Initial View, in E.

Hollnagel, D. D. Woods, N. Leveson (eds.), Resilience Engineering, Ashgate, London.

Promuovere la sicurezza - Fabrizio Bracco

Documents

Transcript of Promuovere la sicurezza - Fabrizio Bracco