Sei sulla pagina 1di 184

biblioteca di testi e studi psicologia

/ 850

I lettori che desiderano informazioni sui volumi pubblicati dalla casa editrice possono rivolgersi direttamente a: Carocci editore Corso Vittorio Emanuele ii, 229 00186 Roma telefono 06 / 42 81 84 17 fax 06 / 42 74 79 31

Visitateci sul nostro sito Internet: http://www.carocci.it

Fabrizio Bracco

Promuovere la sicurezza
La gestione dei rischi nelle organizzazioni complesse

Carocci editore

1a edizione, maggio 2013 copyright 2013 by Carocci editore S.p.A., Roma Realizzazione editoriale: Studio Editoriale Cafagna, Barletta Finito di stampare nel maggio 2013 dalla Litografia Varo (Pisa)
isbn

978-88-430-6936-1

Riproduzione vietata ai sensi di legge (art. 171 della legge 22 aprile 1941, n. 633) Senza regolare autorizzazione, vietato riprodurre questo volume anche parzialmente e con qualsiasi mezzo, compresa la fotocopia, anche per uso interno o didattico.

Indice

1. 1.1.

Introduzione Cos la sicurezza? Perch difficile parlare di sicurezza?


1.1.1. La sicurezza difficile da vedere / 1.1.2. La sicurezza difficile da misurare / 1.1.3. La sicurezza una questione per tecnici / 1.1.4. La sicurezza fa perdere tempo / 1.1.5. La sicurezza in contrasto con il business

11

17 17

1.2. 1.3. 1.4. 2. 2.1. 2.2. 2.3.

Cambiare paradigma Sicurezza e pensiero sistemico La coppa della sicurezza La sicurezza spiegata da un gorilla La difficolt di vedere i rischi Limportanza dei segnali deboli La matrice segnali per risposte
2.3.1. Risposte deboli a segnali forti: verso il collasso / 2.3.2. Risposte deboli a segnali deboli: la lenta deriva / 2.3.3. Risposte forti a segnali forti: sicurezza reattiva / 2.3.4. Risposte forti a segnali deboli: sicurezza proattiva

23 26 33

41 41 45 47

2.4. 3. 3.1.

I fondamenti di una cultura della sicurezza Come le persone sbagliano Incidenza del fattore umano nella genesi degli incidenti
3.1.1. Il fattore umano in aviazione / 3.1.2. Il fattore umano in

51

53 53

indice

medicina / 3.1.3. Il fattore umano nei trasporti stradali / 3.1.4. Il fattore umano nel settore marittimo

3.2.

Psicologia dellerrore umano


3.2.1. Livello Skill / 3.2.2. Livello Rule / 3.2.3. Livello Knowledge

60 68 71 71 76 80 84 87 89 89 96

3.3. 4. 4.1. 4.2. 4.3. 4.4. 4.5. 5. 5.1. 5.2.

Sicurezza secondo il modello srk Perch le persone sbagliano


4.1.1. Euristica della disponibilit / 4.1.2. Euristica della rappresentativit / 4.1.3. Euristica dellancoraggio e aggiustamento

Razionalit limitata e dintorni

Limitazioni cognitive e assunzione di rischi


4.2.1. Tra fatalismo e illusione del controllo

Violazioni e normalizzazione della devianza Il principio etto Il modello shell Oltre lerrore umano Perch sbagliato parlare di errore umano
5.1.1. Quello che le statistiche non dicono / 5.1.2. Cosa nasconde letichetta errore umano

Le trappole mentali di chi analizza gli incidenti


5.2.1. Errare umano. Cercare il colpevole lo ancora di pi / 5.2.2. La trappola del senno di poi / 5.2.3. La trappola del lieto fine / 5.2.4. La trappola della simmetria / 5.2.5. La trappola della conferma / 5.2.6. La trappola del ma se

5.3. 6. 6.1. 6.2. 6.3. 6.4.

Le insidie delle trappole Analizzare gli incidenti nei sistemi complessi Cercare le cause Limiti dei modelli causali Cercare le condizioni
6.3.1. Limiti del modello epidemiologico

106 107 107 109 110 113

Bilanciare sicurezza e responsabilit: verso una cultura giusta


6.4.1. Segnare il limite tra responsabilit individuali e fattori sistemici / 6.4.2. Dare potere alle persone tutelando uno spazio di discrezionalit

indice

7. 7.1. 7.2. 7.3. 7.4

Progettare sistemi resilienti La necessaria immaginazione per anticipare i rischi Le dinamiche dei sistemi socio-tecnici complessi
7.2.1. La deriva verso lincidente

123 123 127 131 134

7.3.1. Le organizzazioni ad alta affidabilit / 7.3.2. La teoria del controllo

Approcci per la gestione dei sistemi complessi La Resilience Engineering

7.4.1. Limportanza della variet / 7.4.2. Il dilemma dellintervento / 7.4.3. Il dilemma della quantit / 7.4.4. Variet delle prestazioni, informazione e incidenti / 7.4.5. Caratteristiche delle organizzazioni resilienti / 7.4.6. La risonanza funzionale

8. 8.1. 8.2.

Un modello per la promozione della resilienza Dalla teoria alla pratica


8.1.1. Occhiali nuovi per vedere i segnali deboli

147 147 150

La matrice della resilienza


8.2.1. Capacit di muoversi liberamente lungo la matrice / 8.2.2. Capacit di scegliere il livello appropriato in base alla situazione / 8.2.3. Capacit di ottimizzare la variet grazie alla mindfulness / 8.2.4. Capacit di condividere la variet / 8.2.5. Capacit di adattamento dinamico / 8.2.6. Capacit di verifica e normalizzazione degli adattamenti

8.3. 8.4. 8.5. 9.

Vedere i gorilla e fare il proprio lavoro possibile Come rendere la sicurezza una risonanza virtuosa Le competenze non tecniche per la resilienza Conclusioni Bibliografia

165 166 167

173

177

Introduzione

Trattando di rischi viene spesso in mente la famosa legge di Murphy: se qualcosa pu andare storto, certamente lo far. Se fosse davvero cos, fare sicurezza sarebbe facile, ma purtroppo la realt diversa e la sicurezza un tema complesso e insidioso. La legge di Murphy falsa perch le cose, normalmente, vanno bene! Ci sono persone che non hanno mai avuto un incidente stradale, n mai lo avranno, industrie che non hanno gravi danni, compagnie aeree senza disastri, ospedali dove la gente non muore ogni giorno a causa di errori medici. Siccome le cose vanno bene, nella maggior parte dei casi, la sicurezza diventa difficile da sostenere, perch la percezione del rischio si affievolisce e aumenta lo spazio per comportamenti e soluzioni organizzative che portano alla deriva verso lincidente. Noi non siamo particolarmente bravi con la stima delle probabilit degli eventi e quindi sarebbe facile fare sicurezza se sapessimo che qualcosa certamente potrebbe accadere. Ad esempio, sappiamo che se non mettiamo i guanti non possiamo toccare una pentola bollente, quindi sar molto raro dimenticarsene o non usarli volontariamente. Ma se levento solo probabile, e se il comportamento sicuro richiede dei costi, in termini di tempo o risorse, allora sar pi frequente notare azioni insicure, che sottostimano i rischi. Il libro nasce da anni di esperienza, sia come ricerca sia come formazione, presso aziende grandi e piccole, sparse sul territorio nazionale. I temi che saranno trattati nelle prossime pagine derivano dalla letteratura scientifica sullargomento, ma sono stati cesellati, impostati e adattati al fine di risultare utili e congruenti con le realt operative a cui si rivolgono. Ospedali, aziende chimiche, industrie, sistemi di trasporto aereo, navale, su gomma, societ di servizi, societ portuali e di produzione e gestione di energia sono i principali contesti nei quali sono stati messi in pratica i temi e i modelli presentati. Le ragioni che mi hanno spinto a scrivere un testo

promuovere la sicurezza

del genere sono due: aggiornare la letteratura esistente in Italia sugli approcci non tecnici alla sicurezza e, allo stesso tempo, fornire materiale utile e interessante non solo per ricercatori e accademici, ma soprattutto per chi promuove la sicurezza nei suoi contesti lavorativi: operatori, responsabili, preposti, dirigenti. I modelli e le teorie pi adottati risalgono ad almeno venti anni fa, la ricerca internazionale ha fatto passi avanti e sembra utile mettere a disposizione queste nuove prospettive. Tuttavia, uno dei motivi della resistenza ad aggiornamenti teorici e metodologici legato alla loro distanza da logiche, bisogni e dinamiche dei contesti operativi. Un approccio alla sicurezza deve essere quindi valido e aggiornato, ma soprattutto usabile, applicabile. Il punto di vista fornito in questo libro quello psicologico, che pone una particolare attenzione a come le persone pensano, si rappresentano e tutelano la sicurezza intorno a s. Questo non significa che approcci di tipo sociologico, tecnico o legale siano trascurabili, tuttaltro. Sembra per necessario dare eguale valore alla componente psicologica, oltre che agli altri aspetti, perch la sicurezza non nasce da ottime leggi, procedure, strumentazioni, ma da persone che usano tali strumenti in modo virtuoso, grazie ad interventi culturali, organizzativi e psicologici. Il punto di vista centrato sulla persona serve a giustificare il cambiamento di prospettiva auspicato in queste pagine. La tesi del libro che noi esseri umani siamo stati capaci di costruire sistemi complessi molto avanzati, ma non siamo capaci di gestirli in modo efficace. Rischiamo di adottare modelli e strumenti di gestione antiquati, adatti a tipi di sistemi precedenti. Abbiamo creato macchine che non sappiamo guidare; servono quindi nuovi occhiali per vedere gli elementi adeguati e nuovi modi di pensare per poterli gestire. Adotteremo un approccio non tecnico, quindi, trattando soprattutto la percezione dei rischi e i modelli di analisi degli incidenti da un punto di vista psicologico e organizzativo. Possiamo definire la sicurezza come la libert da rischi inaccettabili. Siccome non esistono attivit a rischio zero, la sicurezza si orienta alla gestione di quei rischi che non sono tollerabili, in base a principi, valori, bisogni definiti a livello personale, culturale, sociale, politico, economico. Tali rischi possono essere affrontati riducendo la probabilit che verifichino gli incidenti, oppure eliminando del tutto la possibilit che accadano o, infine, riducendone le conseguenze negative. In ogni caso sono coinvolte le persone, con le loro scelte, immerse nelle dinamiche del gruppo e dellorganizzazione. Il volume articolato in modo da porre le basi per un cambio di prospettiva sulle tematiche legate alla sicurezza. Per agevolare la comprensio

introduzione

ne, sono riportati molti casi di incidenti tratti dal settore sanitario, aeronautico, industriale. Il cap. 1 tenta una definizione di sicurezza, evidenziando le difficolt concettuali e pratiche che si riscontrano nel trattare di quello che stato definito un non-evento dinamico. Questo ci porter alla proposta di una visione diversa della sicurezza, secondo il paradigma delle teorie della complessit, dove si abbandonano le logiche di causa ed effetto e di errore, in favore di una visione sistemica degli incidenti, interpretati come effetto di normali interazioni fra gli elementi del sistema. Si proporr, infine, la coppa della sicurezza, una rappresentazione grafica che possa rendere unimmagine dei concetti, a volte molto astratti, che caratterizzano le dinamiche della complessit. Il cap. 2 dedicato allinterpretazione della sicurezza come adozione di nuovi punti di vista, a partire dagli operatori in prima linea. La principale capacit di un sistema sicuro sar quella di dare risposte forti a segnali deboli, cio a situazioni che potrebbero portare ad incidenti gravi, ben prima che si sviluppino e degradino in evento avverso. Per imparare a notare i segnali deboli e per poter dare risposte forti necessaria una cultura della sicurezza che punti sulla circolazione delle informazioni, sulla fiducia delle persone nellorganizzazione, sulla spinta al cambiamento e allapprendimento dalle esperienze. Il cap. 3 dedicato alle teorie dellerrore umano, dal momento che, stando alle statistiche, lincidenza di prestazioni erronee negli eventi avversi molto alta. Si illustrer un modello largamente condiviso per spiegare le dinamiche mentali delle persone coinvolte in incidenti, aprendo anche a una riflessione su come si potrebbero adeguare i contesti di lavoro in base a tali caratteristiche. Il cap. 4 introduce al tema della razionalit limitata, al come e perch le persone non sono razionali come ci si aspetta e ai tipici ragionamenti che potrebbero portarli ad assumersi rischi inappropriati. Questo ci permetter di passare dal tema degli errori a quello delle violazioni, ossia azioni intenzionali che infrangono regole e procedure. Un tema di particolare rilievo sar quello della normalizzazione della devianza, intesa come lenta deriva delle pratiche verso una consolidata e sistematica violazione di procedure operative. Il cap. 5 vuole in parte mettere in discussione quanto menzionato in precedenza a proposito dellerrore umano, evidenziando come questa categoria sia fallace e rischiosa, perch porter sempre e comunque alla ricerca di un colpevole, di un guasto nel sistema. Ma se questo potrebbe valere per sistemi semplici e lineari, non detto che accada per sistemi complessi,

promuovere la sicurezza

dove gli incidenti non avvengono sempre e solo come effetto di comportamenti irresponsabili. In particolare saranno esaminate le trappole mentali di chi analizza gli incidenti, spesso legate a una lettura a posteriori dei fatti, in cui la seriet delle conseguenze serve come misura per valutare la gravit dei presunti comportamenti che le hanno prodotte. Studiare le dinamiche psicologiche sottostanti azioni erronee e violazioni molto importante, ma non con lo scopo di evidenziare le nostre manchevolezze, quanto piuttosto la nostra natura. Se smetteremo di paragonarci a macchine e computer, forse capiremo che i nostri limiti sono tali solo se adottiamo certi criteri (potenza di calcolo, memoria, logicit dei processi), ma se ci valutassimo in termini di flessibilit, creativit, sensibilit al contesto, ci troveremmo ben pi sicuri e affidabili degli attuali computer. Siccome i sistemi complessi sono caratterizzati proprio da grandi variabilit, la flessibilit umana diventa un ingrediente fondamentale per fare sicurezza. Il cap. 6 illustra levoluzione dei modelli di analisi degli incidenti nei sistemi complessi, mostrando i limiti dei modelli lineari e causali, passando poi a quelli sistemici, dove si abbandona il concetto di causa e si predilige quello di condizioni latenti. Il limite dei modelli basati sulle condizioni latenti quello di trovare fattori cos ampi e generali da non poterli gestire. Si affronter, quindi, il tema della cultura giusta, dove il limite tra responsabilit individuale e fattori sistemici pu e deve essere chiarito. Il cap. 7 presenta quanto di pi recente la letteratura propone in termini di modelli per la gestione dei rischi, la cosiddetta Resilience Engineering. Questo approccio si fonda sui presupposti delle teorie della complessit, dove lerrore umano sintomo e non causa, dove gli incidenti accadono come effetto di una risonanza funzionale tra gli elementi del sistema, ognuno dotato di naturale e ineliminabile variet di prestazione. La sicurezza sar quindi vista come la capacit di rilevare i segnali deboli prima che evolvano in incidenti, studiando come i vari elementi del sistema potrebbero risuonare e portare a conseguenze indesiderate. Il cap. 8, infine, propone un modello molto concreto per aiutare lo sviluppo di un sistema resiliente basato sulla capacit degli operatori di notare e condividere i segnali deboli potenzialmente rischiosi. Tali segnali saranno visti come una forma di variet che il sistema accoglie e di cui si nutre, per poi metabolizzarla a livello organizzativo e arricchire il sistema adattandolo alle nuove condizioni. In conclusione, saranno illustrate le principali competenze non tecniche (comunicazione, capacit di decisione, gestione dello stress ecc.) che vanno stimolate e coltivate per agevolare la resilienza del sistema.

introduzione

Essendo un libro nato dallincontro tra accademia e realt operative, lauspicio che possa risultare stimolante e aggiornato per chi si occupa di ricerca, ma sia anche utile e applicabile per i contesti professionali dove la sicurezza una questione imprescindibile. Il mio interessamento ai temi della sicurezza e dellergonomia cognitiva iniziato molti anni fa, seguendo gli stimoli di un maestro, e poi collega, e soprattutto amico, il prof. Giuseppe Spinelli. Il mio rammarico che non abbia potuto vedere come i suoi stimoli abbiano prodotto risultati interessanti e imprevisti. Questo libro quindi un tributo alla sua memoria. Come ho detto, il libro nasce dal confronto e arricchimento che ho potuto avere con operatori di diversi settori operativi, dallaviazione alla sanit, allindustria. Per questo desidero ringraziare persone illuminanti e illuminate come i comandanti Luciano Pisano, Michele Pilia, Vittorio Coletta, che mi hanno aiutato ad entrare nel mondo degli human factors in aviazione. Un ringraziamento speciale va ai comandanti Franco Lodi, Aldo Carlo Pezzopane e Silvano Silenzi, per avermi permesso di seguire e poi organizzare corsi con docenti del calibro di James Reason ed Erik Hollnagel e per avermi arricchito con la loro amicizia ed esperienza in tutti questi anni. A Franco va inoltre un ringraziamento personale e privato, ma lui sa a cosa mi riferisco. Infine lamico, comandante Antonio Chialastri, per le stimolanti conversazioni sulla resilienza e la sicurezza. Un thank you al comandante Gavin McKellar, per le appassionanti conversazioni sulla sicurezza e sulla vita: non lo ringrazier mai abbastanza per ci che mi ha donato. In campo sanitario, e non solo, devo uno speciale ringraziamento a Rita Gianatti: lei ha corretto le bozze del libro, ha redatto gli esempi in campo sanitario, ma soprattutto mi ha dato il privilegio di compiere insieme questo percorso di studio sulla sicurezza. Paolo Ferrara mi ha fatto capire come stare nella relazione con i curanti, non sopra, n dietro o davanti o dentro, ma accanto. Grazie anche a Dimitri Sossai e Franco Pugliese, disponibili e sempre pronti ad aprire nuove strade per lo studio della sicurezza. Grazie ad Anna Apicella, Nadia Guisa, Monica Lavagna ed Elio Garbarino, per il loro entusiastico e ricco sostegno nella diffusione delle competenze non tecniche e della resilienza nel loro contesto sanitario. A livello industriale, marittimo e dei trasporti devo un ringraziamento a persone come Alessandra Cavaterri, Giuseppina Mussetola, Fabio Viola, Francesco Perra, Natalino Dazzi, Aldo Guagnano, Stefania Ricco, Giuseppe Caprino, Antonella Molini, Andrea Lommi, Rocco Bonomo, Fabio

promuovere la sicurezza

Monti, Paola Magrini, Luigi Traverso, Andrea Bianchin, Susanna Marotta, tutti loro mi hanno permesso di capire quanto le teorie proposte fossero applicabili e utili nei rispettivi contesti. Grazie anche ai progettisti, consulenti e amici che mi hanno dato fiducia, mi hanno insegnato e stimolato. Fra tutti ricordo Gianfranco Di Maira e il suo brillante team, e poi Marco Bucchieri, Giorgio Dorigatti, Micaela Morocutti, Lino Cama, Maria Grazia Cipero, Attilio Pagano e la magnifica Chiara Mattarelli. Un tributo speciale va a Gianni Andrea Belgrano, per tutto ci che abbiamo costruito insieme, e a Giovannella Nasta Stropeni, per avermi avvicinato alla psicologia di Carl Rogers, che tanto mi ha aiutato nello studio di una sicurezza centrata sulle persone. Paolo Ferraris e Graziella Cavanna mi hanno aperto le porte della psicologia dellemergenza, grazie per la stima e la fiducia. Fra i colleghi devo un ringraziamento a Fabrizio Montanari, per aver creato una realt come Ticonzero.info, uno spazio ideale per presentare le idee sulla sicurezza. E poi grazie a Maurizio Catino, che ha aperto la strada a una nuova visione della sicurezza in Italia; Guido Franco Amoretti, per avermi sempre sostenuto negli studi sullergonomia cognitiva; Francesco Benso, per gli studi sullattenzione; Andreina Bruno, per tutte le ricerche in comune e le sue fondamentali competenze sulla psicologia delle organizzazioni; Manila Vannucci, per i ricchi scambi di idee, e Carlo Chiorri, per i tanti studi condotti insieme e per la sua costante disponibilit e competenza; Cinzia Modafferi, Tommaso Piccinno, Michele Masini, i migliori collaboratori che si potrebbero desiderare, persone da cui posso imparare. Un grazie alle centinaia di medici, infermieri, piloti, controllori di volo, operai, gruisti, macchinisti, camionisti, dirigenti, coordinatori, responsabili della sicurezza che ho incontrato in questi anni. Il libro non sarebbe nato senza il confronto con tutti loro. Ringrazio infine la mia famiglia, per il suo sostegno e amore. E soprattutto Mikaela, che ha disegnato alcune illustrazioni del volume, ma soprattutto mi ha sempre supportato in questo progetto con la sua speciale cura. Lei la mia fonte di resilienza.
Genova, marzo 2013

1 Cos la sicurezza?

1.1 Perch difficile parlare di sicurezza? Come spesso accade, le cose pi vicine a noi sono quelle pi difficili da capire e definire. Forse proprio per la loro pervasivit, per la loro presenza costante in parole, narrazioni, pratiche e strumenti sono cos ovvie che non ci si cura di definirle. Cos per la sicurezza. Sicurezza non farsi male, fare le cose bene, non fare errori, fare la cosa giusta; si direbbe. Lo scopo di questo libro anche quello di provare a definire la sicurezza andando oltre queste scontate (e insidiose) definizioni. Occorre certamente capire ci che limita il ragionamento sulla sicurezza, quali luoghi comuni ruotano intorno a questo concetto, quali retaggi e aspettative. Questo perch in base agli occhiali concettuali che indossiamo vediamo una situazione come pi o meno sicura. Ogni punto di vista ha elementi di forza e di debolezza. Soprattutto focalizzato su alcuni aspetti che caratterizzano la situazione, ma spesso la visione solo parziale. Forse non esiste ancora un approccio globale, integrato e soddisfacente alla sicurezza. La stiamo ancora affrontando da prospettive parziali, anche se la tendenza verso una progressiva integrazione. Un primo importante passo , per, quello di capire che si stanno indossando occhiali che filtrano una situazione, lasciandoci intravedere solo alcuni aspetti. Pensare che la sicurezza sia solo ci che vediamo illusorio e pericoloso. Da un lato potremmo rischiare di giudicare sicura una situazione solo perch il nostro filtro non ci lascia intuire elementi di rischio. Dallaltro lato potremmo valutare la situazione non sicura focalizzandoci sulle anomalie riscontrate, perdendo per di vista come queste possano essere inserite (e talvolta mitigate) nella complessit della situazione. Facciamo qualche esempio.

promuovere la sicurezza

Se adottiamo una prospettiva tecnico-ingegneristica vedremo la sicurezza sul versante tecnologico: quanto i macchinari e gli strumenti utilizzati siano affidabili, quanto i processi siano standardizzati e controllati, quanto lautomazione risulti capace di compensare le naturali limitazioni umane. Da questo punto di vista una situazione sicura si baser sulla manutenzione dei macchinari, la formazione costante del personale (in fondo, un altro tipo di manutenzione), la valutazione del tasso di rischio delle attivit, della affidabilit degli elementi del sistema (tecnologia e persone). Se accadesse un incidente si cercherebbero quegli elementi che hanno provocato il danno, le cause che si sono concatenate per condurre allesito infausto. Se adottiamo una prospettiva di tipo normativo cercheremo le conformit della situazione di lavoro rispetto alla legge di riferimento, andremo in cerca di violazioni e valuteremo se e come queste potrebbero essere sanzionabili. La sicurezza deriverebbe, quindi, dalladesione il pi possibile completa del lavoro alle procedure e alle normative e in caso di incidente si cercherebbe chi o cosa non stato in linea con tali regole. Se adottiamo un approccio di tipo organizzativo vedremo la sicurezza come emergente da processi di lavoro definiti opportunamente, da come i ruoli e i compiti siano chiari, condivisi, efficaci ed efficienti. Se accadesse un incidente si cercherebbero le falle organizzative che hanno permesso al problema di manifestarsi. Se adottiamo un approccio di tipo psicologico vedremo la sicurezza come ci che viene creato dalle persone, dalle loro azioni, pensieri, motivazioni. In caso di incidente si cercher di capire chi ha commesso errori, perch ha sbagliato, quali dinamiche mentali erano in atto e come fare per evitare che si ripetano in futuro. Si tenter di indagare le naturali limitazioni umane, elaborando pratiche e modelli per contenerne il rischio. Ogni approccio di per s corretto, ha una sua tradizione che ben giustifica la sua diffusione. Come abbiamo detto prima, ci che rischioso non ladozione di una prospettiva, ma il confondere ci che vediamo tramite questa prospettiva con la situazione nella sua complessit. Se guardiamo la fig. 1.1 capiamo subito che qui la sicurezza manca. Eppure, provocatoriamente, potremmo dire che qui esiste un certo tipo di sicurezza. Proviamo a ragionare per estremi e diciamo che, fino a qualche anno addietro, quando dominavano un approccio tecnico e normativo alla sicurezza, questa situazione lavorativa avrebbe potuto essere giudicata sicura. I due lavoratori indossano i dispositivi di protezione individuale (i cosiddetti dpi), ossia le scarpe antinfortunistica, i guanti, gli occhiali protettivi,

1. cos la sicurezza?

il casco. Gli strumenti utilizzati funzionano bene, stanno applicando alla perfezione quanto appreso al corso tecnico di taglio dellacciaio e sono giustamente concentrati sul loro lavoro, consapevoli di utilizzare strumenti pericolosi in una postazione lavorativa sopraelevata e quindi intrinsecamente rischiosa. Sono davvero focalizzati sul compito, come spesso si sono sentiti dire dai loro capi e dai responsabili della sicurezza, perch hanno imparato che bisogna stare attenti. Un mero approccio normativo alla sicurezza, una visione tecnica centrata sugli strumenti, una lettura parziale della situazione porterebbero, quindi, a una valutazione contraria allevidenza: i due operai sono sicuri. Di farsi male aggiungiamo noi. Cosa manca? Evidentemente in questo esempio manca il coordinamento, la comunicazione, la consapevolezza della situazione nella sua interezza. Tutti temi che saranno trattati nel corso di questo volume.
figura

1.1 Un lavoro svolto in sicurezza

1.1.1. La sicurezza difficile da vedere Un altro elemento di difficolt rispetto alla comprensione della sicurezza sta, oltre che nei modelli interpretativi di partenza, anche nelle sue caratteristiche intrinseche. Prima di tutto la sicurezza qualcosa di difficile da vedere. un fenomeno ontologicamente ambiguo, perch spesso la si

promuovere la sicurezza

nomina solo in sua assenza, quando accade un incidente. Si vede un gesto sicuro quando si agisce per evitare che accada qualcosa di negativo; ad esempio, mettere il casco per proteggersi, o frenare allimprovviso per evitare di tamponare lauto che precede. Ma la sicurezza non solo questo, essa profondamente inserita nei nostri gesti, in ogni istante, ogni pensiero, ogni progetto. Immaginiamo il percorso che facciamo ogni giorno per andare a lavorare. Andiamo in auto, con i mezzi pubblici o a piedi. Spesso non vediamo la sicurezza in ci che facciamo, lo facciamo e basta. Non ci rendiamo conto che sterziamo al momento giusto, che freniamo in modo opportuno, che controlliamo pedoni e auto intorno a noi. Non sappiamo come e quanto il controllo dei freni fatto sei mesi prima ci abbia permesso di non tamponare quellauto che ha frenato improvvisamente e il cambio gomme recente ci abbia evitato di slittare sullasfalto bagnato durante la frenata. Non vediamo nemmeno come la nostra guida sia resa sicura anche da come lauto stata progettata, da come si muove sul manto stradale pi o meno omogeneo, da come lilluminazione pubblica ci permetta di vedere il contesto intorno a noi, dalle abitudini dei pedoni di attraversare sulle strisce pedonali e degli altri guidatori di rispettare le norme del codice stradale. La sicurezza non si vede, si fa. Come ha giustamente detto Weick (Weick, Sutcliffe, 2001; 2007), la sicurezza un non-evento dinamico. un non-evento perch non ha una sua consistenza ontologica normale, non dipende tanto da cosa si fa, ma da come si fa quella cosa. Possiamo indossare il casco ma guidare in modo distratto, possiamo frenare allimprovviso ma essere comunque troppo vicini allauto che ci precede per evitare un tamponamento. La sicurezza un modo di essere e, in quanto tale, un non-evento dinamico. Cambia nel tempo, perch cambiamo noi e cambia il mondo circostante. 1.1.2. La sicurezza difficile da misurare Un altro elemento di difficolt a proposito di sicurezza dovuto alla sua misurabilit. Nella nostra societ siamo a nostro agio con ci che misurabile, lasciando lincommensurabile al dominio dellarte, della religione o di altre discipline non scientifiche. certamente difficile misurare la sicurezza proprio perch, come abbiamo detto prima, essa un non-evento dinamico. Questo non significa che sia impossibile, ma certamente non disponiamo, al momento, di strumenti teorici e metodologici adeguati a dire quanta sicurezza si trovi in un sistema e se sia a livelli opportuni o meno. Possiamo misurare alcuni aspetti come la presenza di sostanze peri

1. cos la sicurezza?

colose (ad esempio radiazioni), di rischi dovuti alle condizioni ambientali (ad esempio pavimenti scivolosi, lavori in elevazione), di strumenti esposti a usura e rottura (ad esempio affidabilit di macchinari). Possiamo anche misurare il tasso di errore degli esseri umani, i loro tempi di reazione rispetto a un segnale di allarme. Ci sappiamo spingere fino alla misurazione dello stress collegato al lavoro, degli atteggiamenti degli operatori, della loro percezione del rischio. Possiamo ritenerci soddisfatti se riusciamo ad avere un quadro della cultura organizzativa che indichi come e quanto la sicurezza rientri nelle priorit del sistema. Ad ogni livello i nostri strumenti di misura sono sempre meno efficaci e precisi e sappiamo oramai che la sicurezza, quella vera, nasce soprattutto da questi livelli difficilmente misurabili. 1.1.3. La sicurezza una questione per tecnici Vista la sua difficolt, la cura della sicurezza spesso stata demandata a figure specifiche: i responsabili della sicurezza, gli ispettori del lavoro, i tecnici, i normatori. Questo ha avuto diversi effetti negativi. Prima di tutto si caduti in quella visione parziale di cui abbiamo parlato allinizio, portando ad intendere la sicurezza solo nellottica delladeguatezza tecnica o normativa. Essere sicuri significherebbe essere conformi a regole e standard predefiniti. Ma vedremo che non solo questo. In secondo luogo, e forse anche pi gravemente, pensare che la sicurezza sia materia per tecnici ha tolto alle persone la possibilit di renderla un modo di essere. Ha portato a pensare il lavoro come qualcosa di diverso dal lavoro sicuro. In questa aberrazione, esiste il lavoro per come viene normalmente fatto e il lavoro sicuro, per come lo vogliono i tecnici e i legislatori. Ecco, quindi, che la sicurezza diventa solo un problema burocratico, unesigenza di pochi (i tecnici) subita da molti (i lavoratori) e da evitare il pi possibile, cercando di fare il minimo indispensabile per superare la valutazione di conformit. Occorre precisare con forza che la sicurezza non il casco che pu essere indossato o meno. Il lavoro non sicuro non lavoro. La sicurezza non unaggiunta, o peggio un appesantimento di ci che si sta facendo, ma lunico modo possibile per pensare ed eseguire un lavoro che voglia chiamarsi tale. Pensare alla sicurezza solo in termini tecnici, oltre a deresponsabilizzare tutti gli attori del sistema, la trasforma in qualcosa di tecnico. La vera sicurezza, intesa come modo di essere, non pu essere stimolata in un sistema senza che lo interessi nella sua totalit. Se, ad esempio, un datore di lavoro volesse erogare un corso sulluso di certi strumenti adot

promuovere la sicurezza

terebbe un approccio tecnico. Incaricherebbe un esperto per trasferire questa competenza nei suoi lavoratori, ma non sarebbe necessario che lui stesso fosse formato sullo strumento. La sicurezza spesso stata vista alla stregua di uno strumento, un semplice dpi, un casco che viene presentato ai lavoratori insegnando loro come indossarlo. Ma la sicurezza anche altro, qualcosa che interessa tutti e richiede che tutti i livelli del sistema si mettano in gioco. 1.1.4. La sicurezza fa perdere tempo Questa visione della sicurezza come aggiunta che appesantisce il lavoro ci porta a considerare un altro elemento di difficolt: la sicurezza fa perdere tempo. qui in atto un principio di bilanciamento costi e benefici che discuteremo in modo approfondito in seguito. Vediamo qui le implicazioni immediate di questa visione distorta: siccome sicurezza e lavoro sono due entit distinte, preferibile svolgere il lavoro in modo pi efficiente senza rallentare od ostacolare lattivit. Dal momento che difficile stimare la probabilit di un evento, siamo portati ad assumerci rischi in favore di un risparmio di tempo e fatica. Daltro canto ovvio che la bilancia tra costi e benefici propenda per un vantaggio quasi certo (un lavoro svolto in economia) rispetto a un rischio solo probabile (la possibilit di un incidente). Se la sicurezza sar vista sempre e solo come costo e rallentamento, non sar mai promossa e stimolata in modo efficace. 1.1.5. La sicurezza in contrasto con il business Infine, collegato al punto precedente, c lultimo elemento di difficolt. La sicurezza come aspetto in contrasto con il business. La sicurezza certamente declinabile in termini di costi, diretti e indiretti. Formare il personale, adeguare e manutenere i macchinari, controllare gli ambienti, seguire le normative, adottare e rispettare procedure, avere cura dei lavoratori, sono tutte attivit che hanno un peso economico immediato che, in alcuni casi, potrebbe essere pi saliente del costo potenziale dovuto a un incidente. Se dovessimo ragionare nel breve termine questa strategia sarebbe condivisibile, ma nel lungo termine lerosione della sicurezza in favore del risparmio o del guadagno rischiosa perch i costi finali saranno molto maggiori di quanto risparmiato. Veniamo poi al caso della perdita di vite umane, dove il costo non stimabile e quindi il bilanciamento tra business e sicurezza perde di senso: se il business prevede la salute delle persone (o

1. cos la sicurezza?

la loro stessa vita) tra i costi ammissibili, siamo ovviamente di fronte a un caso che viola non solo le leggi, ma i nostri stessi principi morali. 1.2 Cambiare paradigma Abbiamo visto che non facile parlare di sicurezza per via di tanti luoghi comuni, retaggi e abitudini che possono rendere inadeguato un approccio efficace al tema della salute sui luoghi di lavoro. Continuiamo questa nostra riflessione sulle criticit chiarendo alcune questioni terminologiche. Siccome la sicurezza nei sistemi socio-tecnici complessi , naturalmente, complessa, merita un approccio altrettanto complesso. Non esistono soluzioni semplici a problemi complessi, e ogni tentativo di riduzione degli incidenti basato su visioni semplicistiche non far che illudere il sistema rispetto a una condizione ritenuta sicura e che, invece, contiene al suo interno le condizioni che porteranno al disastro. Vediamo qui di seguito una proposta di cambiamento terminologico, con lobiettivo di liberare il campo da ambiguit e luoghi comuni. Continuare a usare termini inadeguati significa usare vecchi occhiali per guardare la complessit, occhiali che si sono rivelati inutili per cogliere quegli aspetti che possono farci avanzare nellindagine della sicurezza nella sua intrinseca complessit. Se guardiamo alla tab. 1.1, vediamo un raffronto tra la vecchia e la nuova terminologia.
tabella

1.1 Confronto fra termini diversi per parlare di sicurezza


Nuova terminologia

Vecchia terminologia

Cause Catena degli errori Errori Colpe

Condizioni Interazioni complesse Variet della prestazione Comportamenti

In un sistema semplice, quando accade un evento possibile individuarne la causa, perch questa spesso in prossimit spaziale e temporale con il suo effetto. In un sistema complesso non possibile che un effetto (un incidente o un qualsiasi altro evento) sia prodotto da una sola causa chiaramente identificabile. Purtroppo risulta particolarmente frequente e co

promuovere la sicurezza

modo pensare in termini di cause specifiche, ma la sicurezza nei sistemi complessi non promossa in modo efficace se per un evento si cerca una e una sola causa. Siamo certamente vincolati dal fatto che prima o poi troveremo ci che cerchiamo, perch indossando questi occhiali giungeremo a trovare ci che coincide con le aspettative. Purtroppo, per, saremo vittime di unillusione, ossia che, individuata la causa, la si potr rimuovere e quindi si render il sistema pi sicuro. Nei sistemi socio-tecnici complessi, tuttavia, non esiste una causa per un effetto: esistono invece condizioni che concorrono a definire uno o pi eventi. Saper distinguere cause e condizioni importante, come gi intu James Reason (1990) nei suoi pionieristici lavori sulla psicologia della sicurezza. Il fuoco la causa di un danno a un macchinario dovuto a un incendio, ma le condizioni che lo producono sono la presenza di materiale infiammabile, la presenza di ossigeno, lassenza di intervento per spegnere il fuoco, la carenza di manutenzione sui materiali ecc. Focalizzarsi sulle cause fa perdere di vista le condizioni nelle quali queste assumono carattere di rischio. Un altro modo comune di guardare gli incidenti consiste nellutilizzo della metafora della catena degli errori. Questa particolarmente insidiosa per diversi motivi. Prima di tutto non esiste una catena, una sequenza lineare e chiaramente identificabile di errori. La catena fa pensare a una serie di cause in sequenza, ma abbiamo visto prima che le cause vanno intese in termini di condizioni contemporaneamente presenti, e non concatenate. Piuttosto, esistono intrecci di relazioni tra fattori che se analizzati a posteriori sono trasformati indebitamente da reticolari a lineari. Inoltre, la metafora della catena degli errori insidiosa perch parla di errori, quindi di comportamenti umani o eventi che sono chiaramente identificabili in questa catena. Come le tessere di un domino, che cadono luna sullaltra, potranno quindi essere individuati, manipolati, riportati in piedi o rimossi. Immaginiamo di trovarci in un ingorgo stradale: qual la causa? Esiste una catena di errori o fatti che conducono allingorgo? Frustrato dallattesa, posso anche prendermela col vigile urbano, ma ci risponder piuttosto a un mio bisogno quasi infantile di trovare il colpevole del mio malessere. Lingorgo sar propriet emergente di molti fattori, quali le condizioni della strada, il numero di auto in circolazione, la presenza di auto in seconda fila, la sincronizzazione dei semafori, il rispetto o meno delle regole da parte degli autisti e dei pedoni ecc. Il termine propriet emergente proviene dalle scienze della complessit (Corning, 2002) e indica quelle caratteristiche che, in un sistema, derivano dallinterazione di elementi operanti a diversi livelli di complessit e che, pur essendo

1. cos la sicurezza?

riconducibili ad essi, non sono predicibili considerando gli elementi nella loro specificit. Un alveare propriet emergente dellazione di milioni di api, e conoscendo lattivit delle singole api non potremmo immaginare forma e funzioni di un alveare. Un incidente propriet emergente di diversi fattori che interagiscono e si combinano in modo complesso; ci implica che ogni intervento sugli specifici elementi costitutivi non permette di prevedere il loro andamento futuro. Un altro elemento critico della dicitura catena degli errori sta nel termine errore. Come vedremo pi approfonditamente in seguito, questa parola ha senso solo a posteriori, dopo che avvenuto un incidente. Prima dellevento non si parla di errore, esso nasce nella nostra mente solo quando valutiamo i suoi effetti. Andare a caccia di errori risulta quindi ambizioso e fatuo, quasi come la caccia ai fantasmi. Come fare a individuare preventivamente qualcosa che si materializza solo dopo un incidente? La parola errore serve a dare consistenza ontologica a qualcosa che di fatto non ne ha, unetichetta valutativa che possiamo usare per rendere conto di ci che accaduto, ma che ha poco senso cercare se vogliamo evitare lincidente. Essa fa pensare al fatto che esistono comportamenti errati e comportamenti giusti, o meglio: che esiste un modo giusto di fare le cose e tanti modi sbagliati. Non cos. Esiste il modo standard di fare un lavoro, ci che scritto nei manuali, nei regolamenti, che alberga nella mente di chi valuta a posteriori. Ma una palese illusione. Immaginiamo la guida dellautomobile. Ci sono le regole del codice stradale e i principi appresi a scuola-guida, ma poi c la guida vera, effettiva, radicata nel qui-ed-ora di ognuno di noi nella sua auto in quel momento specifico. I nostri comportamenti non saranno sempre perfettamente coincidenti con ci che dice il codice stradale o che abbiamo appreso dallistruttore di guida. Saranno una forma di adattamento locale di quelle regole e apprendimenti. Ecco, quindi, che sembra pi appropriato parlare di variet di prestazione (Hollnagel, 2004), intesa come la variabilit che noi esseri umani abbiamo nel mettere in atto i nostri comportamenti. Non siamo macchine che fanno la stessa cosa in ogni contesto, la nostra prestazione variabile nel tempo e nello spazio, da persona a persona, e possiamo solo stabilire quanto la nostra prestazione sia lontana dallo standard di riferimento. Lessere una prestazione inadeguata sar quindi una questione di distanza dal criterio. E proprio come accade nellevoluzione dei sistemi complessi, la variet sia fonte di errore, sia fonte di crescita, cambiamento, miglioramento. Un errore nella riproduzione del codice genetico genera una mutazione, che pu portare a effetti positivi o negativi per la specie, a seconda del contesto

promuovere la sicurezza

ambientale nel quale si inserisce. Lo stesso accade nei sistemi socio-tecnici complessi, dove la prestazione variabile pu generare cambiamenti anche positivi e non va giudicata come erronea solo perch si discosta dallo standard. Infine, lerrore porta con s la nozione di colpa. Chi ha sbagliato sbagliato. Questa equazione la conseguenza di quella che chiamiamo cultura della colpa, di cui parleremo ampiamente in seguito. Se pensiamo allerrore come colpa, il colpevole sar colui che va punito ed eliminato perch il sistema resti sano. Il rischio di questo approccio di identificare lerrore con la persona, quindi di pensare che il suo comportamento errato sia dovuto alla natura deviante della persona, e quindi lunico rimedio sar di agire su di essa nella sua totalit. Al contrario, piuttosto che giudicare lindividuo, sarebbe opportuno valutare i comportamenti; sembra una piccola raffinatezza verbale, ma parlare di comportamenti di rischio e non di persone fa una grande differenza. Un comportamento si pu analizzare e correggere, la persona no. Adottare una prospettiva lontana dalla cultura della colpa non significa cadere nel buonismo o nel lassismo. Ognuno responsabile per ci che fa e questo principio fuori discussione. Piuttosto che ragionare in termini di colpa, chi vuole promuovere la sicurezza dovrebbe adottare una cultura giusta, che sappia quanto limitato sarebbe cercare il colpevole a tutti i costi, pensando di aver risolto il problema (Dekker, 2007). Quanto abbiamo detto finora ha lo scopo di chiarire le basi da cui partiamo per parlare di sicurezza. Questo non implica che i termini errore o causa non compariranno pi in questo volume, ma almeno sar chiaro che sono intesi in un senso diverso da quello comune. 1.3 Sicurezza e pensiero sistemico Il 13 gennaio 2012 alle 21.45 la nave da crociera Costa Concordia colp uno scoglio presso lisola del Giglio. La nave si inclin sul lato destro e imbarc acqua in modo repentino, le procedure di evacuazione furono attivate nelle ore seguenti allimpatto. Pi di quattromila persone erano a bordo, tra equipaggio e passeggeri. Purtroppo trenta persone persero la vita e due sono al momento ancora disperse. Tutti conosciamo la storia, almeno per come ce lhanno raccontata. Emersero subito pesanti responsabilit a carico del comandante Francesco Schettino, per la leggerezza di come stava conducendo la nave, troppo vicina alla costa, e per i ritardi nellavvio

1. cos la sicurezza?

delle procedure di evacuazione. Nei mesi successivi la stampa nazionale continu a svelare inquietanti retroscena sulloperato del comandante e, contemporaneamente, commentava ammirata lintegrit della Guardia Costiera, che aveva gestito lemergenza in modo irreprensibile. Si era innescato un meccanismo, nellopinione pubblica, che vedeva nel comandante lorigine del disastro e quindi lunico responsabile per quello che era successo. Questa visione molto radicata in noi e nasce da fattori di tipo culturale, ma direi soprattutto di tipo antropologico e filosofico. A partire dalla filosofia aristotelica, siamo abituati a vedere il mondo come regolato da cause ed effetti, dove unazione genera un risultato chiaro ed identificabile. Questo tipo di occhiali stato molto efficace per secoli e ci ha permesso di realizzare scoperte scientifiche di enorme portata, ma da circa un secolo la scienza stessa ha cominciato a disfarsi di questi occhiali perch non pi adatti a spiegare i fenomeni che stavano prendendo forma davanti a noi. Stiamo oggi vivendo una situazione paradossale, perch abbiamo sviluppato un progresso tecnologico di vasta portata, tale che negli ultimi cento anni la tecnica ha interessato quasi ogni ambito della nostra vita. Essa si ramificata, si estesa e moltiplicata. Il sistema tecnologico relativo alla nave Concordia, ad esempio, di enorme complessit e interessa persone, societ, macchinari, software, ecosistemi, regolamenti, leggi, processi economici e culturali. tale la complessit del sistema che non siamo pi capaci di gestirlo con le teorie adeguate. Questo il paradosso: la tecnologia si evoluta pi rapidamente della nostra capacit di rappresentarla e gestirla a livello teorico. Stiamo quindi usando modelli teorici semplici (basati sulla logica causa-effetto) per comprendere e controllare sistemi complessi. Cercare il guasto nel caso Concordia illusorio, inutile e anzi dannoso. Perch si rischia di trovare ci che si cerca, e solo quello, pensando che sia sufficiente per spiegare laccaduto ed evitare che si ripeta. Dekker (2011) riconduce questa errata impostazione al pensiero scientifico iniziato da Cartesio e Newton, basato su un approccio riduzionistico e dualistico. Il dualismo comporta una divisione tra mondo materiale e mondo mentale. Il primo regolato dalle leggi della meccanica fisica, che non si possono applicare al mondo mentale. Alla base del riduzionismo c la convinzione che per comprendere meglio un problema si debba andare in profondit e nel dettaglio. Dal momento che non esiste differenza tra le parti costituenti e il sistema nella sua interezza, secondo questo approccio sarebbe consigliabile ridurre lintero allanalisi delle singole parti. Ma

promuovere la sicurezza

i sistemi complessi presentano caratteristiche qualitativamente diverse a livello generale rispetto al livello delle parti. Nel caso Concordia, per capire il problema si sarebbe quindi tentati di andare in profondit a cercare le cause remote, i guasti del sistema. Ma una vera comprensione dellincidente non pu derivare dallanalisi riduzionistica di quelli che a posteriori sono considerati gli errori. Tale indagine chiamerebbe in questione la scelta della rotta da parte del comandante, il comportamento dei sottufficiali, la poca chiarezza normativa ecc. Ma lincidente stato il risultato dellinterazione tra questi e migliaia di altri fattori e, pi che le cause, importante studiare linterazione tra esse. Cercare le cause a posteriori ha un suo interesse che potremmo definire post-mortem; in altri termini, come in unautopsia, si cercano nel corpo del defunto i fattori che ne hanno determinato la morte. Queste sono variabili esplicative, che ci dicono qualcosa sullo specifico evento. Ma evitare che eventi simili accadano cosa diversa, e piuttosto che focalizzarsi sulle cause bisognerebbe analizzare le interazioni complesse tra di loro. Prima di analizzare nel dettaglio le caratteristiche dei sistemi complessi, vediamo il caso dellincidente aereo dellatr-72 della Tuninter, che useremo per commentare alcuni dei principi della complessit. Il 6 agosto 2005 un atr-72 della compagnia aerea Tuninter decoll da Bari, diretto allisola tunisina di Djerba. A circa due terzi del viaggio, il comandante fu costretto ad un ammaraggio di emergenza perch entrambi i motori si spensero, avendo consumato tutto il carburante disponibile. Lammaraggio avvenne a circa 30 km da Palermo e limpatto fu tale che morirono 16 persone delle 39 imbarcate. Lindagine rivel che lesaurimento del carburante era dovuto a un errato calcolo della quantit fornita prima della partenza. Tale quantit era stata definita sulla base di un indicatore di quantit del carburante che era stato appena sostituito da parte dei tecnici della manutenzione. Essi montarono sullatr-72 un indicatore tarato per i serbatoi dellatr-42, modello pi piccolo e con serbatoi meno capienti (fig. 1.2). I due indicatori sono identici, lunica differenza la presenza di un piccolo numero stampato sul frontalino dello strumento, che indica la capacit massima per serbatoio alare (che 2.500 kg per latr-72 e 2.250 per latr-42). Tale errore non notato ha fatto s che, in base al diverso algoritmo di calcolo del livello di carburante, lindicatore segnasse 1.800 kg in eccesso quando i serbatoi erano vuoti e tale discrepanza aumentasse durante il rifornimento. I piloti, quindi, decollarono credendo di avere a disposizione circa 2.700 kg di carburante, quando in realt ne avevano imbarcato molto meno.

1. cos la sicurezza? 1.2 I due indicatori di carburante: a sinistra lindicatore dellatr-42, a destra quello dellatr-72
figura

Qui di seguito riportato il resoconto dellAgenzia nazionale sicurezza volo (ansv, 2008, p. 204), in cui si elencano i principali fattori contributivi allevento:
Errori commessi dai meccanici/tecnici a terra nella ricerca e nella corretta individuazione dellindicatore di carburante. Errori commessi dallequipaggio di condotta, che non ha rispettato le procedure operative, in particolare per quanto concerne la verifica del carburante presente a bordo. Controllo carente da parte del competente Ufficio della compagnia aerea coinvolta nellevento del rispetto, da parte degli equipaggi di volo, delle procedure operative. Non accuratezza dei dati inseriti nel sistema di gestione delle parti di ricambio ed assenza di un efficace controllo del sistema stesso. Carente addestramento sullutilizzo del sistema di gestione delle parti di ricambio e assenza di un responsabile per la gestione del sistema stesso. Standard manutentivi e organizzativi della compagnia aerea non soddisfacenti, al tempo dellincidente, per unadeguata gestione degli aeromobili. Caratteristiche installative degli indicatori di carburante (fqi) degli aeromobili atr-42 e atr-72 tali da rendere possibile il montaggio di un fqi per atr-42 su di un atr-72 e viceversa.

I punti elencati qui sopra potrebbero essere visti come guasti del sistema e si potrebbe quindi andare a caccia dei responsabili. Sarebbe questa la tradizionale impostazione newtoniana, riduzionista e meccanicista. Se invece adottiamo la prospettiva della teoria della complessit, ci troviamo di fronte a una situazione ben diversa. Vediamo ora alcune caratteristiche dei sistemi complessi (von Bertlanffy, 1968), aiutandoci con lesempio del caso Tuninter.

promuovere la sicurezza

I sistemi complessi sono sistemi aperti. Essi sono in continuo scambio di materia, informazione ed energia con lambiente esterno e con altri sistemi, non possibile definire chiaramente i confini di un sistema complesso perch ci che accade nel suo interno influenzato dallesterno e, a sua volta, influenza lambiente circostante. Nel caso della Tuninter, lincidente va letto nellinterazione del sistema con elementi apparentemente esterni, ad esempio la concorrenza della compagnia con il mercato, che provoca una forte pressione commerciale data dal periodo estivo e dallesigenza di operare senza ritardi. Inoltre, la decisione della casa costruttrice dellindicatore di carburante di adottare ununica configurazione fisica di due pezzi destinati a modelli di atr diversi esterna al sistema Tuninter, ma, come sappiamo, ha avuto conseguenze rilevanti. Dopo lincidente furono emesse alcune raccomandazioni che sollecitavano la casa costruttrice ad adottare due tipologie installative diverse, in modo da evitare il ripetersi di errori simili. Tuttavia questa indicazione non stata subito recepita, anche perch comporterebbe dei costi e un cambiamento di strategie produttive. Tale ambiguit ha per avuto un seguito perch, pochi mesi dopo lincidente della Tuninter, un evento simile accadde a una compagnia tedesca dove due operai montarono un indicatore del modello 42 sul modello 72. In questo caso, per, si accorsero dellerrore al momento del rifornimento di carburante, perch le quantit segnalate risultavano incongruenti. Infine, un altro elemento nel caso Tuninter che rivela la natura di interscambio con altri sistemi riguarda il software per la gestione dei pezzi di ricambio. Ogni pezzo di ricambio, infatti, ha un part number (p/n) che lo identifica in modo univoco, proprio per evitare errori di montaggio. Il tecnico addetto alla sostituzione del pezzo cerc sul catalogo dei pezzi di ricambio quale fosse il codice dellindicatore e trov il p/n 748-681-2. Inser quindi il p/n sul programma di gestione dei pezzi di ricambio in uso presso la Tuninter, il quale diede esito negativo. Questo perch il sistema era stato impostato in modo tale da leggere tutto ci che seguiva il trattino - come un carattere e non come numero. Il p/n corretto sarebbe stato 748681-2, ma il tecnico non lo sapeva. Non era consapevole che ci fosse una incongruenza tra il p/n riportato nel catalogo e i p/n caricati nel database del sistema di gestione dei ricambi. Cos come non poteva sapere che il trattino era stato rimosso dal costruttore degli indicatori per problemi informatici di gestione dei pezzi. Il tecnico, non trovando il pezzo richiesto, cerc pezzi compatibili e identific quindi quello per latr-42. In un sistema complesso, ogni componente inconsapevole del comportamento del sistema nella sua totalit e non conosce gli effetti delle sue azioni

1. cos la sicurezza?

sul sistema. Questo fatto ben evidente nella soluzione progettuale della casa produttrice dei due indicatori di carburante: quando hanno deciso per ununica configurazione hanno prevalso logiche e comprensibili ragioni logistiche, tecniche e produttive. Non sapevano che questo avrebbe avuto una tale ricaduta in un altro tempo e in un altro luogo. Allo stesso modo, chi gestiva il sistema informatico dei pezzi di ricambio non aveva consapevolezza della sua incompatibilit con il catalogo dei pezzi stessi, poich in uno il p/n era riportato con il trattino e nellaltro senza. Inoltre, possiamo elencare una sequenza di azioni cieche nel caso Tuninter: chi prende il pezzo non sa dei cambiamenti al software, chi lo monta non verifica il p/n, laddetto al rifornimento non si accorge dellincongruenza tra carburante imbarcato e livelli indicati sulla strumentazione, comandante e copilota non notano le discrepanze durante il rifornimento. Ogni elemento di questo sistema agisce nellambito della sua conoscenza parziale, vede solo un pezzo del sistema. Se ogni elemento del sistema avesse conoscenza del sistema stesso, esso avrebbe la medesima complessit del sistema. Nei sistemi complessi, per, questo non possibile: gli elementi non contengono la stessa complessit del sistema, altrimenti sarebbe valido un approccio riduzionistico, per cui basta analizzare le parti per comprendere il tutto. La complessit una propriet emergente del sistema e non delle sue parti. I sistemi complessi si possono analizzare a diversi livelli, partendo dalle parti pi elementari via via sino a quelle pi generali. Ad ogni livello si hanno propriet emergenti, ossia che derivano dai livelli inferiori, ma che possiedono aspetti qualitativamente diversi rispetto alla somma degli elementi da cui sono formati. Si pensi allacqua e alle sue caratteristiche: essa qualitativamente diversa rispetto alle componenti gassose da cui composta, cio idrogeno e ossigeno. La natura liquida dellacqua deriva dallinterazione di due elementi gassosi. quindi linterazione, e non lanalisi delle parti, a spiegare il sistema. Se lanalisi di un elemento fosse sufficiente per spiegare il sistema, basterebbe agire su quellelemento per cambiare o gestire lintero sistema. Nei sistemi complessi non cos. Si pensi ai due indicatori di carburante del caso Tuninter: se bastasse conoscere questo elemento per gestire tutto il sistema (e quindi prevenire lincidente), sarebbe sufficiente agire su questa parte del sistema. Ma, come sappiamo, nel caso del Tuninter questa ambiguit progettuale ha interagito con altre caratteristiche specifiche del sistema (le incongruenze tra sistema informatico e catalogo dei ricambi, il mancato controllo dei meccanici e dei tecnici che operavano il rifornimento, linconsapevolezza dei piloti nella conduzione

promuovere la sicurezza

delle procedure di volo) e ha portato allincidente. Pochi mesi pi tardi, lo stesso elemento in un altro contesto (in una compagnia aerea tedesca) ha interagito con altri elementi e non ha dato esiti catastrofici, perch gli operatori si sono accorti dellincongruenza tra quantit di carburante imbarcata e quantit segnalata dagli indicatori. Sempre nel caso Tuninter, i piloti non si sono accorti del frontalino diverso (indicava 2.250 kg di capienza per serbatoio alare, anzich 2.500), ma questo perch non cera motivo di sospettarlo. Essi interagivano con la fiducia che altri avessero eseguito i controlli e non stava a loro verificare se il frontalino corrispondesse a quello corretto. I sistemi complessi operano in condizioni di non equilibrio. I sistemi complessi vivono ai margini del caos, ossia in quella zona di confine che li separa dallordine rigido, da una parte, e dal disordine entropico, dallaltra. Se un sistema cadesse nellordine, nella rigida struttura della ripetizione delle stesse dinamiche, rischierebbe di collassare di fronte ai cambiamenti dellambiente circostante e degli altri sistemi coi quali interagisce. Dallaltro lato, se il sistema si spingesse eccessivamente verso il caos, perderebbe la sua organizzazione e non avrebbe capacit di mantenere le sue caratteristiche fondamentali nel tempo. Nel caso Tuninter, questo ben visibile per quanto riguarda le incongruenze tra catalogo dei ricambi e sistema informatico di gestione dei pezzi. Il sistema collassato (ha avuto un incidente) perch non ha saputo adeguarsi ai cambiamenti che erano intervenuti rispetto al p/n dellindicatore di carburante. La casa produttrice aveva eliminato il trattino per questioni informatiche, questo cambiamento non era stato riportato nel catalogo dei ricambi e, inoltre, non si era provveduto a correggere una impostazione del database informatico, quella secondo cui tutto ci che segue il trattino un carattere e non un numero. I sistemi complessi evolvono secondo linee che dipendono anche dalla loro storia passata. Quando si legge lo stato di un sistema, si compie un falso, nel senso che lo stato andrebbe interpretato nellottica della storia precedente. Il percorso scelto dal sistema nel momento iniziale del suo sviluppo avr effetti a lungo termine in larga parte non predicibili. Per capire le dinamiche del sistema quindi importante leggerlo nel suo sviluppo diacronico e non solo inquadrarlo nel qui-ed-ora. La famigerata catena degli errori del caso Tuninter ci fa inorridire, se pensiamo agli attori coinvolti come inconsapevoli negligenti che costruiscono lentamente il disastro, scelta dopo scelta. Ma loro non sapevano che stavano costruendo una tragedia, questa la lettura che diamo noi a posteriori, perch, di fatto, le cose sono andate cos. A posteriori ci chiediamo come abbiano potuto non

1. cos la sicurezza?

accorgersi degli errori, ma mettiamoci nei loro panni e leggiamo i comportamenti come storia e non come colpa. Ognuno aveva una storia, una lunga serie di esperienze simili a quella che stavano vivendo, che li rendeva tranquilli e sicuri. Tutto faceva parte della loro storia, delle abitudini (devianti, poco conformi alle procedure, certo) della compagnia, in cui le prassi operative erano condotte senza il pieno rispetto delle procedure. Ma questo mancato rispetto non nato di punto in bianco, il 6 agosto 2005, nella loro testa. Si sedimentato negli anni, grazie a una lunga serie di successi (ossia assenza di incidenti) a seguito di queste leggerezze procedurali. La storia passata rendeva quindi normale, per loperatore alla ricerca del pezzo di ricambio, sceglierne uno simile e dare per scontato che il pezzo giusto non fosse in magazzino. I sistemi complessi hanno interazioni non-lineari. Esiste una notevole diversit e asimmetria tra ci che entra nel sistema e ci che ne esce. Piccoli eventi possono generare enormi conseguenze, perch le interazioni tra le parti del sistema possono avere effetti moltiplicativi. questo il famoso effetto farfalla teorizzato da Edward Lorenz, per spiegare come sia possibile che un cambiamento apparentemente irrilevante delle condizioni iniziali del sistema (un battito dali di una farfalla) possa generare alterazioni su larga scala allinterno del sistema (un uragano). quindi sbagliato leggere gli eventi in ottica simmetrica rispetto alle loro supposte cause. Non vero che un grande incidente provocato da un comportamento scellerato. Piccoli comportamenti, omissioni, abitudini consolidate, innocue ambiguit informative, tutti questi battiti dali hanno interagito fra loro e hanno portato alluragano, ossia lincidente della Tuninter. Se il mondo fosse davvero interpretabile con lottica riduzionista e meccanicista, la simmetria tra cause ed effetti sarebbe rispettata. Ma i sistemi complessi seguono altre logiche, in cui possibile che una decisione presa dieci anni prima dalla casa produttrice degli indicatori di carburante (la rimozione del trattino nel p/n) abbia contribuito a produrre effetti cos devastanti. 1.4 La coppa della sicurezza Allinizio di questo capitolo abbiamo detto che uno dei motivi che rendono difficile la promozione della sicurezza la sua natura ineffabile e invisibile. Un tentativo di visualizzare la sicurezza potrebbe quindi aiutare nel tutelarla e promuoverla. Come abbiamo visto, la sicurezza dipen

promuovere la sicurezza

de dallinterazione di molti fattori presenti nel sistema; un non-evento dinamico e va quindi rappresentata in modo tale da riprodurre questa natura. Proviamo a indicare quali sono gli elementi principali che interagiscono in un sistema: avremo persone che hanno a che fare con altri colleghi e che si inseriscono in una organizzazione fatta di regole, principi, procedure, culture; essi utilizzano strumenti, macchinari, dispositivi, materiali e lavorano in un ambiente fisico pi o meno facilitante, avendo a che fare con un ambiente esterno, anche sociale, fatto di clienti, cittadini, opinione pubblica, istituzioni. Tutto questo elenco di elementi forse non esaustivo, ma ci aiuta a individuare gli attori principali di un sistema. Possiamo rappresentarli come tanti pezzi di una coppa, elementi in interazione dinamica, che sono tutti collegati e possono pi o meno integrarsi armonicamente fra loro. I tasselli sono mobili, non sono mai fermi, e sono frastagliati, devono quindi cercare sempre di colmare le falle che si possono creare nei margini di contatto. importante notare che le falle, pi che essere dei buchi allinterno dei singoli tasselli, sono viste come lacune tra i tasselli, quindi come inadeguata integrazione fra due o pi elementi del sistema. Nella fig. 1.3 vediamo una possibile rappresentazione (Bracco, 2005; Bracco, Cipresso, Villamira, 2009).
figura

1.3 La coppa della sicurezza

1. cos la sicurezza?

Cominciamo dallessere umano. Egli uno dei tasselli, ed presente come corpo e come mente, ossia la sicurezza pu interessare sia la sua dimensione fisica sia quella psicologica. Immaginiamo situazioni di fatica fisica, di posture scorrette, di esposizione ad agenti nocivi, di temperature estreme. Tutti questi aspetti riguardano il nostro essere corpi fisici sottoposti a sollecitazioni, una falla in questo tassello rappresenterebbe situazioni di minaccia per il corpo. Laspetto psicologico dato da quelle variabili legate al vissuto della persona, alle sue aspettative, bisogni, emozioni, motivazioni. In questo tassello si trovano il suo modo di gestire lattenzione e lo stress, la sua memoria, il suo modo di comunicare, di apprendere e di insegnare. Una falla a questo livello rappresenterebbe situazioni legate a cattiva prestazione, giudizi erronei, effetti negativi del carico di lavoro e dello stress ecc. Poi c il gruppo, inteso come pari e come organizzazione. A livello dei pari, di colleghi, si trovano questioni legate alla gestione del gruppo di lavoro, di comunicazione e coordinamento, di benessere nella squadra. Una falla a questo livello potrebbe essere dovuta a situazioni di cattiva comunicazione, di scarso coordinamento tra i colleghi. Mentre qui domina una lettura di tipo orizzontale, nel secondo tassello vediamo il gruppo in senso gerarchico, a livello di organizzazione. Qui si trovano dinamiche organizzative legate alla comunicazione interna, pi o meno formalizzata, alle competenze di leadership, alla cultura aziendale, alla mission e ai valori. Una falla a questo livello potrebbe essere dovuta alla cultura della colpa. Le persone lavorano utilizzando strumenti fisici e procedure. Questi sono gli altri due tasselli della coppa. Uno rappresenta le macchine, gli utensili, gli oggetti usati per lavorare. Una falla a questo livello potrebbe essere dovuta a una cattiva progettazione della tecnologia, a una sua scarsa integrazione con lessere umano, a unanomalia nellautomazione. Gli strumenti sono anche procedure, regole, manuali, istruzioni, checklist ecc. Tutto ci che riguarda le linee guida per usare gli strumenti e fare il proprio lavoro. Anche in questo caso una falla potrebbe riguardare procedure non applicabili, troppo stringenti o insicure, manuali incomprensibili, checklist inutili. Infine, tutti lavorano allinterno di un ambiente fisico e sociale. Lambiente fisico dato dal contesto di azione, il luogo di lavoro per come interagisce su persone e tecnologie. Una falla a questo livello potrebbe rappresentare ambienti ostili, con radiazioni, inquinamento, condizioni estreme per lavorare come laltezza, il rumore ecc. Lambiente sociale, infine, rappresenta il contesto in cui il sistema opera, fatto di clienti che

promuovere la sicurezza

hanno esigenze e aspettative, cittadini che hanno una certa immagine del sistema e dei suoi servizi, istituzioni che controllano ed emettono regole a cui il sistema deve sottostare, mezzi di comunicazione che controllano e contribuiscono a rendere unimmagine pubblica del sistema. Tutti questi tasselli si toccano alla base, sono in interazione dinamica tra loro, se uno si muove, gli altri dovrebbero cambiare di posizione. Ogni cambiamento in uno di essi dovrebbe comportare riadattamenti altrove. Se questo non avviene, o se i cambiamenti in un tassello non vengono armonicamente controbilanciati dagli altri tasselli, la coppa si sfalda. Le falle possono essere nel singolo tassello (ad esempio, unanomalia in uno strumento), ma pi frequentemente sono il risultato dellinterazione fra tasselli (ad esempio, nella scarsa usabilit di uno strumento da parte degli operatori, che comporta molti errori di utilizzo). Pi la falla profonda, pi sar grave, perch toccher pi tasselli del sistema e la sicurezza sar completamente compromessa. Immaginiamo, ad esempio, il caso della Costa Concordia. Senza pretese di analisi tecnica sullevento, vediamo che ci sono state diverse falle nei tasselli del sistema. Il comandante ha preso decisioni discutibili sulla rotta e sulla gestione della crisi (livello psicologico), il gruppo di ufficiali non ha saputo esercitare il suo ruolo nella prevenzione del disastro (livello dei pari), lorganizzazione non era consapevole, o tollerava, la pratica degli inchini sottocosta (livello organizzativo), le procedure non erano definite n condivise (livello delle regole), la strumentazione a disposizione non stata sufficiente per evitare limpatto (livello della tecnologia), il contesto fisico era ostile, con scogli pericolosi presenti lungo la rotta (livello dellambiente fisico), lambiente sociale e culturale vedeva con favore la pratica degli inchini, come segno di bravura del comandante, occasione di passaggi panoramici mozzafiato, omaggio a personalit di rilievo della marineria italiana (livello del contesto sociale). Tutte queste falle nel sistema hanno fatto defluire lacqua-sicurezza, portando al disastro. La sicurezza un liquido contenuto in questa coppa. In quanto tale essa si muove, si adatta al contenitore, ma anche difficile da prendere. Infatti la sicurezza difficile da manipolare, sfugge dalle mani perch un non-evento dinamico. Essa si adatta al sistema in cui inserita e non pensabile una sicurezza predefinita, prefabbricata, esportabile da un sistema ad un altro. La sicurezza nel sistema X non pu essere affrontata e concepita come identica nel sistema Y, anche se i due sistemi sono molto simili. Essi sono fatti di persone con esperienze, vissuti, aspettative diverse. Ad esempio, le procedure operative di un reparto di una fabbrica con

1. cos la sicurezza?

mille dipendenti, non possono essere applicate in maniera identica a un medesimo reparto, con le stesse mansioni, ma in una sede con solo cento dipendenti. La gestione delle risorse sarebbe inevitabilmente diversa, perch lapplicazione di procedure deve variare al variare delle persone a disposizione per metterle in atto. Laddove vi sia una falla lacqua-sicurezza scende a quel livello. Se, ad esempio, ci sono due falle, una in alto, a livello di procedure, e una in basso, a livello di gruppo di lavoro, la sicurezza scender al livello della falla pi bassa. Ci significa che in un sistema la sicurezza si attesta al livello dellelemento pi debole. Non avrebbe senso preoccuparsi per tappare la falla delle procedure, nellesempio appena esposto, se prima non si agisse a livello di gruppi che operano in modo non sicuro. Che utilit avrebbero procedure pi rigide se manca la capacit di lavorare in team e di adottare quelle stesse procedure? La sicurezza scende, quindi, fino alla falla pi profonda, pi in basso. Il livello delle falle potrebbe indicare la gravit del problema, che cresce allapprossimarsi del fondo della coppa. Una falla nel cuore del sistema, al fondo, toccherebbe tutti gli elementi e quindi rappresenterebbe un buco talmente grave che non lascerebbe pi acqua nella coppa. Questo modello ci aiuta anche a capire che se si vuole promuovere la sicurezza nei sistemi complessi, ogni azione su una parte del sistema deve essere pensata nelle sue conseguenze su quella parte, ma anche su tutte le altre, che sono in interazione dinamica e non sempre conosciuta. Allargare lo spessore di un tassello, ad esempio, non farebbe che disallineare gli altri elementi, spaccando la coppa. Alzare un tassello, elevando il suo bordo, darebbe illusione di sicurezza, ma sarebbe invece inutile se gli altri elementi restassero immutati. Immaginiamo un sistema dove si acquistino macchinari allavanguardia, ad esempio un reparto ospedaliero, ma dove gli operatori non sono adeguatamente formati per utilizzarli al meglio. Il margine superiore del tassello delle strumentazioni sarebbe rialzato, ma questo non renderebbe pi sicuro il sistema, perch le persone non sarebbero capaci di usarle. Oppure immaginiamo una fabbrica dove il responsabile per la sicurezza decida che i controlli degli estintori devono passare da trimestrali a mensili. Questo provvedimento sulla carta potrebbe sembrare ineccepibile, perch aumenta la sicurezza sul versante delle procedure di manutenzione degli strumenti. Il problema che questi interventi devono essere pensati anche rispetto a come possono riverberare sugli altri elementi del sistema. Se questo controllo mensile non si accompagna a un ripensamento delle mansioni, dei tempi di lavoro, ma semplicemente si aggiunge al lavoro svolto normalmente, esso rischia di non essere applica

promuovere la sicurezza

to. Potrebbero quindi esserci delle falle a livello di operatori che, sotto il carico di una attivit in pi da svolgere entro lo stesso tempo, farebbero ispezioni superficiali, certi che in ogni caso il mese successivo ci sar modo di controllare meglio. Lacqua nella coppa esercita una pressione sui vari tasselli, spingendoli verso lesterno. Allo stesso modo, la sicurezza sollecita il sistema, lo mette alla prova. Tutelare la sicurezza quindi un lavoro, unattivit che richiede ai tasselli di combaciare per garantire un livello ottimale di acqua al suo interno. Se gettassimo dellacqua in modo repentino e violento, la coppa si spaccherebbe. Lacqua va calata lentamente nella coppa, facendola scivolare gradatamente tra i vari tasselli. Cos la sicurezza, non la si pu imporre violentemente, va metabolizzata e fatta propria, finch non diventa un modo di essere, culturale e psicologico. Una sicurezza che cade dallalto, che precipita nella coppa, non far altro che smembrarla. questa quella sicurezza imposta rigidamente, che non viene capita dalle persone, ma solo subita. Oppure quella sicurezza usata come pretesto per bloccare il sistema, per rallentarlo. Si pensi allo sciopero bianco, quella forma di sciopero in cui i lavoratori eseguono alla lettera le loro mansioni, nel totale rispetto delle regole per la sicurezza e delle procedure previste. In genere questo blocca ogni operativit. Oppure si pensi a quella sicurezza che nasce dalla paura, come nel caso della medicina difensiva. Essa si riferisce a tutte quelle pratiche sanitarie, cliniche e diagnostiche che sono del tutto inutili ai fini terapeutici, ma che illudono gli operatori di auto-tutelarsi dalle denunce che potrebbero derivare da pazienti scontenti o insospettiti dal mito negativo della malasanit. Questa non sicurezza, solo paura legittima, che per ha un costo enorme, in termini di risorse economiche e umane impiegate in attivit inutili, il cui solo valore la tutela in caso di contenzioso legale. Vediamo di seguito un caso accaduto in un ospedale, dove la soluzione proposta non farebbe che allargare la falla, perch frutto della paura e non dellanalisi accurata.
Analisi di un caso: una strana carota Una donna di 67 anni si reca in Pronto soccorso (ps) per sensazione di corpo estraneo in gola dalla sera precedente quando, durante la cena, riferisce di aver ingerito un pezzo di carota un po grosso. Il medico di ps valuta la paziente e, avendo questa lo spazio respiratorio conservato, la dimette con indicazione di una visita in ambulatorio di otorinolaringoiatria (orl) il mattino seguente. Due giorni dopo la paziente si ripresenta in triage. La procedura di codifica della gravit del paziente

1. cos la sicurezza?

in arrivo al ps viene eseguita da un infermiere professionale che, in base ai sintomi, assegna un codice colorato (rosso: emergenza, pericolo di vita; giallo: urgenza, non immediato pericolo di vita; verde: urgenza minore; bianco: nessuna urgenza). Persiste il disturbo, viene inviata nuovamente in ambulatorio orl. Al quarto giorno, con lo stesso disturbo, la paziente si reca autonomamente in ambulatorio orl. Lo specialista la invia in ps per eseguire uno studio radiologico con mezzo di contrasto del faringe. Il medico fa eseguire un elettrocardiogramma (ecg) puramente per routine. Lecg dimostra una sindrome coronarica acuta (sca, infarto). Il cardiologo consultato dichiara che linfarto era presente al primo accesso in ps (semplice deduzione sua, unendo sintomi e segni raccolti in pi giorni). Questo episodio scatena un allarme tra il personale medico e infermieristico del ps: se una sensazione di corpo estraneo in gola sca, ogni dolore al faringe o corpo estraneo pu essere sca, quindi facciamo ecg ad ogni paziente con problema di gola. Questo buttare secchiate di acqua nella coppa della sicurezza: lacqua schizzerebbe fuori, la coppa oscillerebbe facendo traboccare lacqua, i tasselli potrebbero scostarsi uno dallaltro. Questa una metafora. Concretamente il tassello uomo non funzionerebbe: il medico si troverebbe a valutare una quantit di ecg alla ricerca di sca in assenza di sintomi specifici con il rischio di sovra/sottostimare il tracciato. Vi interessa sapere come sta la paziente?

2 La sicurezza spiegata da un gorilla

2.1 La difficolt di vedere i rischi Vediamo ora cosa significa, in pratica, adottare un punto di vista sul proprio lavoro che consenta una vera promozione della sicurezza. Provate a guardare limmagine nella fig. 2.1, leggendo le istruzioni proposte e rispondendo il pi velocemente possibile.
figura

2.1 Aguzzate la vista

Ad un primo sguardo possibile che non abbiate notato nulla. Avete seguito le istruzioni e avete cercato attentamente lerrore nascosto nella sequenza di numeri. Siccome sono numeri in sequenza crescente da 1 a 9, avrete pensato che il vostro sguardo si fosse perso qualcosa e avete letto meglio, scandendo i numeri nella mente in modo seriale. Ancora niente. Allora

promuovere la sicurezza

avrete pensato che lerrore stesse nel colore dei numeri, i toni di grigio variabile potrebbero essere ingannevoli. Niente. La spaziatura ristretta tra i numeri? Nemmeno. Poi forse avrete riletto le istruzioni per capire se vi sfuggito qualcosa; e forse infine avrete notato che larticolo il viene ripetuto due volte, alla fine della prima riga e allinizio della seconda. I vostri occhi erano cos orientati a cercare lerrore nei numeri che avete dato per scontata la normalit delle istruzioni. Questo fenomeno di tunnel cognitivo interessante e dice molto su come vediamo il mondo intorno a noi. Ci aspettiamo che lerrore sia nei numeri e quindi lo cerchiamo solo l. Allo stesso modo, cerchiamo i rischi solo dove pensiamo si possano annidare. Meglio ancora se si annidano tutti in ununica persona, pi facile gestirli. Ma i rischi per la sicurezza si trovano ovunque e il vederli o meno dipende dal nostro atteggiamento mentale, dal tipo di occhiali che adottiamo. A proposito: anche larticolo i ripetuto due volte siccome ci si aspetta un solo errore (come detto dalle istruzioni) una volta trovato il primo non se ne cercano altri. Questo fenomeno si chiama inattentional blindness (Simons, Chabris, 1999; Chabris, Simons, 2009) e si riferisce alla cecit in cui cadiamo quando non dirigiamo lattenzione verso certe parti della scena. Lesempio pi clamoroso di cecit senza attenzione visibile in un filmato che presenta tre ragazzi con maglia nera e tre ragazzi con maglia bianca che si passano una palla da basket muovendosi freneticamente. Il compito di contare i passaggi tra i ragazzi bianchi. Pi del 50% degli osservatori si concentra sui passaggi e non vede a met filmato un attore mascherato da gorilla che entra in scena, si ferma in mezzo al campo di gioco e si batte il petto, per poi uscire lentamente. Il gorilla nero, come la maglia degli altri giocatori, e quindi gli osservatori hanno impostato la loro attenzione in modo tale da trascurare tutto ci che non corrisponde agli elementi di interesse. Chi vede il gorilla spesso ci riesce perch si perde i passaggi e quindi sgancia lattenzione dalla palla, oppure perch conosce gi il filmato. Solo pochi riescono a contare i passaggi in modo corretto e vedere il gorilla. Questa esperienza molto utile per riflettere sulla sicurezza. Prima di tutto ci dice che quando lavoriamo siamo spesso cos concentrati che rischiamo di non vedere cose anche molto evidenti. Pensiamo alla guida, ad esempio. Non un caso che questo fenomeno sia la causa di molti incidenti sia in campo aeronautico che stradale. Ma il senso profondo del filmato un altro. La richiesta di contare i passaggi e chi si concentra lo fa in modo diligente e attento. Allo stesso modo, spesso le persone fanno

2. la sicurezza spiegata da un gorilla

il proprio lavoro concentrandosi sulle procedure e pensano di operare in modo sicuro. Ma la sicurezza non sta solo nelladesione alle procedure, spesso esistono gorilla che passano e non lasciano il segno, ma sarebbero visibili se si adottasse la giusta prospettiva. I gorilla sono quindi metafora di tutto ci che si trova nel nostro lavoro di inatteso e di invisibile, ma che potrebbe avere rilevanza per la sicurezza. Il gorilla passa, non si ferma, ma prima o poi potrebbe fermarsi e farci male. I rischi sono tali perch hanno una certa probabilit di evolvere in incidente e la sicurezza sta nel compiere il proprio lavoro seguendo il pi possibile le procedure (contare i passaggi) senza trascurare informazioni apparentemente irrilevanti, segnali deboli che sembrano non essere collegati col lavoro in corso, ma che potrebbero minacciarlo in futuro (il gorilla). Un altro insegnamento di questo filmato che, dopo aver contato i passaggi, se qualcuno accenna timidamente e perplesso di aver visto un gorilla, gli altri membri del gruppo reagiscono deridendolo per lassurda affermazione. In alcuni casi ho visto persone che, essendo le uniche ad aver visto il gorilla, si sono ricredute e hanno quasi chiesto scusa per la bizzarria. Questa la cultura della colpa. Il gruppo non sa dellesistenza del gorilla e reagisce allaffermazione assurda con un tipico meccanismo di difesa, una sorta di negazione del problema. La realt di molti pi vera della realt di pochi e quindi chi vede il gorilla certamente in errore. Chi vede situazioni di rischio e prova a riportarle si pu trovare in questa condizione frustrante data dal fatto di essere considerato una voce fuori dal coro, uno scomodo che vede rischi irragionevoli in preda alle sue paranoie. Quando si mostra il filmato per la seconda volta, chiedendo di non contare i passaggi, tutti vedono il gorilla e allora possono manifestarsi due tipi di reazione. Qualcuno guarda con ammirato stupore colui che ha visto il gorilla, magari pentito per averlo deriso, e certamente scosso dal fatto di non aver visto un cos evidente segnale davanti ai suoi occhi. Altri cadono ancora nel meccanismo di difesa della negazione e sostengono che il filmato diverso, che il primo filmato non aveva gorilla e che questo stato inserito solo nel secondo video. Piuttosto che accettare la scomoda verit di non vedere cos bene come crediamo di fare, alcuni preferiscono sospettare un complotto o una manipolazione. Anche questo pu accadere nella promozione della sicurezza sul lavoro: chi vede un rischio potenziale, nascosto tra le procedure, pu trovare la resistenza di chi quel rischio non lo vede e non lo vuole vedere, perch vederlo significherebbe mettere in discussione le proprie competenze e aspettative e doversi predisporre a un cambiamento.

promuovere la sicurezza

Analisi di un caso: un gorilla in Pronto soccorso Vediamo ora di applicare questo fenomeno a un caso specifico. La situazione la seguente: in un piccolo Pronto soccorso si trovano ad operare un medico, tre infermieri e un ausiliario. Il carico di lavoro moderato, ci sono alcuni pazienti sulle barelle, altri attendono di essere visitati dal medico, altri ancora nella sala dattesa prima del triage. Giunge in ambulanza un marocchino di quarantatr anni, i barellieri descrivono il caso allausiliario come segue: il paziente era in questura interrogato per rissa quando si accasciato lamentando dolore toracico. Il paziente fatto accomodare su una sedia nel corridoio interno del Pronto soccorso e lausiliario gli assegna il codice verde riportando contusioni nella cartella clinica. Dopo cinque minuti linfermiere di triage nota dalla sua postazione che il paziente ha una espressione facciale anomala e decide di farlo sdraiare su una barella, gli misura la pressione arteriosa, esegue un elettrocardiogramma (ecg) e fa un prelievo del sangue. Mostra quindi i risultati delle analisi al dottore, che decide di lasciare il paziente con il codice verde. Poco dopo il paziente ha un ennesimo attacco di dolore toracico e vomita. Non viene preso nessun provvedimento. Le analisi del sangue sono negative. Unora e mezza dopo il suo arrivo in Pronto soccorso, il paziente esegue una radiografia al torace che risulta negativa sia per fratture costali sia per lesioni pleuro-parenchimali. Unora dopo il paziente continua a lamentarsi per dolore al torace; viene eseguito un secondo ecg che rivela alterazioni tipiche di unischemia miocardica e vengono rieseguiti gli esami del sangue che mostrano un rialzo di troponina, il primo enzima ad aumentare in caso di ischemia del miocardio. Viene quindi eseguita una consulenza cardiologica e il terzo ecg (questo in assenza di dolore) mostra una riduzione delle anormalit della traccia. Il paziente viene quindi inviato in terapia intensiva coronarica con la seguente diagnosi: alterazioni enzimatiche e dellecg in trauma toracico. Finalmente riceve un intervento di angioplastica per occlusione coronarica. Il paziente era chiaramente vittima di un infarto ma nessuno, eccetto linfermiere di triage, aveva riconosciuto questa situazione anche in presenza di evidenze diagnostiche inequivocabili. Perch? Possiamo ipotizzare che il profilo della situazione fosse inusuale, perch sono frequenti i casi di cittadini marocchini ricoverati per contusioni da rissa. I barellieri dellambulanza, che avevano descritto il caso quasi dando per scontato che la situazione fosse routinaria, e la decisione superficiale dellausiliario avevano contribuito a impostare il gruppo a cercare i passaggi dei bianchi (la frattura), piuttosto che a vedere il gorilla (linfarto). Questo li ha condotti in un tunnel cognitivo che li avrebbe impostati a trattare il caso come abituale. Nessuno, incluso il medico, si liber dal tunnel cognitivo poich non riconobbero n lecg n le analisi del sangue come segni di un infarto, cosa che avrebbe richiesto di cambiare impostazione mentale. Diversi fattori hanno bloccato gli operatori nel loro tunnel: la relativa novit della situazione, il carico di lavoro e le pressioni temporali, i pregiudizi verso quel tipo di pazienti.

2. la sicurezza spiegata da un gorilla

Possiamo anche valutare gli aspetti organizzativi grazie a questa metafora del gorilla. Ad esempio, linfermiere di triage non si fece coinvolgere nel tunnel cognitivo in cui si persero i suoi colleghi poich non era presente allarrivo del marocchino e non si fatto bloccare dalla descrizione data dai barellieri; ci gli ha permesso di notare il viso del paziente e i segni di un malessere di origine cardiaca, ha quindi saputo notare il segnale debole, liberandosi dei fattori di disturbo che possono bloccare nel tunnel cognitivo. Questo incidente mancato non fu successivamente analizzato dallo staff medico e dai dirigenti, che lo ritennero irrilevante. Linfermiere di triage descrisse questo caso a un medico che al momento non era presente, ritenendo che tali informazioni avrebbero potuto essere utili se condivise e analizzate. Questo infermiere possedeva la flessibilit mentale necessaria per cogliere segnali deboli e notare che la prestazione del gruppo, in quella occasione, era stata rischiosa. Era stato capace di vedere il segnale debole dellinfarto e il segnale debole della cecit del gruppo, perch aveva visto le anomalie e le voleva condividere per aumentare la consapevolezza del gruppo di lavoro. Ma la flessibilit data dalla sensibilit ai segnali deboli non sufficiente se non viene condivisa, se rimane a livello individuale. Linfermiere ha cercato di condividere lesperienza, segnalando il gorilla, ma purtroppo il team non ha accolto queste sue informazioni, perch lesito non drammatico del caso (il paziente non ha subito danni rilevanti n deceduto) ha smorzato il potere informativo degli eventi anomali notati dallinfermiere. Questa situazione mostra anche una tipica caratteristica dei sistemi sociotecnici complessi: la prestazione degli operatori ben diversa da quella prescritta e prevista dalle procedure. Le persone adattano alla situazione contingente le attivit richieste e talvolta tali adattamenti risultano rischiosi. Ad esempio, i barellieri e lausiliario non erano autorizzati a fare il triage, i sintomi di infarto sono stati sottovalutati, il paziente ha dovuto attendere troppo tempo prima di essere ricoverato in terapia intensiva ecc. Tra le cause di queste inadeguatezze possiamo citare fattori interni (ad esempio, le aspettative erronee su quel tipo di paziente) o esterni (ad esempio, le condizioni di lavoro). In questa storia si nota come fossero presenti adulti gorilla di fronte agli occhi degli operatori, e solo alcuni hanno saputo notarli e gestirli in modo appropriato.

2.2 Limportanza dei segnali deboli Lesercizio proposto con la fig. 2.1 e lesempio del gorilla sono la dimostrazione che vediamo ci che vogliamo (o ci aspettiamo di) vedere. Se pensiamo alla sicurezza come qualcosa che pu essere minacciata dallerrore umano, vedremo persone che sbagliano; se un problema di manutenzione, vedremo solo macchinari da controllare; se un problema di proce-

promuovere la sicurezza

dure, vedremo solo processi da organizzare, regolamenti da irrigidire. In questo volume diremo che la sicurezza anche altro. Promuovere la sicurezza significa anche (e soprattutto) saper cogliere i segnali deboli presenti costantemente nel proprio contesto lavorativo, intuendone il potenziale sviluppo verso lincidente prima che porti a conseguenze negative. Tali segnali andranno visti, condivisi, gestiti a livello di singoli, gruppi e organizzazione, affinch il gorilla sia messo in gabbia e non possa fare male. Lo scopo di questo volume proprio quello di discutere su come vedere, condividere e gestire tali segnali deboli, prima che diventino incidente. Unobiezione che potrebbe giungere a questa affermazione che i segnali deboli, in quanto deboli, non meriterebbero di essere visti e gestiti. Ci distoglierebbe dal compito (contare i passaggi), gi di per s gravoso. Non possibile, si potrebbe dire, vedere tutti i tipi di gorilla che circolano nel lavoro, anche perch ognuno ne vedrebbe di propri, potrebbe usarli in modo inadeguato, strumentale. E poi, prima di dare importanza ai segnali deboli, si dovrebbe imparare a seguire le procedure, rispondere a segnali forti e gravi come la carenza di fondi, la poca motivazione delle persone a seguire le regole ecc. Queste obiezioni potrebbero essere valide, ma credo che un cambiamento culturale e sistemico, che permetta di dare valore ai segnali deboli e gestirli in modo efficace, potrebbe portare alla risoluzione dei problemi anche di altro livello, come quelli elencati. In secondo luogo, da molti anni ormai la letteratura sugli incidenti nei sistemi complessi conferma un dato statistico interessante. Se provassimo a quantificare il numero di situazioni non sicure rispetto a quasi incidenti, incidenti lievi e incidenti gravi, vedremmo una sorta di piramide. Quella rappresentata nella fig. 2.2 un esempio di piramide ispirata a quella proposta da Heinrich (1931) e poi rivisitata in anni recenti da altri ricercatori, ma sostanzialmente rimasta valida nei suoi contenuti di base. Indipendentemente dallordine di grandezza, che pu variare da sistema a sistema, sembra che per ogni incidente grave si siano verificati in passato decine di piccoli incidenti, centinaia di situazioni di rischio, migliaia di eventi anomali. Tutti segnali che avrebbero potuto essere colti per evitare di scalare la piramide fino allincidente grave. Ecco allora che la sicurezza pu essere promossa agendo sui segnali deboli prima che evolvano in incidente. I gorilla si trovano alla base della piramide, sono quei segnali difficili da notare, ma su cui si dovrebbe agire in misura preventiva. Laddove regni una cultura della colpa, per, vi sar una cor

2. la sicurezza spiegata da un gorilla

tina che annebbier i livelli pi bassi della piramide, lasciando emergere solo la punta, lincidente grave. Nelle organizzazioni non sicure, dove vige la sicurezza come ricerca del colpevole, i lavoratori non saranno capaci di vedere i segnali deboli o, nel caso lo fossero, non saprebbero o potrebbero condividerli e gestirli a livello di gruppo e organizzazione. In tal caso si lascerebbe che i segnali evolvessero diventando sempre pi minacciosi. Solo una volta trasformati in incidente lorganizzazione non potrebbe pi chiudere gli occhi di fronte al fatto e si agirebbe per porre rimedio. Ma questo approccio puramente reattivo; si fa sicurezza sulla base delle ferite passate e nei sistemi socio-tecnici complessi non consigliabile aspettare lincidente per migliorare. Potrebbe essere lultimo. Unorganizzazione orientata alla sicurezza dovrebbe creare le condizioni per intervenire sulla parte bassa della piramide, quando non ci sono ancora conseguenze negative da rimediare.
figura

2.2 La piramide che rappresenta il rapporto tra segnali deboli, quasi incidenti e incidenti gravi

2.3 La matrice segnali per risposte Diviene chiaro, quindi, che la sicurezza si basa sul rapporto tra segnali e risposte. Vi possono essere segnali forti o deboli in un sistema, e questo pu dare risposte forti o deboli. Dalle possibili combinazioni di segnali e risposte deriva una matrice come quella rappresentata nella tab. 2.1.

promuovere la sicurezza

tabella

2.1 La matrice segnali-risposte


Risposte Deboli Forti

Segnali

Deboli Forti

Deriva verso il disastro Collasso

Sicurezza proattiva Sicurezza reattiva

2.3.1. Risposte deboli a segnali forti: verso il collasso Se un sistema fornisce risposte deboli a segnali forti sar semplicemente destinato al collasso. In questo caso non solo si attende che il segnale diventi incidente, ma non lo si considera come fonte di apprendimento e miglioramento, quindi la risposta sar debole, parziale, inadeguata. questa la situazione in cui, per esempio, accade un incidente organizzativo e si interviene sullultimo anello della catena, quindi sulla persona che ha sbagliato. Se un medico viene giudicato responsabile di un evento avverso, in cui lui solo uno dei fattori che hanno contribuito alla genesi dellincidente, la direzione interviene sulla persona e trascura tutti gli altri fattori che resteranno cos attivi nel sistema, pronti per generare altri incidenti. 2.3.2. Risposte deboli a segnali deboli: la lenta deriva Se un sistema fornisce risposte deboli a segnali deboli non si render conto di andare alla deriva verso il disastro, perch attender che il segnale evolva verso incidenti pi gravi. I motivi per cui le organizzazioni danno risposte deboli a segnali deboli possono essere vari. Vi pu essere lincapacit di rappresentarsi il pericolo per via delleccessiva confidenza sulle proprie capacit. questo il caso del Titanic, dove malgrado il personale di plancia sapesse della presenza di iceberg lungo la rotta, sottovalut il problema e prefer concentrarsi sullaspetto trionfale dellimpresa. Questo accade a livello di sistema e di persone. Se ci sentiamo troppo capaci di controllare la situazione, siamo troppo fiduciosi nei successi passati, rischiamo di sottovalutare i rischi e daremo risposte deboli. Un altro motivo potrebbe essere quello della carenza di risorse (economiche, temporali, organizzative, mentali). In tal caso, malgrado si colga il problema, si preferisce rinviare la soluzione perch non si dispone di risorse sufficienti ad affrontarla o si sottostima la probabilit che quel segnale debole diventi forte. Ad esempio, se guidando mi accorgo che lauto sbanda per via dei pneumatici usurati,

2. la sicurezza spiegata da un gorilla

sto cogliendo un segnale nemmeno troppo debole. Se per mancanza di soldi, tempo o per disorganizzazione non trovassi il modo di far cambiare i pneumatici, rischierei seriamente di avere un incidente. Penserei solo di stare un po pi attento mentre guido, magari evitando le frenate brusche quando piove. Questa risposta debole non mi proteggerebbe dal rischio di avere un serio incidente, perch, per quanto guidi attento alle frenate, non potrei prevedere tutte le situazioni in cui dovrei bloccare lauto improvvisamente. Allo stesso modo, sul piano organizzativo, un dirigente che, pur notando errori dovuti alla cattiva gestione dei carichi di lavoro, non intervenga aumentando le risorse di personale o rallentando i tempi di esecuzione, bens imponendo la compilazione di checklist, crederebbe di aver trovato una soluzione, ma sarebbe solo illusoria. Le persone compilerebbero la checklist di fretta e senza controllare davvero, perch la vedrebbero non come un supporto al lavoro, ma come un compito in pi oltre a quelli che gi devono svolgere. 2.3.3. Risposte forti a segnali forti: sicurezza reattiva Veniamo al caso in cui il sistema dia risposte forti a segnali forti. Siamo nel campo dellapprendimento per prove ed errori, dellesperienza fatta sul campo. I sistemi socio-tecnici complessi non si possono sempre permettere di avere una sicurezza puramente reattiva, che ponga rimedio ai danni causati da un incidente. Lapprendimento che ne consegue sarebbe grande, ma i costi (economici, tecnologici, umani, sociali, ambientali) potrebbero eccedere il guadagno in termini di conoscenza acquisita. Si pensi a incidenti come quello della Costa Concordia. Dopo il segnale forte (il naufragio, la morte di pi di trenta persone, il danno ambientale), il sistema della navigazione italiana ha richiamato al rispetto di regole severe per quanto riguarda le distanze di sicurezza (risposta forte). Era un costo evitabile? Molti sostengono di s. Si pensi ancora al cambiamento radicale del sistema di trasporto aereo dopo lattacco alle Torri gemelle di New York, l11 settembre 2001. Un segnale forte (lattacco terroristico) ha imposto una risposta forte (controlli ai check-in, cabine di pilotaggio blindate ecc.). I sistemi spesso apprendono dagli errori e quindi un tale metodo non sbagliato, ma diventa inefficiente nel momento in cui il sistema si trova in condizioni di rischio tale che un incidente non sarebbe sostenibile. Pensiamo, ad esempio, al dibattito mondiale tuttora in corso rispetto alle centrali nucleari. Gli incidenti avvenuti a Three Mile Island, ernobyl, Fukushima (per citare tre centrali nucleari) ci hanno insegnato molto, ma

promuovere la sicurezza

non sappiamo quantificare i costi umani, sociali e ambientali che sono derivati dal disastro. I motivi per cui le organizzazioni spesso aspettano di arrivare al segnale forte sono dovuti alla sottostima dei rischi, alle esigenze produttive che fanno passare in secondo piano i temi della sicurezza, a una cultura della colpa che rende ciechi di fronte ai segnali deboli, per cui si attende levento avverso grave per reagire. 2.3.4. Risposte forti a segnali deboli: sicurezza proattiva La vera sicurezza si ha quando un sistema riesce a dare risposte forti a segnali deboli. Per fare ci deve avere la capacit di intuire il rischio potenziale dei segnali e avere le risorse per intervenire. I segnali deboli, proprio perch tali, sono difficilmente visibili e spesso solo gli operatori front-line, cio quelli pi vicini allarea produttiva, sono in grado di coglierli. Creando una cultura organizzativa e lavorativa che si basi sulla fiducia e sulla condivisione, gli operatori possono cogliere tali segnali e utilizzarli. Uno dei sistemi migliori per questo processo il reporting system, ossia un metodo di segnalazione degli eventi che metta in comunicazione la base con i vertici dellorganizzazione. Spesso vengono segnalati solo gli incidenti gravi, perch la legge lo impone e non facile nasconderli se ci sono morti o feriti. Perch un sistema sia definito sicuro deve riuscire a far circolare linformazione relativa non solo agli incidenti, ma soprattutto ai segnali deboli. Tuttavia per fare questo necessaria fiducia (il contrario della cultura della colpa), e soprattutto necessario che le informazioni riportate abbiano una ricaduta concreta e il pi possibile immediata sul modo di lavorare degli operatori. Se le risposte del sistema sono assenti, inadeguate o tardive, i lavoratori perdono il senso del reporting e lo vivono solo come lennesima burocrazia. La segnalazione fine a se stessa non sicurezza; se non rientra in un progetto sistemico di analisi e intervento sar una forma di eutanasia di unidea. Ripensiamo al caso del marocchino. Linfermiere stato lunico a non cadere nella trappola, ha visto il segnale debole e ha provato a condividerlo. Anzi, sono due i segnali che ha notato: lespressione del paziente e la condizione di lavoro troppo routinaria del gruppo. Egli ha provato a segnalarli, ma non ha avuto seguito. Nel caso del primo segnale debole, lespressione del paziente, il gruppo era troppo concentrato nel cercare la frattura e quindi non era nelle condizioni mentali di uscire da questa aspettativa. Come vedremo anche in seguito, piuttosto che cercare ipotesi alternative alla propria, malgrado le evidenze, ci si ostina a cercare confer

2. la sicurezza spiegata da un gorilla

me alle nostre ipotesi. Il gruppo cercava la frattura e poteva vedere solo questa. Il mancato ascolto dellinfermiere dovuto quindi, in questo caso, al fatto che lui sta raccontando unaltra storia, completamente slegata dalla storia degli altri. Prestare attenzione a qualcosa di incoerente con le nostre aspettative costa fatica, richiede impegno e fiducia, proprio come succede nel filmato del gorilla. Nel caso del secondo segnale, ancora pi difficile prestare attenzione e dare valore alle parole dellinfermiere. Egli riporta una pericolosa condizione di lavoro, che conduce gli operatori a sottovalutare situazioni, a non comunicare in modo efficace, a unambiguit dei ruoli e delle competenze. evidente che se gi difficile ascoltarlo nel primo caso (non riconoscere un infarto), diventa quasi impossibile dargli credito nel secondo (cambiare modo di lavorare). 2.4 I fondamenti di una cultura della sicurezza Lesempio del marocchino mette in luce il valore del reporting, inteso pi come cultura che come sistema codificato in modelli e procedure. Le normative sulla sicurezza in Italia impongono gi un certo tipo di reporting a livello di modelli, formulari, metodi. Il problema che manca spesso la cultura per capirne lutilit, accettarne il valore, fidarsi e utilizzarlo. Per cultura intendo proprio la possibilit che i lavoratori sentano di poter usare questi strumenti per tutelare la loro salute, benessere e sicurezza. E che questi non siano usati dalla dirigenza a scopo intimidatorio, persecutorio, investigativo. In altre parole, perch siano strumenti per una cultura organizzativa giusta, orientata alla sicurezza, e non pregna della cultura della colpa. Tratteremo anche in seguito dei temi di colpa, cultura giusta e reporting, ma vediamo qui come si inseriscono nel pi ampio tema della cultura della sicurezza. Reason (1997) ha definito una cultura della sicurezza come fondata su almeno cinque tipi di culture organizzative: 1. cultura dellapprendimento: prima di tutto lorganizzazione, come ogni sistema aperto, dovrebbe essere in cerca di apprendimento, sapendo cosa cercare e come trattare le informazioni acquisite. Una volta raccolte le informazioni, dovrebbe essere in grado di capitalizzarle, di giungere a conclusioni utili per la sicurezza e di operare cambiamenti opportuni per migliorare il suo adattamento. Lapprendimento, quindi, si basa su una cultura informata; 2. cultura informata: i dirigenti e gli operatori sono consapevoli dei fattori organizzativi, ambientali, tecnologici e umani che determinano la sicurezza

promuovere la sicurezza

del sistema. In altri termini, ripensiamo alla coppa della sicurezza presentata nel capitolo precedente. Si tratta di essere consapevoli dello stato di salute dei vari elementi, al fine di evitare perdite di acqua/sicurezza. Questo aspetto rilevante, perch la complessit delle organizzazioni rende spesso opaco il sistema; difficile avere consapevolezza su tutti gli elementi rilevanti. Ad esempio, il management e chi pianifica il lavoro degli operatori potrebbe non sapere che il lavoro viene svolto in modo molto diverso da come lo ha pensato. Pi il lavoro effettivamente svolto e quello pianificato sono distanti, maggiore sar la probabilit di incidenti. Una cultura informata quindi attenta a valorizzare le informazioni, di qualunque natura, senza colpevolizzazioni. In altre parole, si basa su una cultura giusta; 3. cultura giusta: le persone devono potersi fidare dellorganizzazione, devono sapere che i loro comportamenti (anche erronei) e la loro sensibilit verso la sicurezza sono i migliori strumenti per raccogliere segnali deboli. La cultura giusta evita la colpevolizzazione, non fermandosi allerrore umano o alla punizione delle violazioni. La cultura giusta rende esplicito il confine tra comportamenti passibili di intervento disciplinare ed errori onesti. Essa sa concentrarsi sui processi sistemici, piuttosto che sui risultati delle azioni delle persone. Per fare questo deve mettere a disposizione degli operatori dei sistemi di segnalazione che siano percepiti come utili e non indagatori; 4. cultura della segnalazione: il reporting uno strumento utile per far circolare le informazioni, perch quando gli operatori riportano errori e quasi incidenti, aiutano il sistema ad apprendere prima che si arrivi a danni maggiori. Si tratta appunto di dare materiale per agire con risposte forti a segnali deboli. Ma per motivare gli operatori alla segnalazione necessario uscire dalla cultura della colpa (altrimenti la segnalazione sarebbe vista come unautodenuncia) e dare feedback immediati e coerenti alle segnalazioni (altrimenti le persone che si sono esposte, non vedendo cambiamenti, cadrebbero nel disfattismo e nellimpotenza). Per dare feedback immediati e coerenti, il sistema deve possedere la giusta flessibilit; 5. cultura della flessibilit: una volta create le condizioni per ottenere le informazioni, i segnali deboli, il sistema deve saperli elaborare e adattarsi alla nuova conoscenza. La flessibilit permette al sistema di riconfigurarsi, soprattutto quando opera in contesti dinamici e imprevedibili. La gerarchia quindi non rigida, lorganizzazione si appiattisce, diventa pi reticolare.

3 Come le persone sbagliano

3.1 Incidenza del fattore umano nella genesi degli incidenti In tutti gli ospedali sono in uso delle pompe di infusione per il controllo del flusso di medicinali per via endovenosa. Questi macchinari prevedono che loperatore digiti la quantit desiderata di liquido da iniettare e permettono il monitoraggio del flusso nel tempo. Nellagosto 2006 la Food and Drug Administration (fda), lagenzia statunitense che tutela la salute pubblica tramite la supervisione e regolamentazione di farmaci e alimenti, si trov a gestire un caso difficile. Molte pompe di infusione prodotte dalla Alaris avevano un difetto nel tastierino numerico usato per impostare la quantit di medicinale da iniettare. In alcuni casi, quando linfermiere premeva il numero una sola volta, la macchina registrava due pressioni. Ad esempio, digitando 3,5 la pompa si poteva impostare su 33,5, somministrando unoverdose di farmaco dieci volte maggiore. Il rischio di provocare danni o anche la morte nei pazienti era elevato e lagenzia statunitense sollecit il ritiro delle pompe non ancora in uso. Per le pompe gi installate, la fda eman una lettera di avviso a tutti gli ospedali dove si davano le seguenti indicazioni: 1. informare tutti gli infermieri che durante la digitazione avrebbero dovuto assumere una posizione corretta rispetto al tastierino, ascoltare quanti bip venivano emessi dalla macchina dopo ogni pressione, verificare i numeri riportati sul display, fare un controllo incrociato con un collega, fare un controllo visivo del flusso di medicinale per verificare la correttezza del flusso impostato; 2. posizionare sulla pompa unetichetta di avviso del potenziale rischio di errata digitazione.

promuovere la sicurezza

Nella gestione di questo caso, stata scelta la via della sensibilizzazione delle persone. Una via alternativa avrebbe previsto la riparazione del difetto meccanico della tastiera. Supponiamo ora che un infermiere non si accorga dellerrore e somministri una dose eccessiva di farmaco. Malgrado tutti gli avvertimenti egli ha sbagliato. Perch le persone sono cos esposte allerrore? Eppure sono state emesse nuove procedure (ascolto dei bip, controllo incrociato) e avvisi di allarme (letichetta sulla pompa). Perch linfermiere non si accorto che stava impostando la pompa in modo errato? La risposta potrebbe essere tanto banale quanto disarmante: errare umano. Se questo motto valeva in epoca romana, sembrerebbe essere ancor pi valido oggi, dove lessere umano immerso in sistemi socio-tecnici complessi. Nel cap. 1 abbiamo visto come lo sviluppo di sistemi complessi sia andato molto oltre la nostra capacit di rappresentare e gestire le possibili interazioni al loro interno. Siamo stati bravi a costruire sistemi, che per non sappiamo gestire nel modo migliore. Secondo Heinrich, Petersen e Roos (1980), l88% degli incidenti nei sistemi produttivi e nei trasporti nel xx secolo dovuto ad atti insicuri (errori o violazioni) commessi dai lavoratori. Se guardiamo le statistiche degli incidenti in ogni settore, dalla medicina al trasporto aereo, dalledilizia alla produzione industriale, troviamo il fattore umano tra gli elementi di rischio maggiori. In poche parole, laddove c stato un incidente, vi sar dietro un comportamento inadeguato di una o pi persone. Rifacendoci alla terminologia proposta da Reason, definiamo errore un comportamento che ha prodotto risultati indesiderati, che infrange regole codificate ed vissuto come contrario ad una norma condivisa anche se non scritta. In generale, consiste in un fallimento di una sequenza pianificata di azioni mentali e attivit nel raggiungere un obiettivo desiderato che non pu essere attribuito al caso (Reason, 1990). Per motivi che saranno approfonditi nel prossimo capitolo, la ricerca preferisce oggi adottare una terminologia diversa e, anzich parlare di errore umano, utilizza i termini azioni erronee, intese come azioni che non producono gli esiti attesi o che producono conseguenze non volute (Hollnagel, 1993, p. 29). Le statistiche sugli errori come causa di incidenti sono simili in tutti i paesi occidentali; per quanto riguarda lItalia possiamo dire che le rilevazioni inail riportano come almeno il 40% degli infortuni sia legato a comportamenti scorretti dei lavoratori. I settori pi colpiti sono lagricoltura e ledilizia. Questo dato certamente sottostimato, perch tiene conto solo di quelle situazioni dove la denuncia di infortunio giunge presso linail,

3. come le persone sbagliano

ma poco sappiamo di tutti quegli infortuni che accadono nel lavoro sommerso, non regolamentato e senza tutele. 3.1.1. Il fattore umano in aviazione Il mondo dellaviazione quello che forse prima di tutti si posto il problema dellerrore umano. A partire dalla Seconda guerra mondiale, laviazione militare aveva notato come molte perdite non fossero dovute alloffensiva del nemico, ma ad errori dei piloti nel controllo del velivolo o a fuoco amico. Negli anni seguenti si investirono molte risorse nelladdestramento della persona, nella tecnologia e nella ricerca, al fine di ridurre lincidenza di quello che venne battezzato con successo il fattore umano. Il tasso degli incidenti fortemente calato negli ultimi cinquantanni, passando da quasi venticinque incidenti mortali per milione di decolli a meno di uno (nellarco temporale che va dal 1960 al 2000) (Chialastri, 2011). Tuttavia, secondo unindagine di Holden (2009), sugli incidenti analizzati dal Comitato statunitense per la sicurezza dei trasporti nazionali (ntsb) nel periodo 19992006, il 96% degli incidenti stato dovuto in larga parte a comportamenti erronei dellequipaggio e nell81% dei casi lerrore umano era lunica causa riconosciuta dellincidente. Tali statistiche sono confermate anche da altri studi svolti su un arco temporale pi ampio (Wiegmann, Shappell, 2003). Shappell e Wiegmann (2004) hanno, inoltre, condotto uno studio per analizzare le tipologie di errori pi frequenti sia in aeronautica militare che civile. Non vi sono sostanziali differenze tra i due settori: in generale la maggior parte degli incidenti dovuti a fattori umani legata a comportamenti ritenuti routinari, automatizzati, altamente frequenti. Questo tipo di errori riguarda il premere un pulsante per errore, credendo di premerne un altro, il leggere distrattamente un display, il dare un comando dicendo una cosa ma intendendone unaltra. Questo significa che, secondo queste statistiche, gli incidenti in aviazione accadono non per carenza di competenze, ma per semplice distrazione. Questo un problema considerevole, perch se la sicurezza dipendesse dalle conoscenze, basterebbe incrementarle con una migliore formazione. Ma non facile dire alle persone di stare pi attente, perch la distrazione avviene proprio mentre non siamo consapevoli. E i sistemi tecnologici odierni sono talmente avanzati in termini di automazione che rischiano di estromettere loperatore dal controllo del velivolo e lo rendono sempre meno attivo, e quindi pi prono alla distrazione. Dopo gli errori da distrazione, secondo Shappell e Wiegmann, troviamo quelli da decisione inadeguata. In questo caso le persone non hanno

promuovere la sicurezza

saputo adottare la procedura migliore in base al problema, perch non lo hanno capito o non sono stati veloci nel trovare la strategia opportuna. Di seguito, vi sono errori dovuti a violazioni intenzionali di procedure, spesso non in forma eccezionale ma piuttosto reiterata. Si tratta in questo caso di incidenti legati a violazioni sistematiche, ormai normalizzate, in cui gli operatori preferiscono accorciare o aggiustare la procedura per motivi che sono in contrasto con la sicurezza. Unultima categoria, molto meno rappresentativa, riguarda gli incidenti dovuti a errori percettivi, ossia dovuti a cattive condizioni di visibilit, disorientamento, illusioni ottiche ecc. Questi fattori sono pi frequenti in aviazione militare che in quella civile, ma hanno tassi di incidenza pi ridotti rispetto ai fattori precedentemente elencati. 3.1.2. Il fattore umano in medicina Uno dei settori spesso accomunati a quello dellaviazione la medicina. Entrambi richiedono unalta professionalit degli operatori, possiedono procedure molto formalizzate e operano in contesti dinamici e spesso imprevedibili, con forti interazioni tra aspetti sociali, culturali, tecnologici e organizzativi. Nel suo libro Ten Questions about Human Error, Sidney Dekker (2005) spiega perch, stando alle statistiche, i medici sono pi pericolosi delle armi da fuoco. Vi sono circa 700.000 medici negli Stati Uniti. Le stime dellIstituto di Medicina riportano che ogni anno muoiono tra le 44.000 e le 98.000 persone per motivi riconducibili ad errore medico (Kohn, Corrigan, Donaldson, 1999). Ci significa che negli Stati Uniti ogni anno 1 dottore su 7 uccide 1 paziente. In questo paese i possessori di fucili e pistole sono 80 milioni e le morti accidentali per arma da fuoco sono solo 1.500 lanno. Questo vuol dire che, in un anno, solo 1 persona su 53.000 uccider qualcuno per errore con la sua arma. E, di fatto, questa statistica rende i medici 7.500 volte pi pericolosi dei possessori di armi da fuoco. Ovviamente, le statistiche citate da Dekker (2005) sono esposte in modo provocatorio, e le commenteremo ancora in seguito. Per ora le usiamo come elemento di riflessione sullincidenza dellerrore umano in medicina. Secondo uno studio condotto negli usa, lincidenza di eventi avversi iatrogeni (dovuti cio alla terapia prescritta) si aggira intorno al 3%, di questi il 69% era evitabile e il 13% ha provocato la morte del paziente (Brennan et al., 1991). Dati analoghi sono riscontrati in studi australiani e inglesi. Le tipologie di errori pi frequenti, secondo Leape, Lawthers e Brennan (1993), sono:

3. come le persone sbagliano

diagnostici: errore o ritardo nella diagnosi, mancata esecuzione delle indagini prescritte, adozione di test o terapie non aggiornate, errori nellintervento sulla base dei risultati diagnostici; di trattamento: errore nellesecuzione di una operazione, procedura o test, errore nella somministrazione di un trattamento, errore nel dosaggio di un farmaco, ritardo ingiustificato nella somministrazione di un trattamento o nella risposta a un test anormale, terapia inappropriata; preventivi: mancato trattamento di profilassi, inadeguato monitoraggio o trattamento di follow-up; altro: errori nella comunicazione, errori nelluso delle attrezzature, altri errori di sistema. I dati relativi allItalia non sono cos dettagliati, ma possiamo stimare che le tendenze siano simili. Un fatto molto rilevante che sta accadendo nel nostro paese lincremento delle denunce per malpractice, ossia per sospetta negligenza dei clinici nelladeguarsi a standard professionali generalmente accettati. Negli ultimi anni si assistito a un incremento anche del 200% del numero di denunce, arrivando, nellultimo triennio, a quota 32.000 lanno. Ci non significa che a ogni denuncia corrisponda un reale errore da parte di medici e infermieri; anzi, spesso queste si risolvono in unassoluzione degli inquisiti. Il dato riflette, tuttavia, la sensibilit dellopinione pubblica sui temi legati alla sicurezza e alla fallibilit di persone e organizzazioni nei contesti sanitari. 3.1.3. Il fattore umano nei trasporti stradali Se le statistiche su aviazione e sanit sembrano allarmanti, quelle relative agli incidenti stradali sono drammatiche. Stando allultimo rapporto aciistat (2012), il numero degli incidenti in costante calo (2,7% rispetto al 2011), cos come lo sono i morti e i feriti. In dieci anni il numero dei morti calato del 45,6% e questo dato ci conforta rispetto agli sforzi che vengono fatti da legislatori, polizia stradale, istituzioni locali e produttori di automobili per aumentare la sicurezza alla guida. Se per ci concentriamo sul contributo che la nostra fallibilit umana o la nostra propensione al rischio danno alla genesi degli incidenti, i dati sono inequivocabili. Guardiamo la tab. 3.1, relativa alle cause accertate o presunte di incidenti stradali nel 2011, suddivise per ambito stradale. Come si pu vedere, pi del 50% delle cause di incidente dovuto a guida distratta, eccesso di velocit, mancato rispetto delle distanze di sicurezza, manovre non regolamentari e mancato rispetto degli stop. Nei

promuovere la sicurezza

contesti urbani il principale fattore di incidentalit il non rispetto delle precedenze o dei semafori, mentre su strade extraurbane la guida distratta, indecisa o veloce. Come si vede, sono tutti fattori riconducibili a comportamenti umani errati, per distrazione o per negligenza. Quando non il conducente del veicolo a commettere uninfrazione o un errore, il pedone il responsabile dellincidente (3,19% dei casi).
tabella

3.1 Cause accertate di incidenti nel 2011 suddivise per categoria di strada
Strade urbane Strade extraurbane Totale Valore %

Cause accertate o presunte di incidente

Procedeva con guida distratta o andamento indeciso Procedeva con eccesso di velocit Circostanza imprecisata Procedeva senza mantenere la distanza di sicurezza Manovrava irregolarmente Procedeva senza rispettare lo stop Procedeva senza dare la precedenza al veicolo proveniente da destra Procedeva senza rispettare il segnale di dare precedenza Svoltava irregolarmente Procedeva contromano Sorpassava irregolarmente Veicolo evitato Non dava la precedenza al pedone sugli appositi attraversamenti Procedeva senza rispettare le segnalazioni semaforiche o dellagente Procedeva non in prossimit del margine destro della carreggiata Veicolo fermo in posizione irregolare urtato Procedeva senza rispettare i limiti di velocit Procedeva senza rispettare i segnali di divieto di transito o accesso Caduta di persona da veicolo per discesa da veicolo in moto

30.611 17.207 22.580 17.785 15.228 12.456 11.107 11.797 6.535 3.806 3.850 2.225 6.526 2.085 1.691 2.466 761 1.231 984

12.258 10.794 6.672 7.800 2.688 2.038 1.366 1.542 1.008 1.620 1.339 3.531 100 126 998 278 469 142 228

42.869 28.001 29.252 25.585 17.916 14.494 12.473 13.339 7.543 5.426 5.189 5.756 6.626 2.211 2.689 2.744 1.230 1.373 1.212

17,57 11,48 11,99 10,49 7,34 5,94 5,11 5,47 3,09 2,22 2,13 2,36 2,72 0,91 1,10 1,12 0,50 0,56 0,50
(segue)

3. come le persone sbagliano

tabella

3.1 (seguito)
Strade urbane Strade extraurbane Totale Valore %

Cause accertate o presunte di incidente

Animale evitato Caduta di persona da veicolo per essersi aggrappata o sistemata inadeguatamente Caduta di persona da veicolo per apertura di portiera Frenava improvvisamente con conseguenze ai trasportati Si affiancava ad altri veicoli a due ruote irregolarmente Veicolo fermo senza che sia stato collocato il prescritto segnale urtato Fuoriusciva dalla carreggiata investendo il pedone Urtava con il carico il pedone Procedeva con le luci abbaglianti incrociando altri veicoli Usciva senza precauzione da passo carrabile investendo il pedone Attraversava imprudentemente il passaggio a livello Comportamento scorretto del pedone Ostacolo accidentale urtato Ostacolo accidentale evitato Buche ecc. evitate Totale
Fonte: adattamento da aci-istat (2012).

175 708 487 587 286 83 264 140 11 108 3 7.364 2.472 1.168 762 185.549

337 138 69 50 81 30 26 9 5 4 4 414 983 792 438 58.377

512 846 556 637 367 113 290 149 16 112 7 7.778 3.455 1.960 1.200 243.926

0,21 0,35 0,23 0,26 0,15 0,05 0,12 0,06 0,01 0,05 0,00 3,19 1,42 0,80 0,49 100

3.1.4. Il fattore umano nel settore marittimo Un altro settore dove la componente umana rilevante il comparto marittimo. I dati sono eterogenei e variano molto tra settore commerciale, nautica da diporto, trasporto passeggeri ecc. In generale, per, possiamo riscontrare tendenze simili agli altri settori analizzati in precedenza. La fig. 3.1 rappresenta i fattori scatenanti lincidente marittimo, con percentuali medie nellarco 2001-08. Anche in questo caso, il fattore umano lelemento principale nella genesi degli incidenti.

promuovere la sicurezza

figura

3.1 Fattori scatenanti lincidente marittimo (valori medi nellarco 2001-08)

Fonte: Ministero delle Infrastrutture e dei Trasporti (2011).

Potremmo continuare con le statistiche, analizzando i settori dellagricoltura, delledilizia, dellindustria, del comparto minerario ecc. Tuttavia, lo scopo di questo breve approfondimento non quello di dare un quadro esaustivo sugli incidenti lavorativi in Italia e nel mondo, quanto piuttosto di invitare alla riflessione sulla rilevanza sociale che il tema fattore umano sta avendo nelle nostre attivit produttive. Proviamo adesso a scorporare il concetto di errore e ad indagarne le dinamiche cognitive sottostanti. 3.2 Psicologia dellerrore umano Torniamo al caso dellinfermiere che commette un errore nellimpostare la pompa di infusione e immaginiamo tre scenari. Primo scenario. Linfermiere preme un pulsante del tastierino numerico e non si accorge che la macchina, troppo sensibile alla pressione, ripete il numero digitato, decuplicando la dose di farmaco in vena. Questo errore sarebbe dovuto a una distrazione, a un mancato controllo del display e a una conseguente impostazione dei valori del flusso che non sono coerenti con le intenzioni originali dellinfermiere. Secondo scenario. Supponiamo invece che linfermiere sappia come digitare i valori sulla pompa, ma che imposti volontariamente il dosaggio errato. Il medico gli ha dato le consegne rispetto alla terapia, ma non ha

3. come le persone sbagliano

specificato la quantit di farmaco da iniettare perch presume che linfermiere sappia che la dose va calcolata sulla base del peso del paziente. Linfermiere, invece, ignora questa prassi per il farmaco in questione e decide quindi di impostare il dosaggio sugli stessi livelli del paziente precedente, supponendo che si tratti di un valore standard. I due pazienti sono per molto diversi, pi di trenta chili di differenza tra i due, e quindi sarebbero necessari diversi dosaggi. Questo un errore che non pu essere equiparato al precedente scenario, non dovuto a distrazione, perch linfermiere consapevole di impostare il dosaggio su quei valori. Lui ha seguito una procedura non molto ortodossa, ma certamente sensata nella sua prospettiva: mantenere i valori standard di farmaco. Terzo scenario. Linfermiere digita i valori sul tastierino e si accorge che la macchina registra i dati inseriti in modo anomalo, a volte a una pressione corrisponde un valore sul display, altre volte il numero raddoppia. Non fidandosi della macchina prova numerose volte a reimpostarla, ma nota che non c coerenza tra i valori che immette e quelli che compaiono sul display. Purtroppo il lavoro da sbrigare molto e non ha tempo per chiamare aiuto; decide allora di stimare il flusso a occhio, ispezionando il percorso del farmaco lungo il tubo. Anche in questo caso, tuttavia, il dosaggio finale risulter inadeguato e comporter danni al paziente. Qui ci troviamo di fronte a un ulteriore tipo di errore, diverso dai precedenti. In questa situazione linfermiere si trovato di fronte a un problema inatteso e lo ha risolto inventando una soluzione ad hoc. I tre scenari descritti esemplificano le tre grandi tipologie di comportamento che possiamo mettere in atto quando eseguiamo un compito. Secondo una classificazione proposta da Jens Rasmussen (1983), ormai largamente accettata dagli studiosi dellerrore umano, quando eseguiamo un compito possiamo adottare unimpostazione mentale che si articola su tre livelli. Nella fig. 3.2 si vedono i tre livelli, divisi dai riquadri rettangolari in grigio. Lampiezza lungo lasse orizzontale dei livelli descrive una stima della frequenza con cui adottiamo processi cognitivi tipici. Nella nostra vita quotidiana agiamo spesso a livello Skill, meno a livello Rule, ancora meno a livello Knowledge. Naturalmente questo non valido in assoluto. Come vedremo esistono attivit che hanno predominanza di livelli Rule o Knowledge ma, se possibile, il nostro cervello massimizza le risorse agendo a livello Skill. La posizione dei livelli lungo lasse verticale indica, invece, il grado di impegno cognitivo richiesto dalle tre modalit: molto ridotto per il livello Skill, maggiore nel livello Rule e ancora maggiore in quello Knowledge. Vediamo ora i motivi di tale classificazione descrivendoli in sequenza.

promuovere la sicurezza

figura

3.2 Una libera rappresentazione grafica del modello Skill-Rule-Knowledge proposto da Rasmussen

Nota: la larghezza dei riquadri indica una stima della frequenza con cui adottiamo ciascuno dei tre livelli (Skill > Rule > Knowledge). La posizione verticale dei riquadri indica il livello di impegno cognitivo (Skill < Rule < Knowledge). Allinterno di ogni riquadro, le etichette con sfondo grigio indicano la tipologia di processo cognitivo principale.

3.2.1. Livello Skill Al primo livello, Skill, abbiamo la tipica situazione in cui possiamo agire in modo automatico, sulla base di sequenze di azione ben apprese in passato. A questo livello la percezione dei dati ambientali porta allidentificazione immediata del tipo di azione da svolgere. Ad esempio, se siamo guidatori esperti, alla vista di un pedone che sta per attraversare la strada, premeremo il freno senza pensare a quale piede sollevare e se premere o meno anche la frizione. Per essere tale, un comportamento eseguito a livello Skill deve essere stato appreso e reso automatizzato grazie alladdestramento o allesperienza ripetuta. Un pianista che muove le mani sulla tastiera, un

3. come le persone sbagliano

ragazzo che digita un sms sul cellulare stanno tutti agendo a livello Skill. Limpegno cognitivo richiesto dalle azioni eseguite a livello Skill in genere molto basso, perch le risorse attentive possono essere dedicate ad altro e possiamo svolgere lattivit grazie agli automatismi. Pensiamo a quante volte ci capita di fare lunghi tratti di strada in automobile, senza renderci conto del percorso eseguito. Questo accade in particolare quando si viaggia in autostrada, perch le condizioni del contesto favoriscono lemersione di processi di tipo Skill. Il traffico fluido, non ci sono auto in senso contrario, la strada nota, la velocit costante, gli stimoli ambientali ridotti al minimo, i comportamenti da adottare per la guida sono semplici (piede stabile sullacceleratore e mani rilassate sul volante). Tutte queste condizioni permettono al nostro cervello di attivare schemi percettivomotori consolidati tali per cui, per sorpassare unauto, non dobbiamo interrogarci sulle procedure da seguire, ma semplicemente mettere in atto dei gesti ben noti. La coscienza si trova in uno stato di torpore, siamo immersi nei nostri pensieri e il mondo scorre davanti a noi senza che ce ne accorgiamo. Ma se capita un imprevisto siamo pronti ad intervenire (ad esempio frenando), perch il cervello sta monitorando la situazione, ma lo fa senza dispendio di energie attentive e le utilizza solo in caso di necessit. Questa modalit di gestione delle risorse mentali preziosissima per la nostra salute perch, se dovessimo mantenere la concentrazione sempre a livelli elevati, avremmo un dispendio energetico enorme. Il cervello un organo che ci ha dato grandi vantaggi in termini evolutivi, ma ha anche dei costi di gestione considerevoli. Per questo motivo abbiamo sviluppato questa capacit di attivare gli automatismi, permettendoci di eseguire i compiti con il massimo vantaggio e il minimo sforzo (Kahneman, 2011). Lunica condizione necessaria, per, che la situazione sia stabile e nota. Non potremmo agire a livello Skill se ci trovassimo in una condizione di traffico inattesa, in una citt che non conosciamo o alla guida di un mezzo che non abbiamo mai guidato prima. In questi casi le risorse attentive sarebbero concentrate nella gestione della situazione e gli automatismi servirebbero solo per la conduzione del mezzo, ma non per lorientamento e la sicurezza della guida. Immaginiamo di aver acquistato unautomobile con il cambio automatico. Come noto, il pedale della frizione non esiste su questi modelli e il piede sinistro non deve essere usato, basta spostare il destro tra lacceleratore e il freno. Se non abbiamo mai guidato unauto del genere prima dora, sembrer innaturale tenere fermo il piede sinistro e saremo tentati di usarlo per premere il freno. Purtroppo, vista labitudine alla guida di auto

promuovere la sicurezza

con cambio manuale, il piede sinistro viene regolato con un meccanismo di tipo Skill che imposta velocit, direzione e intensit del movimento, tarato sui vecchi schemi, quindi per quando lo si usava per il pedale della frizione. Pigiare il freno con la stessa azione Skill con cui pigiavamo la frizione avr conseguenze molto spiacevoli sulla fluidit della guida. Si tratta in questo caso di un tipico errore a livello Skill. Infatti, il modello Skill-Rule-Knowledge (srk) di Rasmussen pu essere usato sia per leggere le normali azioni delle persone, sia i loro tipi di errori (Reason, 1990). Gli errori Skill sono dovuti ad azioni eseguite in automatico, ma che sono inopportune e non volute rispetto alla situazione (slips), oppure a involontarie dimenticanze (lapses). Per ovviare ad errori di tipo Skill bisognerebbe aiutare le persone a svolgere la propria attivit senza trappole derrore, cio strumenti, procedure, ambienti che aumentano la probabilit di commettere una distrazione (Norman, 1990). Ad esempio, il frontalino dellindicatore di carburante dellatr-42 identico a quello dellatr-72: questa una trappola derrore perch nelloggetto stesso insita la potenzialit di commettere uno sbaglio. Stessa cosa accade per i farmaci, spesso scambiati per errore con conseguenze anche letali. Dal momento che la casa farmaceutica utilizza per molti suoi farmaci un tipo di confezione standard, dove cambiano solo i dati scritti sulletichetta, spesso succede che gli operatori prendano un farmaco convinti di averne preso un altro. Un ulteriore aspetto da tenere in considerazione per limitare gli effetti negativi degli errori Skill il dare alle persone dei compiti proceduralizzati, che richiedano delle pause di riflessione, di analisi, in altri termini che blocchino il lento e subdolo addormentamento del controllo consapevole. Ad esempio, i piloti devono spesso eseguire dei controlli dei parametri di volo durante la fase di crociera, in modo tale da obbligarli a mantenere elevata la concentrazione. In aggiunta, i comportamenti Skill (e i relativi errori) aumentano quando siamo stanchi, affaticati, preoccupati, sotto stress. Questo perch la mente talmente impegnata a gestire i fattori di stress o le preoccupazioni, che cerca di delegare lesecuzione del compito ai processi automatizzati. Ad esempio, se stiamo guidando lauto per andare a trovare un caro amico in condizioni critiche in ospedale, sar probabile che la nostra mente sia orientata a gestire il pensiero di pena per lamico, la preoccupazione per la sua salute ecc., e lascer la conduzione del mezzo ai processi Skill anche quando, forse, non sarebbe opportuno guidare solo con gli automatismi. In generale, per contenere gli errori di tipo Skill, le persone dovrebbero imparare a svolgere un automonitoraggio costante della propria attenzione, preparandosi

3. come le persone sbagliano

prima di iniziare il compito a prevedere se e quanto si possono permettere di agire a livello Skill in base alla situazione. Inoltre, dovrebbero ripetere tale bilancio anche durante lesecuzione del compito, chiedendosi se le condizioni di lavoro sono rimaste le stesse e quindi se possibile continuare a lavorare a livello Skill o se sia necessario uno sforzo maggiore e interrompere gli automatismi. Torniamo al primo scenario, descritto a inizio paragrafo. In questo caso linfermiere commette un errore di tipo Skill, quello che Reason (1990) chiamerebbe uno slip, cio unazione che ha un esito diverso dalle intenzioni, condotta senza un controllo attentivo consapevole. Linfermiere sta infatti digitando il dosaggio sul tastierino e lo fa senza eccessivo controllo, senza preoccuparsi che il macchinario abbia unanomalia nel sistema di input. Essendo di fretta, lancia un rapido sguardo al display e non verifica che corrisponda alle intenzioni. Di fatto, il sistema cognitivo dellinfermiere si fida del fatto che i tastierini degli strumenti utilizzati non abbiano certi difetti e quindi risparmia risorse attentive e omette un controllo. A posteriori diremmo che unomissione grave, ma se ci mettiamo nei panni mentali delloperatore, perch mai dovremmo controllare qualcosa che di norma funziona? Se loperatore non aveva mai avuto prima esperienza di tali anomalie, non poteva prevederla e quindi si poteva permettere di agire a livello Skill, quando invece avrebbe dovuto agire ad un altro livello: il livello Rule. 3.2.2. Livello Rule Siamo qui al secondo livello della gerarchia di Rasmussen. Se non possiamo agire a livello Skill con risposte automatiche, significa che dobbiamo esercitare maggiore concentrazione e capire la situazione che stiamo vivendo. Sempre rifacendoci al caso dellinfermiere e della pompa di infusione, lavviso emanato dalla fda richiedeva che tutti adottassero un livello Rule nella gestione del macchinario. In altri termini, chiedeva che si adottasse una procedura particolare in base al tipo di situazione riscontrata. Linfermiere che si apprestava a usare la pompa avrebbe dovuto evitare di agire a livello Skill grazie allavviso di allarme scritto sulla macchina, questo lo avrebbe obbligato a salire di livello cognitivo. Avrebbe dovuto digitare il dato sul tastierino, ascoltando i bip emessi dalla macchina e verificando che non fossero pi numerosi delle pressioni esercitate. In caso contrario, avrebbe dovuto digitare di nuovo i dati, altrimenti avrebbe dovuto effettuare un controllo incrociato con un collega e poi verificare visivamente il flusso di

promuovere la sicurezza

medicinale. Questa appena descritta una procedura che non pu essere svolta in modo automatico perch richiede una verifica consapevole dei dati scritti sul display e quindi un dispendio di risorse attentive. Il livello Rule non in genere cos frequente come il livello Skill, perch richiede sforzo a livello cognitivo e quindi, quando possibile, il cervello torna a livello Skill oppure, tramite lesperienza, trasforma le attivit svolte a livello Rule in attivit di livello Skill. Questo ci che accaduto a tutti coloro che hanno imparato a scrivere, a leggere, a guidare unauto, a suonare uno strumento. Allinizio seguiamo le procedure faticosamente apprese, poi col tempo le automatizziamo. Un errore a livello Rule diverso da quelli che accadono a livello Skill. Non sono distrazioni, non si tratta di azioni contrarie alle intenzioni. Anzi, qui le persone sono ben consapevoli di ci che stanno facendo, scelgono di seguire quella procedura, ma poi gli esiti sono comunque indesiderati. Gli errori a questo livello sono chiamati Rule-based mistakes. A questo livello, quindi, si possono scegliere procedure ineleganti, non sbagliate in assoluto, ma grossolane (ad esempio, togliere la batteria al cellulare per spegnerlo), oppure procedure solo parzialmente corrette (ad esempio, ascoltare il numero di bip emessi dalla pompa, senza controllare il display), oppure teoricamente corrette ma inadeguate rispetto alla situazione in termini quantitativi (ad esempio, usare un secchiello per spegnere un incendio) o qualitativi (ad esempio, usare dellacqua per spegnere un incendio in una cabina elettrica). Come si vede, gli errori di livello Rule si basano su una inadeguata comprensione della situazione e quindi su una inefficace scelta della procedura. Tornando al caso dellinfermiere, siamo nel secondo scenario: il medico non gli specifica la dose di farmaco e lui sceglie di seguire una procedura tradizionale, cio attenersi a livelli standard di farmaco. Lui sta applicando una regola valida solo in parte, perch manca un elemento importante: la dose va tarata in proporzione al peso del paziente. In questo esempio linfermiere cade in un errore di livello Rule perch crede che i dati siano familiari, ma non lo sono. Non sa che il farmaco va somministrato secondo una procedura diversa. Per ovviare a errori di questo tipo si dovrebbe, quindi, fornire alle persone adeguata conoscenza, formazione, capacit critica di analisi della situazione e di identificazione della procedura idonea. 3.2.3. Livello Knowledge Veniamo infine al terzo livello, chiamato Knowledge. In questo caso non possibile attivare delle procedure note, perch la situazione non familiare

3. come le persone sbagliano

ed necessario esplorare il problema cercando di darne uninterpretazione coerente, al fine di individuare una soluzione creativa. Si chiama Knowledge proprio perch per affrontare una situazione inattesa necessario fare appello alle proprie conoscenze, competenze, esperienze passate, per dare luogo a una soluzione creativa. Siamo a livello Knowledge nelle emergenze inattese, quando la situazione si complica e non sappiamo come interpretarla, quando il contesto cos nuovo e inesplorato che non possiamo appoggiarci a schemi appresi o a procedure predefinite, bisogna inventare una soluzione in modo flessibile e innovativo. In generale, queste situazioni non sono cos frequenti, e questo per il nostro cervello motivo di sollievo, dal momento che limpegno cognitivo per la gestione di una situazione a livello Knowledge spesso altissimo. Non potremmo vivere sempre a questo livello, a meno di non sviluppare sindromi da stress e da burnout. Gli errori a questo livello sono chiamati Knowledge-based mistakes; hanno in comune con i mistakes di tipo Rule il fatto di essere azioni scelte in modo intenzionale, ma si differenziano da questi perch non si tratta di procedure inadeguate, bens di strategie che si rivelano del tutto sbagliate. A questo livello, quindi, la possibilit di commettere errori nasce dallincapacit di capire la situazione e di avere la giusta flessibilit (e a volte rapidit) per intervenire. Nel terzo scenario, linfermiere si trova impreparato a gestire unanomalia inattesa nella pompa di infusione, quindi preoccupato di terminare il compito e passare alle altre attivit che lo aspettano. La pressione temporale spesso gioca brutti scherzi a livello Knowledge, e infatti linfermiere non segue nessuna procedura (ad esempio, cambiare macchinario o avvisare i tecnici), ma si inventa un modo del tutto empirico per uscire dallo stallo, cio controllare a vista se il flusso sembra regolare. Essendo una situazione nuova, linfermiere potrebbe non possedere informazioni sufficienti per capire se la sua soluzione sia comunque adeguata. Ad esempio, lispezione visiva del flusso potrebbe essere difficoltosa per via della poca trasparenza del tubo, o leffettivo dosaggio potrebbe essere male interpretato per la presenza di valvole alla base del macchinario che rendono il flusso del farmaco non lineare. Per evitare che le persone commettano errori a livello Knowledge, bisogna conoscere bene il contesto operativo in cui lavorano, perch se molto variabile e fonte di imprevisti, sar molto probabile che si trovino a gestire situazioni di tipo Knowledge. In questo caso gli operatori dovrebbero avere conoscenze adeguate per spaziare alla ricerca di nuovi approcci al problema, capacit di gestione del tempo, capacit di allocazione delle risorse e di lavoro di gruppo, capacit di analisi critica e flessibilit mentale.

promuovere la sicurezza

3.3 Sicurezza secondo il modello srk Come facile immaginare, non esiste un livello cognitivo pi sicuro di un altro, non possibile dire alle persone di stare pi attente, o di seguire le procedure o di essere creative.
tabella

3.2 Un quadro riassuntivo del modello srk


Skill Rule Knowledge

Processi cognitivi tipici

Attivazione di auto- Riconoscimento di si- Analisi critica della matismi tuazioni e individua- situazione, formulazione di procedure zione di ipotesi e soluzioni creative Situazioni routinarie, Situazioni che richie- Emergenze, contesti ripetitive dono controllo vo- nuovi, ignoti, situalontario zioni inattese, in carenza di procedure Velocit, efficienza, Precisione e accura- Flessibilit e controlrisparmio risorse tezza lo, creativit Processi rigidi, difficili da interrompere, si attivano anche quando il contesto sembra usuale e non lo , si attivano inavvertitamente in condizioni di stress, fatica, scarso controllo attentivo Lentezza nellesecuzione, impegno mentale per lanalisi della situazione Totale assorbimento delle risorse, lentezza nella scelta ed esecuzione

Contesto operativo in cui si attiva Vantaggi Svantaggi

Tipologia di errori

Distrazioni, omissio- Scelta di procedure Scelta di soluzioni ni per carenza di me- ineleganti, inadatte al inefficaci moria contesto per quantit o qualit Allarmi e segnali, checklist, compiti variabili, monitoraggio della propria attenzione Capacit di analisi della situazione, conoscenza delle procedure, tempo per la scelta e applicazione della procedura idonea Capacit critica, problem solving, gestione delle priorit, delle risorse, dello stress, flessibilit mentale

Contromisure

3. come le persone sbagliano

La sicurezza nasce, invece, dalla capacit delle persone di capire la situazione contingente e di adottare il livello cognitivo adeguato. Questo presuppone anche una consapevolezza di pregi e difetti di ogni livello, di quanto ci si possa permettere agendo a livello Skill, risparmiando energia, o lavorando a livello Rule, seguendo procedure, od operando a livello Knowledge, inventando soluzioni. Il prospetto della tab. 3.2 vuole riassumere quanto detto finora sul modello srk, mostrando la natura dei processi cognitivi, i tipici contesti che li attivano, pregi e difetti di ogni livello, i tipi di errori conseguenti e le eventuali contromisure che potrebbero essere adottate per diminuire lincidenza di tali errori. Vediamo ora un caso che pu essere analizzato proprio grazie al modello srk.

Analisi di un caso: sono solo etichette Infermiere professionale (ip) in servizio in Pronto soccorso da ventuno anni ottiene trasferimento ad altro reparto come da sua richiesta. Ultimo turno prima dello spostamento. Pomeriggio, carico di lavoro regolare. Linfermiere esegue prelievo ematico al paziente A e posa le provette sul banco di lavoro dove, come al solito, il medico ha posato le etichette con nome del paziente ed esami richiesti. Esce dalla saletta il paziente A, entra il paziente B. Linfermiere esegue prelievo ematico al paziente B e attacca le etichette del paziente A alle provette del paziente B. Le etichette del paziente B erano sul bancone, a cinquanta centimetri da provette ed etichette del paziente A. Cosa successo? Linfermiere lavorava a livello Skill perch, grazie alla lunga pratica, si trovava in una situazione per lui routinaria e ripetitiva dove poteva lavorare con velocit, efficienza e risparmio di risorse. Ma il livello Skill facilmente sede di errori da distrazione e linfermiere era inevitabilmente distratto dal vicino cambiamento. La situazione era routinaria e quindi nulla, nel contesto, poteva indurre linfermiere a cambiare livello cognitivo e ad agire a livello Rule. Ma la scelta del livello opportuno nasce dalla valutazione di come noi possiamo interagire con uno specifico contesto. Il contesto permetteva di agire a livello Skill, ma le condizioni psicologiche dellinfermiere (aveva avanzato richiesta di trasferimento ad altro reparto, forse dovuta a malessere lavorativo) erano tali da non permettere di agire a quel livello in modo indiscriminato. Per rompere la routine bastato che il paziente B entrasse prima che lui avesse finito di etichettare le provette del paziente A. Una piccola variazione del contesto routinario, che avrebbe richiesto uno spostamento al livello Rule, ossia attivare la regola terminare la procedura del paziente A e poi iniziare quella del paziente B. La condizione di fatica psicologica dellinfermiere lo ha bloccato al livello Skill anche quando non dovuto, perch quando viviamo

promuovere la sicurezza

sotto stress o preoccupati per qualche minaccia, le risorse mentali si spostano dal contesto operativo alla gestione dellansia o alla ruminazione sul problema, relegando lattivit in corso a un controllo di tipo Skill. Se il contesto davvero routinario, non ci accorgiamo del rischio che stiamo correndo, ma se questo cambia possiamo commettere un errore di tipo Skill, esattamente come stava per fare linfermiere.

4 Perch le persone sbagliano

4.1 Razionalit limitata e dintorni Nel cap. 3 abbiamo visto un modello per lanalisi della prestazione umana e quindi anche dei suoi eventuali errori, il modello Skill-Rule-Knowledge (Rasmussen, 1983). Esso descrive come le persone possono agire in un determinato contesto e ci aiuta quindi a capire lo stato mentale in cui si trovano in base alla situazione. Ma perch a volte scegliamo lo stato mentale sbagliato? Perch agiamo a livello Skill, come se il mondo fosse come al solito, quando invece dovremmo agire a livello Knowledge? La psicologia cognitiva ci aiuta a spiegare il perch le persone sbagliano, su quali basi la nostra mente adotta certi processi anzich altri. Come vedremo tra poco, si tratta di descrivere la psicologia umana in termini di razionalit limitata. Il modello srk descritto nel cap. 3 tripartito, ma in realt potrebbe essere semplificato a due livelli. Da un lato, il livello Skill e quello Rule sono accomunati dal fatto di possedere procedure (automatizzate al livello Skill, controllate in modo volontario al livello Rule), mentre il livello Knowledge non ha procedure predefinite. Dallaltro lato, il livello Rule e Knowledge si differenziano dal livello Skill per il fatto che nei primi due si ha un controllo consapevole, lento, laborioso, preciso della situazione, mentre al livello Skill la risposta veloce, meno faticosa, ma anche pi rigida (fig. 4.1). Questa visione binaria si ricollega allintrigante proposta fatta da Kahneman (2011) nella sua rassegna sui processi cognitivi umani. Egli postula lesistenza di due sistemi di pensiero ben diversi: il Sistema 1, che procede per automatismi, scorciatoie mentali, largamente inconsapevole, grossolano ma veloce, intuitivo ma anche sottoposto allinfluenza di emozioni e fattori contestuali che, a rigor di logica, non dovrebbero essere considera

promuovere la sicurezza

ti; e il Sistema 2, caratterizzato da processi consapevoli, razionali, logici, ma lenti e faticosi. Entrambi sono utili: il Sistema 1 importante per dare risposte veloci e risparmiare risorse, conta sul fatto che spesso le sue soluzioni sono efficaci ed efficienti; il Sistema 2 subentra qualora lefficacia non sia elevata, e allora gli automatismi non bastano per gestire la situazione e serve un controllo consapevole e razionale.
4.1 Il modello procedure
figura

srk

nelle sue due componenti automatico/volontario versus con/senza

Parlare di controllo razionale non sempre corretto perch, come hanno dimostrato autori quali Kahneman (2011) e Simon (1957), siamo spesso vincolati da una cosiddetta razionalit limitata. Termine coniato da Simon, indica la natura logicamente imperfetta delle nostre decisioni e ragionamenti, che si basano su forme di conoscenza parziale, di scarsa rappresentazione delle relazioni fra le informazioni disponibili, di carente visione prospettica sugli sviluppi delle nostre scelte, di inefficace ragionamento probabilistico. Quando siamo impegnati a livello Knowledge, quindi, non possiamo essere certi che metteremo in atto un processo razionale; talvolta, invece, saremo predisposti a scegliere forme di ragionamento e decisione pi economiche dal punto di vista computazionale, pi veloci e pratiche: le euristiche (Kahneman, Tversky, Slovic, 1982). Mentre una forma di ragionamento e decisione articolata secondo i principi rigorosi della logica si struttura secondo un processo chiamato algoritmo, forme di ragionamento basate sullesperienza passata, su informazioni parziali o valutazioni istintive e superficiali sono dette euristiche. Le euristiche sono assolutamente utili nella nostra vita quotidiana, perch ci permettono di lavorare a livello Knowledge (decidere in contesti di incertezza), ma con un consumo di risorse mentali pi contenuto. E normalmente funzionano. Il problema

4. perch le persone sbagliano

di queste modalit di pensiero che hanno una probabilit maggiore di condurre ad errori, a distorsioni sistematiche (bias). Le euristiche possono avere implicazioni per la sicurezza a due livelli: prima di tutto perch possono generare decisioni non corrette; in secondo luogo perch possono intervenire nella valutazione dei rischi collegati a una certa attivit e portare la persona a sottostimare la probabilit che accada un incidente. Vediamo le euristiche principali. 4.1.1. Euristica della disponibilit Dovendo valutare la probabilit di un evento, spesso tendiamo ad affidarci a quante volte lo abbiamo visto verificarsi nella nostra esperienza o a quanto levento saliente dal punto di vista emotivo. Ad esempio, molti pensano che sia pi probabile morire per un attacco di squalo piuttosto che per una caduta di noce di cocco. La maggior salienza dellattacco di uno squalo (notizie sui giornali, film, leggende metropolitane) rende questo evento pi disponibile nella nostra memoria e quindi (impropriamente) pi probabile della morte per caduta di noci di cocco. Lo stesso ragionamento sembrerebbe essere legato alla paura che molte persone hanno di volare. pi rischioso guidare unauto per ottocento chilometri o volare su un aereo per ottocento chilometri? Ovviamente le statistiche sono a favore del volo aereo, ma molti tenderebbero ad affidarsi alleuristica della disponibilit e ritenere lauto pi sicura perch hanno in mente migliaia di ore di viaggio in auto senza problemi, controbilanciate dallimpatto emotivo che hanno gli incidenti aerei. Questa euristica interverrebbe anche nella percezione dei rischi per quanto riguarda comportamenti di autoprotezione sul lavoro. Molti lavoratori tendono a non usare certi dispositivi di protezione individuale perch ritengono improbabile che levento da cui dovrebbero essere protetti possa accadere. In uno studio recente presso unazienda sanitaria ho verificato come il personale infermieristico tenda ad usare pi dispositivi di protezione individuale del necessario quando tratta pazienti affetti da hiv (patologia altamente rappresentata nellimmaginario collettivo), mentre pi disinvolto quando fa prelievi a pazienti sconosciuti o con epatite (scarsa rappresentativit del rischio). Legata alleuristica della rappresentativit troviamo la correlazione illusoria (Chapman, Chapman, 1967), ossia la valutazione della probabilit o frequenza con cui due eventi possono presentarsi associati. Ad esempio, molti pensano che la probabilit che un delinquente sia anche tossicodipendente sia molto elevata solo perch hanno in mente situazioni che

promuovere la sicurezza

confermano tale associazione, anche se a livello statistico non detto che sia davvero cos. Per tornare a fare un esempio sulla sicurezza, tale processo potrebbe essere alla base del ragionamento secondo cui la velocit in automobile correlata positivamente con la probabilit di morire in un incidente stradale. Le persone potrebbero, quindi, essere predisposte ad usare le cinture di sicurezza in autostrada (condizione ad alta velocit), ma non per spostamenti cittadini (condizione a bassa velocit), anche se le statistiche dimostrano che il tasso di mortalit sulle strade urbane decisamente pi alto. 4.1.2. Euristica della rappresentativit Dovendo stimare la probabilit di un evento si cerca di attivare nella propria mente la distribuzione di probabilit pi rappresentativa. Ad esempio, se giochiamo alla roulette scommettendo sulluscita di rosso e nero, potremmo tendere a farci influenzare dalle uscite precedenti. Se al momento di scommettere sappiamo che sono usciti dieci neri di fila, tenderemo a stimare molto probabile che la prossima uscita sia un rosso. Se questo ragionamento funziona per valutare alcuni tipi di eventi, esso non vale per eventi indipendenti, come il lancio della pallina nella roulette. La roulette non ricorda i lanci precedenti e la distribuzione di rossi e neri si avviciner al 50%, ma solo su grandi numeri: la finestra di dieci uscite non indicativa di nulla e induce a cadere nelleuristica della rappresentativit, secondo cui unestrazione casuale di rossi e neri dovrebbe alternare le due uscite in modo meno ordinato. Naturalmente la rappresentativit potrebbe non essere relativa a distribuzioni casuali e indurre comunque in errore. Se una persona non ha mai avuto incidenti sul lavoro, potrebbe tendere a sottostimare la distribuzione di probabilit dellinfortunio, arrivando quindi ad assumersi pi rischi del necessario, forte dei successi passati. Legata alleuristica della rappresentativit troviamo la fallacia della congiunzione, che porta a stimare come pi probabile la congiunzione di due eventi, piuttosto che il manifestarsi di uno solo dei due, solo perch la loro congiunzione sembra pi rappresentativa. Ad esempio, immaginiamo il caso di Mario, un lavoratore che ha avuto un grave infortunio sul lavoro poche settimane dopo essere stato assunto. Mario aveva difficolt a seguire tutte le procedure richieste dalla sua attivit, si sentiva inesperto e talvolta si trovava a fantasticare sulla possibilit di cambiare lavoro e fare qualcosa di pi consono alle sue ambizioni. Stimate ora quale affermazione su Mario pi probabile:

4. perch le persone sbagliano

A. Mario ha subito un infortunio perch un lavoratore inesperto; B. Mario ha subito un infortunio perch un lavoratore inesperto e distratto. Molti tenderebbero a stimare come pi probabile il caso B, perch incompetenza e distrazione sono pi rappresentativi della descrizione che abbiamo dato di Mario rispetto alla condizione A. Tuttavia, il caso B un sottoinsieme di A, e quindi per forza meno probabile. 4.1.3. Euristica dellancoraggio e aggiustamento Le persone tendono a dare giudizi e a fare scelte ancorandosi al primo elemento informativo che si trovano ad analizzare. Lo sanno bene i venditori, che impostano il prezzo di un bene ad alti livelli, sapendo che questo servir da ancoraggio per il cliente, il quale si orienter a stimare il valore delloggetto partendo da quella cifra. In un interessante esperimento, Strack e Mussweiler (1997) chiesero a due gruppi di soggetti se Gandhi fosse morto prima o dopo let di 9 o 140 anni. I due ancoraggi sono ovviamente estremi (Gandhi mor a 78 anni), ma hanno dato i loro effetti: il gruppo che si ancorava a 9 anni ha stimato che Gandhi mor intorno ai 50 anni, mentre il gruppo dei 140 anni ha stimato la morte intorno ai 67 anni. Legato allancoraggio leffetto framing, ossia come la cornice con la quale inquadriamo una serie di informazioni possa condizionare le nostre scelte. Se dobbiamo scegliere se fare o meno un intervento chirurgico che ha il 30% di possibilit di insuccesso, forse tenderemo ad evitarlo, mentre saremmo pi disponibili se lo vedessimo come un intervento che ha il 70% di probabilit di successo. Questo effetto molto potente e condiziona molti nostri ragionamenti, anche quelli legati al rischio. Valutando la rischiosit di un comportamento, ad esempio la guida veloce, potremmo essere indulgenti se la inquadrassimo nellottica dei suoi vantaggi (risparmio di tempo, euforia da velocit, senso di potenza), mentre saremmo pi cauti se la vedessimo nellottica degli svantaggi (maggior probabilit di perdita di controllo, maggior gravit dei danni). Le euristiche elencate sono solo alcune di quelle individuate in letteratura e per un approfondimento rimando alla pubblicazione di Kahneman (2011). Queste sono le principali e ci hanno permesso di introdurre il tema della percezione dei rischi, come abbiamo visto commentando alcuni esempi di euristica.

promuovere la sicurezza

4.2 Limitazioni cognitive e assunzione di rischi Non facile definire il rischio. Ne esistono molte definizioni (in campo economico, medico, lavorativo) e non tutte concordano. Per i nostri scopi facciamo riferimento alla definizione fornita dai British Standards (ohsas 18001, 2007, p. 14), che consiste in una serie di standard di riferimento per la salute occupazionale e i sistemi di gestione per la sicurezza, ormai accettata a livello internazionale. La definizione recita: Risk is a combination of the likelihood of an occurrence of a hazardous event or exposure(s) and the severity of injury or ill health that can be caused by the event or exposure(s). Espressa in termini formali, la definizione di rischio si basa sul prodotto tra la probabilit che accada un evento negativo e la gravit delle sue conseguenze. Da questa definizione derivano diverse forme di matrici di rischio, dove si calcola il rischio combinando frequenza e gravit di un evento. La frequenza va da certo (o frequente) a raro, la gravit va da effetto minimo a catastrofico (fig. 4.2). Quindi, ad esempio, un terremoto potrebbe essere molto rischioso perch poco probabile, ma i suoi effetti sarebbero devastanti. Di conseguenza, un incidente in automobile potrebbe essere pi rischioso, perch molto pi probabile e dagli effetti comunque gravi.
figura

4.2 Un esempio di matrice di rischio. La combinazione di probabilit di accadimento e gravit dei danni genera un valore di rischio rappresentabile in una scala da basso (B), medio (M), alto (A), estremo (E)

Come si pu intuire, calcolare la probabilit di un evento e i relativi danni non cosa facile, poich richiede competenze di tipo statistico e capaci

4. perch le persone sbagliano

t computazionali non comuni. Eppure chi volesse promuovere comportamenti sicuri nei lavoratori dovrebbe aiutarli a stimare correttamente i rischi associati alle proprie azioni. Abbiamo visto per, nel paragrafo precedente, quanto le nostre capacit di ragionamento logico siano limitate da euristiche e bias. Questo rende le persone particolarmente incapaci di adottare comportamenti sicuri, visto che non facile stimare le probabilit che accada un evento avverso. Uno degli effetti pi evidenti di tale incapacit a stimare le probabilit dei rischi stato chiamato bias ottimistico (Weinstein, 1989). Esso consiste nella considerevole sottostima della probabilit che ci accada un evento negativo. Le persone interrogate sulla probabilit che il loro matrimonio fallisca, che siano coinvolte in un incidente stradale, che muoiano di malattie cardiovascolari, o che siano vittima di un furto, danno spesso stime molto pi basse dei dati reali (Savadori, Rumiati, 2005; 2009). Questo ragionamento probabilistico errato porta le persone a dire so che questo evento frequente, ma la probabilit che capiti proprio a me bassa. Esso comporta unillusione di controllo della situazione con una conseguente adozione di comportamenti meno cauti e, talvolta, anche la violazione di procedure di sicurezza. Alla base delle violazioni delle norme di sicurezza, tuttavia, non c solo lottimismo ingiustificato di chi ritiene che gli incidenti capitino solo agli altri. Esistono anche altri due fattori che contribuiscono a rendere il rischio meno saliente e il comportamento sicuro poco desiderabile. Da un lato, abbiamo leffettiva scarsa probabilit che un incidente accada proprio in conseguenza dellazione intrapresa (ad esempio, non allacciare le cinture di sicurezza). Di fatto, molte persone non hanno mai esperito un incidente e questo le porta a sottostimare la probabilit che accada, rendendo il rischio meno saliente. In secondo luogo, il comportamento sicuro (allacciare le cinture) non ha un riscontro positivo visibile (la sicurezza non si vede, abbiamo detto nel cap. 1), mentre potrebbe avere un effetto negativo evidente (il fastidio della cintura che stringe il corpo). Ogni azione che non ha un riscontro evidente in termini di benefici sar difficilmente adottata, se non con uno sforzo cognitivo e di volont. Si tratta della famosa legge delleffetto proposta da Thorndike (1898), secondo cui un individuo tender a ripetere un comportamento che ha ricevuto un rinforzo positivo (ad esempio, una soddisfazione) e tender a inibire comportamenti che hanno ricevuto rinforzi negativi (ad esempio, una punizione). Ecco allora che saremo restii ad allacciare la cintura di sicurezza, poich prevarr la certezza del fastidio rispetto a una possibile protezione in caso di incidente. Lunico

promuovere la sicurezza

modo per superare questi atteggiamenti di sottostima del rischio sarebbe quello di fare esperienza di incidenti, perch questo andrebbe ad agire sulla stima di probabilit (mi gi capitato), renderebbe evidenti le conseguenze (mi sono fatto male), le connoterebbe a livello emozionale (mi sono spaventato) e renderebbe pi accettabile ladozione di procedure sicure (meglio un piccolo fastidio che mi rende sicuro piuttosto che un grave incidente). Naturalmente non sarebbe etico provocare incidenti ai lavoratori al fine di marcare emotivamente le loro esperienze, anche se le recenti tecnologie simulative (simulatori di guida, di volo, di interventi chirurgici ecc.) permettono di riprodurre situazioni di rischio e di incidente molto realistiche, che possono trasferire non solo competenze operative, ma anche vissuti emotivi utili alla corretta rappresentazione dei rischi. Di particolare importanza la connotazione emotiva dellesperienza. Le persone tendono a valutare i rischi associati a un comportamento in misura inversamente proporzionale al piacere che ne deriva (Slovic, 2000). Se i benefici (reali o percepiti) di unazione non sicura sono elevati, sar quindi molto probabile che le persone tenderanno a sottostimarne i rischi collegati. Tale meccanismo sembra avere riscontri anche a livello neurofisiologico. In base alle ricerche condotte da Damasio (1995), le nostre decisioni sono sempre influenzate da processi emotivi (anche inconsapevoli), una sorta di marcatura che a livello somatico, corporeo, associa sensazioni di benessere o disagio fisico alle opzioni che si prospettano nella scelta. Un incidente stradale potrebbe, quindi, generare una marcatura negativa di una guida spericolata e indurrebbe la persona ad evitare tali comportamenti in futuro proprio per la loro associazione con un disagio emotivo. 4.2.1. Tra fatalismo e illusione del controllo Da uno studio approfondito sulle illusioni, le credenze ingiustificate che molti lavoratori hanno rispetto alla probabilit di un incidente, James Reason (2008) elenca i principali fattori che possono portare a una violazione consapevole delle procedure per via di una sottostima dei rischi: illusione del controllo: posso gestire la situazione; illusione dellinvulnerabilit: improbabile che vada a finire male posso cavarmela; illusione della superiorit: ho esperienza E poi lo fanno tutti. Queste credenze possono quindi contribuire allo sviluppo di atteggiamenti di rischio legati a distrazione (ho sempre fatto questo lavoro, pos

4. perch le persone sbagliano

so evitare di concentrarmi) e violazione (sono sufficientemente abile da controllare la situazione, anche se non rispetto la procedura). Gli esempi appena proposti fanno riferimento a un costrutto che ha ricevuto molta attenzione in psicologia, trovando numerose applicazioni in vari settori (personalit, salute, educazione, lavoro, sicurezza): la nozione di locus of control (Rotter, 1966). Con questo termine ci si riferisce alle aspettative che la persona ha rispetto al collegamento tra le proprie azioni e gli eventi futuri. Ad esempio, se rispetto il codice della strada riuscir ad evitare gli incidenti? Oppure il fatto di avere un incidente dipende in gran parte dal destino o dal comportamento rischioso di altri guidatori? Come si vede dallesempio, il cosiddetto luogo del controllo pu essere interno o esterno, ossia legato a comportamenti dellindividuo (rispetto del codice stradale, attenzione alla guida, manutenzione dellauto ecc.) oppure dovuto a fattori esterni (destino, infrastrutture, comportamenti altrui). La letteratura ha dimostrato che un locus interno spesso correlato con comportamenti di tipo sicuro in aviazione (Hunter, 2002), alla guida (Montag, Comrey, 1987; Huang, Ford, 2012), nellindustria (Jones, Wuebker, 1985) e in sanit (Jones, Wuebker, 1993). Questo perch il locus interno permette allindividuo di sentirsi autore e attore della propria vita, lo rende attivo e partecipe nel vivere le dinamiche degli eventi e porta la persona a cercare cosa pu fare per gestire le cose in modo produttivo e sicuro. Un locus interno equilibrato permette alla persona di essere responsabile per ci che fa e la impegna a mettersi costantemente in discussione per adeguarsi alla gestione della situazione. Un aspetto meno indagato del locus of control interno per la sicurezza, per, legato a una dimensione interna eccessiva (Ozkan, Lajunen, 2005). Se la persona si sentisse in dovere di controllare tutto potrebbe subire la frustrazione di voler gestire situazioni che, per la loro complessit, esulano dal controllo del singolo individuo. Inoltre, se la persona credesse che, per la sua esperienza e competenze, potrebbe permettersi di correre dei rischi, cadrebbe in quella illusione del controllo menzionata da Reason (2008). Molti incidenti accadono proprio per questa overconfidence, ossia eccessiva sicurezza di s per la gestione della situazione e nellassumersi dei rischi credendo di poterli controllare. Ad esempio, Walton e Bathurst (1998) hanno dimostrato che la maggior parte dei guidatori si ritiene pi abile dellautista medio, cosa che naturalmente un controsenso e potrebbe portare ad assumersi pi rischi del dovuto. Un locus of control esterno, invece, caratterizza le persone che tendono ad attribuire le cause degli eventi a fattori indipendenti da s, come il fato,

promuovere la sicurezza

il volere di altri, la fortuna, il caso, lambiente. Esso generalmente considerato meno desiderabile del locus interno, perch porta a maggior fatalismo, deresponsabilizzazione, senso di impotenza, distacco, disfattismo. Un lavoratore che ha la tendenza ad assumere un locus esterno penser che gli incidenti accadono se destino, che, per quanto uno voglia stare attento, gli incidenti sono parte del lavoro e non c molto margine di intervento per mitigarli. Il locus esterno pu anche essere rivolto agli altri (colleghi, altri utenti dellambiente di lavoro, organizzazione, sistema politico e sociale) e anche in questo caso, ponendo allesterno il potere di azione per la sicurezza, la persona si priva del controllo e di responsabilit personale. Le frasi tanto non cambia nulla, il sistema corrotto o non c nulla da fare possono spesso riflettere lamarezza di un bilancio negativo sulle proprie condizioni di lavoro, ma son talmente pervasive e generalizzate che tolgono alla persona quel (anche piccolo) potere di azione, fosse anche nel tutelare la sicurezza e il benessere con i propri mezzi a disposizione. Di fatto, la persona si trova chiusa in una sorta di impotenza appresa (Seligman, 1975) che non le permette di vedere come e quanto sarebbe in suo potere per gestire la sua situazione (Bisio, 2009; Bracco, Bruno, Sossai, 2011). 4.3 Violazioni e normalizzazione della devianza Abbiamo visto che la percezione del rischio incide sul comportamento adottato dalla persona e pu portare ad atti di esplicita e volontaria violazione delle regole e procedure per la sicurezza. Un tentativo di analisi di tale relazione stato fornito da Wilde (1982) con la teoria omeostatica del rischio. Essa postula che ognuno di noi definisca un livello ottimale di rischio per una specifica attivit, valutando in modo anche implicito il rapporto tra utilit dei risultati, probabilit di accadimento dellevento avverso e la sua gravit. Se la probabilit di un evento avverso o i danni potenziali cambiano, cambier anche la percezione del rischio e quindi il comportamento relativo. Ad esempio, Wilde (1994) ha osservato che dopo linstallazione del sistema di sicurezza per evitare il bloccaggio delle ruote durante la frenata (abs) su un largo numero di taxi a Monaco di Baviera, il tasso di incidenti di questi veicoli aumentato. Il motivo sarebbe dovuto alleffetto che il nuovo sistema di sicurezza ha avuto sulla percezione del rischio di incidente: gli autisti si sentivano pi sicuri grazie al nuovo sistema e questo abbassava la soglia ottimale di rischio, per riequilibrarla adottavano quindi comportamenti di guida pi spericolati.

4. perch le persone sbagliano

Ad ulteriore esempio, Adebisi e Sama (1989) hanno dimostrato che le persone sono disposte ad assumersi pi rischi se sentono che il comportamento sicuro costa troppo: gli autisti in attesa di svoltare a sinistra in una strada a doppio senso di marcia, allinizio sono disposti ad attendere il giusto intervallo tra unauto e laltra tra quelle che arrivano in direzione opposta, ma dopo solo trenta secondi tale intervallo si fa pi stretto e gli autisti sono disposti ad assumersi pi rischi, perch lo svantaggio dellattesa troppo marcato. Analogamente, sembra che i conducenti di auto di piccole dimensioni adottino comportamenti di guida pi cauti (rispetto dei limiti, uso delle cinture di sicurezza) dei conducenti di auto di cilindrata e dimensioni maggiori (Wasielewski, Evans, 1985). Molti guidatori di suv si sentono pi sicuri, perch il mezzo imponente e sopraelevato, ma questa sicurezza li porta ad assumere stili di guida pi aggressivi e quindi ad avere tassi di incidentalit pari o superiori a quelli delle altre tipologie di automobili (Vanderbilt, 2008). La teoria omeostatica stata principalmente applicata al contesto della guida e ha trovato anche alcune critiche (ONeill, Williams, 1998).Tuttavia mette in luce la possibilit che le persone cerchino in qualche modo il rischio, o comunque lo accettino, se questo comporta dei benefici. I benefici possono essere di varia natura, dalla gratificazione personale (sentirsi abili) al risparmio di risorse (tempo, fatica, soldi). Abbiamo visto che gli errori umani sono stati analizzati secondo il modello srk, proposto da Rasmussen (1983) e rielaborato da Reason (1990). Tale modello stato poi utilizzato da Reason (2008) per analizzare anche le violazioni. A livello Skill le violazioni sono eseguite senza controllo consapevole, si tratta di automatismi ormai consolidati nel tempo. Tali violazioni sono definite ottimizzanti, perch aiutano il lavoratore a bilanciare costi e benefici, risparmiando tempo e/o fatica. La maggior parte degli infortuni nel lavoro accade per questo tipo di violazioni: le persone aggiustano la loro attivit non secondo la procedura formale, ma in base alle proprie esigenze. Uninfermiera, ad esempio, pu decidere che per effettuare un prelievo di sangue i guanti siano pi un fastidio che una protezione. Il vantaggio di risparmiare tempo e avere maggiore sensibilit nella ricerca della vena e nelluso della siringa potrebbe prevalere sui possibili rischi di una esposizione ad agenti infetti per s o per il paziente. Allo stesso modo, nelledilizia molti operai indossano il casco o i guanti, ma solo in certe occasioni, quando ritengono che siano davvero utili, mentre in altri casi preferiscono non indossarli. Questa violazione ottimizzante (faccio prima/meglio/con meno fatica) rischia per di diventare una violazione di

promuovere la sicurezza

routine, ossia sar messa in atto giorno dopo giorno finch loperatore avr automatizzato questa violazione e quindi non si render conto di infrangere una regola di sicurezza. Il rischio che mentre una violazione consapevole potrebbe essere condotta con una certa considerazione del rischio a cui ci si sta esponendo, una violazione di routine viene normalizzata. Si tratta della cosiddetta normalizzazione della devianza (Dekker, 2011), ossia della lenta trasformazione di una violazione occasionale in una violazione costante, invisibile, condivisa a livello sistemico. Questa condizione uno dei fattori che portano il sistema alla deriva verso lincidente, perch erodono giorno dopo giorno la sicurezza senza che gli operatori ne siano consapevoli. Per tornare alla metafora del gorilla, esposta nel cap. 2, in sistemi del genere nessuno si accorge che lambiente popolato da gorilla che non sono visti perch sono entrati lentamente e in modo subdolo. Un osservatore esterno non avrebbe difficolt a vedere questi gorilla, perch per lui non sarebbero violazioni eseguite a livello Skill. Ecco, quindi, il valore della condivisione e dellosservazione reciproca, anche tra unit, settori, domini diversi. Un esempio formalizzato di condivisione per evitare violazioni di tipo Skill il giro per la sicurezza (safety walkaround), coniugato in molti modi nei diversi settori di applicazione, ma che sostanzialmente si basa su una osservazione dei contesti operativi da parte di un gruppo esterno (dirigenti della propria azienda, personale di altri reparti o di altri settori) al fine di individuare situazioni di rischio che, per la loro normalit, potrebbero non essere notate da chi vi immerso quotidianamente (Frenkel et al., 2003). Le violazioni eseguite a livello Rule, a differenza di quelle a livello Skill, sono pi intenzionali, perch la persona decide di violare la procedura. I motivi possono essere numerosi. La procedura non applicabile alla lettera al contesto specifico, comporta costi eccessivi e la si viola temporaneamente, oppure la situazione contingente prevede ladozione di procedure tra loro contrastanti. Si tratta di violazioni che Reason (2008) ha definito situazionali, cio indotte dalla circostanza specifica. Ad esempio, egli racconta come gli operai della British Rail commettano violazioni situazionali nellaggancio dei vagoni. Essi si posizionano tra due vagoni per agganciarli luno allaltro tramite una catena, mentre la motrice spinge leggermente i vagoni in modo tale da avvicinarli e portare i respingenti alla massima pressione. Gli operai non dovrebbero stare tra i due vagoni mentre sono in movimento, ma se non lo facessero non potrebbero lavorare, perch la catena per agganciarli troppo corta e i respingenti troppo estesi tengono lontani i due vagoni. Anche la definizione di tempi di esecuzione del lavoro troppo ristretti pu portare a violazioni di tipo Rule, perch la persona, per fare prima e

4. perch le persone sbagliano

stare nei tempi, decide di adottare scorciatoie procedurali. Il rischio delle violazioni di tipo Rule che, se vengono attuate con successo, la probabilit che vengano ripetute in futuro aumenta, e quindi potrebbero diventare lentamente violazioni di tipo Skill, normalizzando cos la devianza. Le violazioni a livello Knowledge accadono, invece, quando la situazione nuova, inattesa. Potrebbero esistere procedure anche per tali situazioni, ma la persona non le ha mai applicate. In questo caso la violazione consiste in un comportamento inadeguato, rischioso, oppure in molti casi potrebbe portare alla soluzione e anche a un recupero eroico, come lo definisce Reason (2008). Un esempio di questo tipo di violazione illustrato nel caso del medico che deve gestire una paziente a rischio di distacco di placenta, come vediamo qui di seguito. In questo caso il medico ha scelto di violare la procedura perch la situazione, secondo lui, era tale da non permettere ulteriori attese.
Analisi di un caso: una scelta difficile Ore 22.30 in Pronto soccorso. In servizio un medico e due infermieri professionali (ip). Entra, accompagnata dal marito, una donna di trentasette anni allottavo mese di gravidanza con lieve metrorragia (sanguinamento dallutero) dal mattino divenuta abbondante nellultima ora. Non ha dolore, medico. Parametri vitali nella norma, lievemente tachicardica. Il medico di guardia decide di trasferire la paziente con ambulanza accompagnata da due militi nel reparto di ostetricia pi vicino, a quindici chilometri. errore? Alcune note per chi non medico: metrorragia in gravidanza pu evolvere molto rapidamente in massiva emorragia per distacco di placenta con rischio di ipossia sino alla morte del feto e anemizzazione fino alla morte della donna. Molto rapidamente significa pochi minuti. Sapendo questo, errore la decisione del medico di guardia? Ha trasgredito al protocollo per il trasferimento di paziente in possibile aggravamento che prevede laccompagnamento da parte di un medico e di un ip su ambulanza con rianimazione. Il medico e lip deputati allaccompagnamento sono reperibili, cio, su chiamata telefonica, e devono essere in ospedale entro trenta minuti. errore? Alla discussione del caso, voluta dai medici, la dirigenza ha detto errore. I medici hanno detto che agire cos era il modo per dare la massima possibilit di salvezza a feto e donna; chiedono, alla luce di questo evento, di rivedere il protocollo inserendo la possibilit di staccare dai reparti un altro medico per non aspettare i reperibili. La dirigenza ha detto no. errore? Per decidere se errore vi interessa sapere come sta il bambino? Sapere come sta la donna? Chiedere errore? , da parte di chi scrive, volutamente provocatorio. Sottintendo una serie di domande: errore del medico? O del protocollo? O di chi non disposto a rivedere le cose? O di chi ha deciso lesistenza di un Pronto soccorso in ospedale senza tutti i servizi base?

promuovere la sicurezza

4.4 Il principio etto Come ha sottolineato Reason (2008), i vantaggi immediati di una violazione possono spesso prevalere sui possibili rischi (tab. 4.1).
tabella

4.1 Un possibile bilancio tra costi e benefici di una violazione. Spesso prevalgono i vantaggi immediati
Rischi potenziali

Vantaggi immediati

pi facile lavorare Fa sentire invincibili Fa guadagnare tempo pi eccitante Permette di portare a termine il lavoro Valorizza le competenze Rispetta le scadenze
Fonte: adattamento da Reason (2008).

Provoca incidenti Genera disapprovazione sociale Provoca danni a s e agli altri Danneggia le risorse Determina costosi aggiustamenti Genera sanzioni/punizioni Provoca perdita di lavoro

Questo bilanciamento tra costi e benefici stato brillantemente analizzato da Erik Hollnagel (2009) mediante il principio etto (Efficiency-Thoroughness-Trade-Off), ossia una condizione di costante scelta tra lessere efficienti e lessere rigorosi. Lefficienza porta le persone a cercare scorciatoie, a risparmiare tempo e risorse, ad adagiarsi su abitudini, esperienze passate, processi automatizzati. Il rigore richiede risorse, ma garantisce la sicurezza. Ogni prospettiva ha pregi e difetti, perch un lavoro fatto in modo troppo efficiente sar esposto ad alti rischi, mentre un lavoro condotto in modo troppo rigoroso comporter un dispendio di risorse poco sostenibile. Questo principio non riguarda solo le persone al lavoro, ma tutti noi, impegnati nelle nostre attivit quotidiane, e non solo. Immaginiamo una gazzella che sta brucando erba nella savana. Alterna momenti in cui ha il capo chino al terreno, ad altri in cui solleva la testa e controlla se non si stiano avvicinando predatori. La gazzella impegnata in questo bilanciamento tra essere efficiente (brucare) e sicura (guardarsi intorno). Se fosse troppo efficiente passerebbe il tempo a brucare, incamerando molto cibo in poco tempo. Ma sarebbe poco rigorosa, cio sicura, perch non potrebbe sollevare la testa in cerca di pericoli. Daltro canto se passasse il tempo

4. perch le persone sbagliano

a guardarsi dai predatori sarebbe sicura, ma non potrebbe cibarsi e quindi morirebbe di fame. I fondamenti del principio etto sono radicati quindi a livello biologico e noi esseri umani lo seguiamo anche a livello cognitivo. Si pensi alla teorizzazione di Kahneman (2011) rispetto a due sistemi cognitivi, uno inconsapevole, automatico, efficiente, basato su euristiche, ma rigido e grossolano, e uno analitico, basato su algoritmi, controllato volontariamente, ma lento e dispendioso. Il modello srk di Rasmussen (1983) segue la stessa logica: processi Skill automatici ed efficienti, processi Rule e Knowledge controllati e rigorosi. La medesima logica si ritrova a livello organizzativo: un sistema sar sempre costretto a bilanciare efficienza e rigore ai fini del suo adattamento. Se fosse troppo rigoroso e lento, arriverebbe in ritardo rispetto ai concorrenti e avrebbe spese insostenibili, se fosse per troppo spinto allefficienza, correrebbe forti rischi di incidenti dovuti a errori e violazioni. Questo il caso della nasa negli anni Novanta, quando la filosofia organizzativa si ispirava allo slogan faster, better, cheaper. Lorganizzazione spaziale ambiva ad essere rigorosa (better) ma anche efficiente, risparmiando tempo (faster) e denaro (cheaper). Il risultato fu la perdita delle sonde Mars Polar Lander e Mars Climate Orbiter, avvenuta nel 1999. La spinta verso lefficienza e il risparmio erose, quindi, la qualit del lavoro e condusse inevitabilmente a un incidente (Dekker, 2011). Qui di seguito vediamo elencati alcuni esempi di compromessi al rigore in favore dellefficienza, tipici di molti contesti di lavoro (Hollnagel, 2009): sembra tutto a posto, non c bisogno di controllare; questo controllo adesso non importante; questa cosa normalmente non d problemi, quindi non il caso di controllare; lho fatto mille volte e ha sempre funzionato; per adesso il lavoro fatto sufficiente ( il minimo accettabile da procedura); qualcuno dopo di me controller meglio; stato controllato poco fa da qualcuno, non il caso che ricontrolli; questo modo di fare accelera i tempi (o costa meno fatica) anche se non perfettamente aderente alla procedura; non c tempo (o risorse) per farlo adesso, lo faremo dopo; non possiamo usare troppo questa risorsa, cerchiamo un altro modo per fare il lavoro; non ricordo come si fa e non ho voglia di andarmelo a rivedere;

promuovere la sicurezza

lo abbiamo sempre fatto tutti in questo modo ed andata sempre bene; la situazione sembra X quindi probabilmente X; normalmente questo modo funziona, quindi dovrebbe funzionare anche ora; bisogna finire questo lavoro il prima possibile, anche senza procedure; abbiamo violato le procedure, nessuno faccia la spia; non sono esperto di questo aspetto (o non mi compete), lascio ad altri decidere. Medesime condizioni di compromesso possono avvenire anche a livello organizzativo; ad esempio: si analizzano solo gli incidenti: questo comporta che poche informazioni possano giungere ai vertici, saranno trasmesse solo quelle estremamente gravi, e ci induce a pensare che se non vi sono segnalazioni, allora va tutto bene (quando invece potrebbero esserci molti gorilla in circolazione); manager in prima linea: in molte imprese i dirigenti sono investiti del doppio mandato di essere presenti in prima linea, vicini agli operatori, ma allo stesso tempo di dedicarsi alle mansioni dirigenziali. Spesso accade che privilegino ruoli amministrativi a discapito della presenza in prima linea, sicch in condizioni normali saranno apprezzati per la loro efficienza, ma se accade un incidente saranno accusati di essere stati poco rigorosi e presenti nei contesti operativi; fare segnalazioni, ma senza incidenti: spesso le imprese appaltatrici si trovano a gestire un ambiguo rapporto con lorganizzazione, perch se da un lato si adeguano ai suoi elevati standard nellessere rigorosi e aperti allanalisi anche di infortuni minori, rischiano di vedersi penalizzate perch si privilegiano quelle imprese che riportano meno eventi avversi. Le imprese appaltatrici dovrebbero, quindi, presentare un numero di segnalazioni e analisi degli eventi avversi sufficientemente elevato da essere credibili, ma non troppo elevato da essere considerate non sicure (lo stesso pu verificarsi per unit simili allinterno della stessa azienda, se questa di dimensioni sufficientemente grandi); riduzione di costi inutili: tutto si gioca nella definizione di inutile; prima di un incidente tanti costi possono sembrare inutili, ma dopo un evento avverso le prospettive possono cambiare radicalmente; doppi legami: in molte occasioni le imprese si trovano a gestire doppi legami come seguire le regole ed essere innovativi, fare sicurezza e risparmiare risorse. In tutti questi casi si privilegia spesso lelemento pi efficiente a sfavore di quello rigoroso.

4. perch le persone sbagliano

4.5 Il modello shell Lo studio del perch le persone sbagliano passa anche attraverso le condizioni ambientali, fisiche, sociali, organizzative e tecnologiche che possono indurre allerrore. Questo ci aiuta a sviluppare una migliore progettazione ergonomica, nel senso di ricerca delle condizioni di lavoro migliori affinch gli operatori lavorino in modo efficace, efficiente, con sicurezza e soddisfazione. In aviazione stato proposto un modello che aiutasse a visualizzare le aree di intervento al fine di migliorare lintegrazione dellessere umano col suo ambiente. Il modello ha subito variazioni nel tempo e la forma pi nota e consolidata si chiama shell, acronimo di Software, Hardware, Environment and Liveware (Hawkins, 1987). Come si pu vedere nella fig. 4.3, esso presenta quattro tasselli che ruotano intorno al tassello centrale. Questi sono frastagliati e linterazione potrebbe non essere ottimale.
figura

4.3 Una possibile rappresentazione del modello shell

I quattro tipi di tassello rappresentano gli elementi principali su cui si deve concentrare lo studio ergonomico per ridurre lincidenza degli errori umani. Essi sono: 1. Software (S): indica tutti i dati, procedure, manuali, regole, informazioni presentate su schermi e pannelli, algoritmi, che regolano il funzionamento di un sistema;

promuovere la sicurezza

2. Hardware (H): indica gli strumenti, le macchine, le strutture fisiche con cui loperatore interagisce; 3. Environment (E): indica lambiente fisico e sociale in cui avvengono le operazioni, pu essere rumoroso, caldo o freddo, con vibrazioni, odori, in elevazione o con poca luce, con elementi di disturbo dovuti alla presenza di altre persone, influenze sociali e culturali esterne; 4. Liveware (L): questo tassello doppio, posto sia al centro del modello sia come elemento di contorno; il tassello laterale indica tutte le persone che interagiscono con loperatore e si riferisce quindi a problemi di comunicazione, leadership, coordinamento, relazioni interpersonali; infine, il tassello centrale indica lelemento umano, loperatore, posto al centro del sistema e interagente con tutti gli altri tasselli. Tale modello pu esser utile per capire quali fattori contestuali interagiscono con la persona e la portano a commettere errori e violazioni. Ad esempio, ripensiamo al caso dellinfermiere che commette un errore di digitazione sulla pompa di infusione. A livello L-S (Liveware-Software), possiamo dire che la persona non aveva ricevuto/letto/capito le informazioni relative al malfunzionamento della macchina, oltre a non aver letto sul display il quantitativo di farmaco da iniettare. A livello L-H (LivewareHardware), linfermiere sta usando uno strumento con un difetto nel tastierino e tale difetto comporta unerrata digitazione; il feedback sonoro ad ogni pressione non lo aiuta a riconoscere lerrore e non esiste una funzione di avvio della somministrazione che obblighi la persona a confermare con attenzione la quantit di farmaco impostata. A livello L-E (Liveware-Environment), linfermiere si trova ad agire in un contesto caotico, con molti pazienti da seguire e tante fonti di distrazione. A livello L-L (LivewareLiveware), linfermiere sembra essere solo in questa procedura e non esiste un vero lavoro di squadra; forse qualche collega aveva gi notato lanomalia del tastierino, ma per pigrizia, inerzia, timore, non lo aveva segnalato. Come rappresenta il modello, i tasselli non sempre combaciano e ci sono margini di errore; una corretta progettazione del lavoro, delle procedure, degli spazi, richiede questa attenzione. Un tempo era luomo che si adattava al lavoro, oggi, come dimostra il modello shell, il lavoro che si deve armonizzare con luomo.

5 Oltre lerrore umano

5.1 Perch sbagliato parlare di errore umano Nel cap. 4 abbiamo visto una serie di statistiche che indicano sistematicamente il fattore umano come il principale responsabile degli incidenti. Spesso questi dati lasciano stupiti e preoccupati: se luomo cos fallibile e pericoloso, perch continuiamo a lasciargli il controllo sui sistemi? Perch non investire nella ricerca di una tecnologia sempre pi avanzata che possa automatizzare i compiti e ridurre lincidenza di errori umani? Per rispondere a queste domande usiamo unaltra domanda: saremmo disposti a fare un volo da Roma a New York su un aereo senza pilota, completamente guidato da un computer di bordo? Molti di noi risponderebbero di no. Il motivo che lessere umano, per quanto fallibile, potrebbe intervenire in caso di anomalie, imprevisti. Infatti qui sta il valore dellelemento umano: un intervento flessibile nella gestione della complessit. Siccome un volo aereo o un intervento chirurgico, un viaggio in automobile ecc. sono attivit complesse che avvengono in sistemi dinamici, al momento non siamo in grado di trasformare in algoritmi tutte le possibili situazioni che potrebbero verificarsi e quindi rimane sempre preferibile affidarsi al flessibile (anche se fallibile) intuito umano. Il padre della moderna informatica, Alan Turing, interrogato sulla possibilit di sviluppo di unintelligenza artificiale, rispose che se una macchina deve essere infallibile non sar anche intelligente (Turing, 1947). Lessere infallibile significa essere affidabile, ossia fare bene, sempre, ci per cui stata programmata. Ma se qualcosa cambiasse e fosse necessario gestire una situazione nuova? Se il mondo richiedesse di agire sempre a livello Rule, per dirla con Rasmussen, basterebbero i computer a gestire i sistemi, perch vi sarebbero situazioni categorizzabili e prevedibili, con algoritmi attivabili di conseguenza. Ma

promuovere la sicurezza

siccome tali sistemi sono complessi e dinamici, portano con s una quota considerevole di situazioni di tipo Knowledge, impreviste, dove non possibile applicare la regola alla cieca e serve intelligenza, flessibilit, creativit; tutte caratteristiche che per il momento sono peculiari del genere umano e non dellautomazione. Lergonomia cognitiva, ossia la disciplina che studia il fattore umano nei contesti operativi e le sue caratteristiche peculiari, indaga su soluzioni progettuali che aiutino una migliore integrazione tra uomo e tecnologia (Wickens, Hollands, 1999; Di Nocera, 2004). Tuttavia, si nota spesso, anche in questa disciplina, un retaggio tipico di studi di matrice ingegneristica, ossia la visione delluomo come un computer difettoso. Tale metafora stata certamente rinforzata dalla psicologia cognitiva e ancora oggi si trovano teorie e modelli della prestazione umana che si ispirano a tale metafora. Nellottica ingegneristica, i processi algoritmici per la gestione di una situazione sono lo standard di riferimento e quindi le fallaci euristiche umane non possono che apparire un pallido tentativo di controllo razionale. Non un caso che si sia parlato spesso di human performance and limitations (Campbell, Bagshaw, 2002), dove il termine limitazioni mette in luce tutti i bachi del sistema uomo. Questo libro vuole invece parlare di prestazione umana, elencando elementi di inaffidabilit (descritti nel cap. 4), ma anche vedendo come sia possibile puntare sugli aspetti flessibili e creativi, in una parola intelligenti, dellessere umano. Solo noi possiamo vedere i gorilla, non i nostri computer (Hollnagel, 2005). 5.1.1. Quello che le statistiche non dicono Le statistiche illustrate nel cap. 4 vanno considerate con cautela. Prima di tutto esse riportano solo lincidenza del fattore umano nella genesi degli eventi avversi, ma non dicono quante volte lintervento umano ha prevenuto un incidente, quante volte la nostra flessibilit ha scovato gorilla prima che diventassero pericolosi. Certo, sarebbe impossibile raccogliere simili statistiche, perch mentre un incidente un fatto, e come tale osservabile e misurabile, la sicurezza un non-evento dinamico (Weick, Sutcliffe, 2007) che emerge da miriadi di comportamenti, decisioni, pensieri, atteggiamenti adeguati. In secondo luogo, le statistiche si basano sulle indagini condotte in seguito a un incidente. Se tali indagini vanno in cerca dellerrore umano, prima o poi lo troveranno. Inoltre, abbastanza ovvio che, da qualche parte nel sistema, si possa trovare lo zampino dellerrore umano. Se, ad esempio, loperatore non ha fatto errori, se la macchina ha fallito, il problema

5. oltre lerrore umano

si sposter nella manutenzione (mancato controllo) o nella progettazione (cattivo design), ambiti dove qualcuno, in definitiva, ha sbagliato. Quindi parlare di errore umano rischioso perch ci fa cadere nel dualismo macchina-uomo di cartesiana memoria (Dekker, 2011). Tale dualismo vedr gli elementi come distinti e cercher le falle, i guasti, in uno o nellaltro. Sarebbe come cercare lessenza dellacqua nellidrogeno o nellossigeno, e non come propriet emergente della loro interazione. Infine, come suggerisce Hollnagel (1993), pi che di errore umano bisognerebbe parlare di azioni errate, perch cos sposteremmo il fuoco dalla persona, nella sua natura, al comportamento, nel suo contesto. Come giustamente fa notare Di Nocera (2004), parlare di errore umano fa coincidere il processo psicologico con le conseguenze. Un errore di battitura sulla tastiera mentre si scrive una mail viene giudicato in un modo. Lo stesso errore sul tastierino della pompa di infusione di un farmaco potrebbe uccidere un paziente. Lerrore lo stesso, ma le conseguenze sono diverse. Le conseguenze dipendono dal contesto in cui esso avviene, e quindi cadere nel dualismo secondo cui gli errori nascono nella mente delle persone (e l vanno analizzati) riduttivo oltre che ingenuo. 5.1.2. Cosa nasconde letichetta errore umano Vediamo ora alcuni elementi che caratterizzano la nozione di errore umano, in modo da poter superare le ambiguit e fallacie di questa visione (Woods et al., 2010). Lerrore umano una attribuzione fatta a posteriori: spesso un errore non esiste senza incidente (o qualsiasi conseguenza visibile). Il fatto di non aver ancora cambiato i pneumatici usurati alla mia auto non sar visto come errore finch non avr un incidente. A posteriori esso diventa oggettivo, visibile e misurabile. Le azioni e le valutazioni errate sono eterogenee: pi che di errore, bisognerebbe parlare di errori, ossia di una variet di azioni che possono essere eseguite dalle persone in vari contesti, da sole o in gruppo, dovute a cattiva percezione, o valutazione, pianificazione, esecuzione. Possono essere legate alle caratteristiche del sistema, al tipo di attivit, alle esperienze passate degli operatori e alla cultura organizzativa. La categoria errore umano, quindi, diventa troppo generica e priva di senso. Le azioni errate dovrebbero essere considerate come il punto di inizio delle analisi degli eventi avversi, non come il punto finale: anzich concludere che un operatore ha sbagliato, chiedersi perch ha sbagliato. Si tratta di

promuovere la sicurezza

analizzare quali condizioni ambientali e psicologiche hanno creato lemergere dellincidente. Hollnagel (1993) distingue, a questo proposito, tra il fenotipo e il genotipo dellerrore. Il fenotipo ci che appare, ad esempio linfermiere sbaglia a impostare il dosaggio del farmaco nella pompa di infusione. Il genotipo ci che sta alla base del fenomeno, ossia quali condizioni psicologiche hanno portato linfermiere a non accorgersi della digitazione sbagliata (azione condotta a livello Skill, ad esempio) e quali condizioni contestuali hanno interagito (tastiera della pompa poco affidabile, display non visibile, carico di lavoro elevato ecc.). Diviene chiaro, quindi, come il termine errore umano non sia una adeguata stopping rule, ossia una regola per fermare lindagine sui fattori causali dellincidente: fermarsi allerrore umano sarebbe come giudicare la parentela di due persone basandosi sul colore dei loro occhi. Le azioni errate sono sintomi, non cause: le indagini sugli eventi avversi dovrebbero quindi considerare le azioni errate come un segno da interpretare, come leffetto di condizioni personali, gruppali, ambientali e organizzative. Ecco perch preferibile parlare di azioni errate e non di errore umano: si analizza un comportamento nel suo contesto e non la persona nella sua natura. Inoltre, bisogna chiarire la differenza tra processi e risultati, cosa che il generico termine errore non permette di fare. Ad esempio, un errore il non controllare il display della pompa di infusione mentre si digita (processo) o un errore il somministrare un quantitativo eccessivo di farmaco (risultato)? Processi e risultati sono debolmente associati: lesempio della pompa di infusione chiarisce questo fatto: non detto che un cattivo processo porti a cattivi risultati, cos come un buon processo potrebbe condurre a esiti negativi. Linfermiere potrebbe non leggere il display (cattivo processo) ma dosare correttamente il farmaco (esito positivo). Nei sistemi complessi non possibile trovare un legame forte tra processo ed esito. Si pensi alla medicina, dove un buon trattamento terapeutico pu comunque essere seguito dalla morte del paziente, o certi errori di trattamento (ad esempio, una somministrazione inadeguata di un farmaco) possono non avere effetti visibili. Purtroppo non facile definire ladeguatezza di un processo, perch lapplicazione della procedura, del ragionamento, delle decisioni che loperatore svolge, non sono e non possono essere unesatta copia delle regole scritte sui manuali operativi, ma sono ladattamento locale delle regole alla situazione contingente. Secondo un approccio riduzionista e meccanicista, per ogni effetto ci deve essere una causa, ma nei sistemi complessi lo stesso principio non vale. Grandi effetti possono nascere da pic

5. oltre lerrore umano

cole cause, o anche da nessuna causa. Essi emergono da miriadi di fattori in interazione tra loro. Ripensiamo al caso del medico che cerca un pezzo di carota nellesofago della paziente e non nota linfarto. Se la signora fosse morta, la causa sarebbe stata la cecit del medico? O forse la concomitanza di tanti fattori che hanno portato allevento avverso? Si usa spesso unespressione che rivela lapproccio meccanicista agli incidenti nei sistemi complessi: ricostruzione dei fatti. Questa visione implica che, cos come possibile passare dalle cause agli effetti, altrettanto facile e sicuro il processo inverso, passare dagli effetti alle cause. Il tempo reversibile, in questottica. Ma nei sistemi complessi questa solo unillusione. La valutazione delladeguatezza del processo viene influenzata dalla conoscenza dei suoi risultati: malgrado processo e risultati siano solo debolmente associati, la valutazione degli esiti proietta una medesima valutazione sui processi che li hanno preceduti. Una visione riduzionista porta ad assumere che il danno fosse prevedibile e quindi loperatore che ha commesso lerrore stato negligente. Ma la prevedibilit un concetto difficile da stimare, e certamente lo nel caso in cui lo si fa a posteriori, perch il collegamento tra cause ed esiti appare ovvio. Si pensi al rispetto delle distanze di sicurezza alla guida di unauto. Il guidatore deve condurre il veicolo prevedendo la distanza necessaria per evitare limpatto con altri veicoli o pedoni. Ci richiede che la persona possa prevedere tutte le possibili minacce alla sicurezza della guida e sappiamo bene che tale principio vale sulla carta, ma quando siamo al volante le nostre fredde competenze analitiche si fanno labili. Vedremo nei paragrafi successivi come questa lettura a posteriori generi una serie di trappole che impediscono una corretta analisi dellevento. Gli incidenti sono una propriet emergente di numerosi fattori: dietro un evento avverso non c un errore, ma una congiunzione, uninterazione tra fattori umani, tecnologici, organizzativi (Reason, 1990). Il caso della pompa di infusione un esempio: la morte del paziente potrebbe essere propriet emergente di fattori come, ad esempio, particolare intolleranza del paziente verso il farmaco sovradosato, mancata lettura del display, inesperienza delloperatore verso quel tipo di macchinario, tastierino della pompa difettoso, carico di lavoro elevato, organizzazione dei turni inadeguata ecc. Nessuno di questi elementi, da solo, genera lincidente, ma la loro interazione che porta allesito avverso. Un approccio riduzionista cercherebbe di scomporre il sistema nei suoi elementi, in cerca del guasto, convinto che per capire il funzionamento (o fallimento) del sistema, basti studiare il funzionamento (o fallimento) delle sue parti.

promuovere la sicurezza

Alcuni dei fattori che hanno contribuito allincidente sono condizioni latenti del sistema: come ha notato James Reason (1990), esistono fattori nascosti nel sistema che diventano visibili solo dopo che, in interazione con il comportamento umano, emergono in un evento avverso. La forma identica dei due indicatori di carburante nel caso Tuninter, il carico di lavoro nel caso dellinfermiere, la filosofia organizzativa orientata al risparmio di risorse adottata dalla nasa prima dellincidente alla sonda Mars Polar Lander, sono forme diverse di condizioni latenti pi o meno profonde. Lerrore umano solo uno degli elementi, fermarsi ad esso non permette di vedere gli aspetti latenti e potenzialmente attivi per altri futuri incidenti. Gli stessi fattori sono alla base della prestazione adeguata e dellerrore: ci che differenzia un errore da una prestazione corretta il suo esito, ma spesso i processi mentali sono i medesimi. Lesito non dipende, quindi, solo dal processo mentale, ma dallinterazione con i fattori latenti e contestuali. Le azioni erronee non sono frutto dellimprevedibilit umana: il comportamento umano segue leggi che la psicologia studia da pi di un secolo, e le dinamiche governate da tali leggi sono interpretabili anche alla luce del contesto in cui loperatore si trova ad agire. La confusione di due farmaci con la stessa etichetta non sar quindi una bizzarria del cervello umano, ma la naturale conseguenza della nostra tendenza a non notare certi dettagli, associata alla configurazione fisica dei farmaci. Questo comporta che la prevenzione di azioni erronee passa soprattutto dallo studio dei fattori contestuali che ne favoriscono lemersione. Le azioni erronee sono dipendenti dal contesto: ogni azione che ha avuto conseguenze inattese o indesiderate va studiata nel suo contesto, perch nellinterazione con esso che emerge lesito. Un sistema che non tollera la variabilit delle prestazioni umane un sistema a rischio, perch non le contestualizza. Non siamo affidabili (come diceva Turing), ma siamo variabili, fallibili e intelligenti. Se dobbiamo fare un lavoro tipico di una macchina, ci sar chiesto di eseguire compiti validi di per s, insensibili al contesto. Ma questo ci che noi non vogliamo nei sistemi complessi, perch il contesto pu variare in modo inatteso e imprevedibile. Ecco che, quindi, la prestazione umana sar variabile, adatter al contesto regole e procedure. Talvolta questi adattamenti avranno esiti non voluti. La sicurezza di un sistema nasce dalla tolleranza, detezione e rimedio degli errori: un sistema per essere sicuro deve essere progettato in funzione della variet della prestazione umana. Se la risposta giusta deve essere

5. oltre lerrore umano

una e solo una, il rischio molto elevato perch, come abbiamo detto, la prestazione variabile e il contesto dinamico. La tolleranza implica che, qualora un operatore esegua unazione erronea, il sistema non permetta la degenerazione verso un incidente, ma abbia diverse barriere in grado di mitigare gli effetti dellazione. Naturalmente il sistema deve fornire feedback costanti alloperatore rispetto a ci che sta facendo e deve poter evidenziare la natura erronea delle azioni se accadono, dando quindi spazio a interventi di recupero della situazione. Una tecnologia sempre pi opaca, ossia nascosta e incomprensibile agli operatori, a causa della complessit, rischia di rendere invisibili gli errori fino al loro manifestarsi come incidente (Norman, 1990). Il caso del sistema informatico di gestione dei pezzi di ricambio della Tuninter emblematico di questa incompatibilit tra prestazioni umane e processi automatizzati. Pi tecnologia non significa meno errori: se lunico fattore alla base degli incidenti fosse davvero lessere umano, basterebbe aumentare il potere dellautomazione a discapito dellintervento delle persone. Abbiamo visto che non cos, che gli incidenti nascono dallinterazione di fattori psicologici, tecnologici e organizzativi. Laumento della tecnologia e dellautomazione, quindi, potrebbe portare a conseguenze indesiderate. Espropriando luomo dal controllo della situazione, prima di tutto, si genera quella che in letteratura stata chiamata sindrome out-of-the-loop (Wickens, Hollands, 1999), ossia la condizione in cui gli operatori sono cos lontani dal processo, svolto quasi interamente dallautomazione, che perdono la visione globale del sistema, sono meri assistenti di eventi di cui non colgono il senso generale. Essi rischiano di perdere quelle abilit di controllo e intervento che avevano prima, oppure rischiano atteggiamenti di eccessiva fiducia nellautomazione, arrivando ad abbassare la guardia verso eventuali anomalie e a tardare negli interventi di emergenza. In secondo luogo, laumento della complessit del sistema dato dallaggiunta di automazione pu portare a nuove forme di incidenti, ignote prima. I sistemi informatici potrebbero non armonizzarsi tra loro o potrebbero emergere incompatibilit. Questo proprio ci che accadde nel caso del Mars Climate Orbiter, dove i dati inviati dalla sonda erano calcolati secondo un sistema metrico diverso da quello utilizzato dai computer di Terra, provocando un errore nel calcolo delle distanze dal pianeta. La sonda si distrusse per lattrito con latmosfera di Marte. Infine, lautomazione crescente pu provocare nuovi tipi di azioni erronee da parte delle persone stesse. Ad esempio, molti software dispongono di un sistema di completamento automatico dei dati che si stanno immettendo. Un operatore del Pronto soccorso, nellurgen

promuovere la sicurezza

za di gestire un caso, potrebbe inserire i dati del paziente nel database senza il dovuto controllo. Il software potrebbe completare i campi in automatico per facilitare loperatore, ma in casi di omonimia il rischio di attribuire dati di un paziente ad unaltra persona sarebbero elevati. Questo porterebbe allo scambio delle cartelle cliniche e a conseguenze potenzialmente letali. Le analisi degli incidenti non sono una ricostruzione dei fatti: una visione meccanicista e riduzionista del mondo comporta una credenza pericolosa nellanalisi degli incidenti: basta raccogliere informazioni sufficienti per ricostruire i fatti per come sono andati. Tale credenza implica che esista un mondo oggettivo esterno alle nostre menti, e che le persone possano essere pi o meno capaci di rappresentarselo e gestirlo. Quando accade un incidente, quindi, bisogner ricostruire lo stato reale del mondo e capire dove e come le persone non sono state capaci di rappresentarlo nella loro testa. Tale approccio ingenuo e riduttivo. Non esiste un mondo oggettivo, una verit esterna che noi cerchiamo di intuire. Esistono interazioni tra noi e lambiente. Chi ricostruisce i fatti si illude di aver riprodotto il mondo come era prima dellincidente, ma lincidente emerge dallinterazione tra tutti i fattori presenti allora e non facilmente riproducibili a posteriori. Le analisi degli incidenti sono delle costruzioni sociali, delle narrazioni a posteriori, dei tentativi di dare senso e semplicit a fenomeni complessi. La narrazione , per forza di cose, sequenziale e impone violentemente linearit a qualcosa che per definizione non lineare, dinamico, multifattoriale. 5.2 Le trappole mentali di chi analizza gli incidenti Immaginiamo un semplice infortunio e vediamo come i cosiddetti fatti possano essere letti in molti modi diversi, a seconda della prospettiva (Holden, 2009). Unoperaia scivola su una chiazza dolio sul pavimento dellarea di lavoro, riesce per a cadere su una pila di sacchi l vicino, evitando danni pi seri. Un collega osserva la scena. Vediamo ora le possibili interpretazioni di questi fatti: errore fondamentale di attribuzione: il collega crede che loperaia sia scivolata per cause interne e generali della sua persona: distrazione, incuria, frettolosit. Questo tipo di errore stato ampiamente studiato in psicologia sociale (Ross, 1977) e si fonda sulla tendenza di chi osserva i comportamenti altrui a ricondurne le origini non a situazioni contingenti,

5. oltre lerrore umano

ma a stati interni e disposizionali della persona osservata. Se linfermiere che mi sta facendo un prelievo non si accorge della mia paura, tender ad attribuire il comportamento a un suo tratto di personalit, vedendola come una persona fredda e insensibile, piuttosto che attribuirlo a un suo stato temporaneo. Allo stesso modo, loperaia sar vista come distratta in generale, piuttosto che distratta in quella specifica situazione; asimmetria attore-osservatore: sebbene il collega pensi che loperaia sia scivolata perch una persona distratta, essa tender invece a interpretare levento in termini di cause esterne e contingenti: momentanea fretta, pavimento poco illuminato, scarsa manutenzione dei macchinari che ha provocato la perdita di olio. Questo fenomeno, complementare al primo, si riferisce alla tendenza di chi compie lazione a legare il suo comportamento a circostanze contingenti ed esterne piuttosto che a disposizioni generali e interne (Jones, Nisbett, 1971); attribuzione al servizio di s (self-serving bias): loperaia penser che, malgrado la scivolata, stata brava a spingersi verso i sacchi e a cadere sul morbido. Di converso, il collega penser che stata fortunata e avrebbe potuto farsi molto pi male. Questo fenomeno indica, quindi, la tendenza ad attribuire i nostri successi a cause interne (la bravura) e gli insuccessi a cause esterne (sfortuna o ambiente) (Miller, Ross, 1975); errore di attribuzione finale: il collega penser che loperaia, in quanto donna, non adatta a questo tipo di lavoro, che troppo distratta per poter lavorare in un ambiente tipicamente maschile e ricco di insidie. Questo errore, simile al primo elencato, riguarda per lattribuzione di caratteristiche generalizzate a membri di gruppi sociali o etnici diversi dal proprio, e diviene poi fondamento per pregiudizi e luoghi comuni (Pettigrew, 1979). Chi ha ragione tra i due operai? Esistono fatti puri? evidente che noi umani abbiamo la tendenza a leggere gli eventi secondo meccanismi come quelli elencati qui sopra, ma questo ci dice che i fatti oggettivi sono un artificio mentale di tradizione neopositivista. Occorre essere consapevoli che ci che chiamiamo ricostruzione invece una interpretazione di alcune informazioni parziali. Ricordiamo quanto detto a proposito della nostra razionalit limitata: raccogliamo solo una ridotta quantit di informazioni, rispetto a tutte quelle potenzialmente indagabili, le rappresentiamo in modo soggettivo adattandole a bisogni, credenze, aspettative, euristiche, non sappiamo cogliere tutte le reciproche interazioni tra questi dati, non sappiamo come si sono davvero articolati in passato, non sappiamo stimare quali esiti avranno nel futuro, n se e come si ripresenteranno.

promuovere la sicurezza

Vediamo ora quali sono i rischi di chi analizza gli eventi avversi senza tenere in considerazione queste caratteristiche del pensiero umano. 5.2.1. Errare umano. Cercare il colpevole lo ancora di pi La logica aristotelica, rinforzata dal pensiero scientifico da Cartesio e Newton in poi, ci rende spontaneo il cercare una causa specifica nei pressi e subito dopo un effetto. Siccome spesso vicino a un effetto c un essere umano, lui sar identificato come la causa. Lerrore fondamentale di attribuzione, a sua volta, ci porta a cercare dentro la persona delle caratteristiche disposizionali generali (essere imprudente, inaffidabile, spericolata). Ecco gli ingredienti fondamentali per creare un capro espiatorio. Il pensiero antico ha ben rappresentato questa tendenza umana a proiettare su un soggetto (il capro) la negativit che giustifica la presenza di eventi altrimenti non accettabili (il dolore, la sofferenza, gli incidenti): solo il suo sacrificio potr permettere una gestione del dolore e unespiazione. Se oggi sorridiamo al pensiero che il sacrificio di una capra permetta di alleviarci dai mali del mondo, troviamo del tutto naturale sfogliare giornali leggendo dettagliate analisi del comportamento abominevole del comandante della Costa Concordia prima e dopo il naufragio. Come abbiamo gi detto, individuare responsabilit individuali ben diverso dal caricare la persona di tutte le responsabilit degli eventi avversi che sono accaduti in un sistema complesso. Questa si chiama cultura della colpa e, come abbiamo detto nel cap. 2, non aiuta il sistema a dare risposte forti a segnali deboli, perch porter le persone a chiudersi, a non comunicare, a proteggersi. Di fatto la cultura della colpa rende gli operatori degli elementi atomisticamente scollegati uno dallaltro, rendendo impossibile il processo di sviluppo della sicurezza come propriet emergente. Oltre alla naturale tendenza a cercare un capro espiatorio, le indagini sugli incidenti nei sistemi complessi si fermano spesso agli operatori per altre ragioni (Woods et al., 2010). Prima di tutto gli operatori sono facili da incolpare. Erano presenti sul luogo dellincidente, hanno fatto qualcosa che collegato agli esiti. Inoltre gli operatori erano stati incaricati formalmente di tutelare la sicurezza e di attenersi alle procedure, quindi se la sicurezza viene a mancare, loro sono responsabili. Un altro motivo che blocca le indagini a livello degli operatori la difficolt di analizzare le relazioni complesse tra gli elementi del sistema. Mentre facile e immediato trovare il nesso causale tra azione ed effetto, pi arduo proseguire

5. oltre lerrore umano

in questa indagine cercando di capire come quellazione fosse maturata nella mente delle persone, quali fattori contestuali avessero agevolato quel tipo di pensieri. Indagare un sistema complesso come camminare nella nebbia: si vedono solo le cose pi vicine e si perdono le relazioni con gli elementi del contesto. Ancora, siamo cos pronti a cercare lerrore umano nei sistemi complessi proprio perch non ci aspettiamo che falliscano. Il tasso di incidenti gravi in questi sistemi molto basso (proprio grazie alle persone che vi lavorano); questo rende un incidente un evento cos eccezionale che solleva emozioni forti, tali da trovare conforto solo trovando un colpevole il prima possibile. Infine, nellanalisi degli incidenti si celano rischi dovuti a quelle stesse fallacie della mente che sono chiamate in causa per spiegare la nostra fallibilit. Anche chi conduce unanalisi, infatti, si trova a dover leggere a posteriori un evento, cercando di individuarne le ragioni. Come abbiamo visto nel capitolo sulle euristiche e sui bias, non siamo molto bravi nei ragionamenti a posteriori e nelle stime di probabilit. Vediamo le trappole principali in cui possibile cadere. 5.2.2. La trappola del senno di poi Una delle pi potenti distorsioni del ragionamento probabilistico la tendenza a ritenere un evento come assolutamente probabile solo dopo che accaduto, mentre prima che accadesse questa era solo una delle tante possibilit. In termini pi formali, analizzando un fatto a posteriori, le persone tendono a esagerare in modo considerevole ci che avrebbe potuto essere visto in anticipo. Per questo motivo, questa tendenza stata chiamata hindsight bias, ossia fallacia a posteriori (Fischhoff, Beyth, 1975; Fischhoff, 1975). Riprendiamo il caso del medico di guardia che decide di trasferire la donna allospedale vicino senza accompagnamento, perch lattesa dei reperibili avrebbe esposto la donna e il feto a rischi maggiori di quelli dati da un viaggio in ambulanza senza accompagnamento. Supponiamo che durante il viaggio le condizioni della donna siano peggiorate e che abbia perso il bambino prima dellarrivo in ospedale. A posteriori ovvio sostenere che i rischi di non essere accompagnata fossero troppo elevati e che sarebbe stato meglio attendere il medico reperibile. La trappola del senno di poi ci fa quindi vedere il comportamento del medico di guardia in modo distorto, perch lo leggiamo gi nellottica dellincidente avvenuto. Ma il medico non sapeva che stava per entrare nella scena del crimine! Questa una lettura a posteriori. Chi studia gli eventi avversi deve fare uno sforzo di lettura degli eventi adottando una prospettiva fenomenologica, ossia

promuovere la sicurezza

mirata a centrarsi sulla realt della persona in esame, rispettando, senza giudicare, quella che la sua verit, la sua esperienza. Ricordiamo che non esistono fatti puri e oggettivi; il vissuto del medico prima dellevento relativo, proprio come lo il nostro che analizza levento a posteriori. Il lavoro di chi analizza gli incidenti dovrebbe essere quello di capire perch per quella persona era sensato agire in quel modo, perch nel suo contesto tutto lo ha portato a fare quello che ha fatto (Dekker, 2005). Allora, perch il medico di guardia ha fatto quella scelta? Immaginiamo quante informazioni potevano essere presenti nella sua mente mentre trattava la paziente. Lurgenza del caso, il dover gestire da solo la complessit della situazione, il valutare il tempo dattesa del medico reperibile e il valutare il tempo di trasporto allaltro ospedale, il bilanciamento tra il rischio dellattesa e il rischio del trasporto della paziente non accompagnata, la presenza di altri casi urgenti in reparto ecc. Tutti questi pensieri, scelte, decisioni, alternative hanno portato il medico a fare quello che ha fatto. Come abbiamo gi chiesto nella presentazione del caso nel cap. 4: errore? Se leggiamo levento a posteriori, la trappola del senno di poi ci fa rispondere di s, errore. Chi legge a posteriori ricostruisce a ritroso gli eventi, secondo una fittizia catena degli eventi. Si parte dallincidente e si risale, indietro nel tempo, da un anello al precedente, fino al colpevole. La donna ha perso il bambino, non stato possibile gestire il distacco di placenta, la donna era quindi partita in condizioni troppo gravi per affrontare il viaggio da sola. Il medico di guardia non ha saputo valutare il rischio e ha violato la procedura che richiede sempre un accompagnamento da parte di un medico reperibile. Quindi il medico di guardia colpevole. Notiamo in questa ricostruzione che la catena degli eventi appena descritta ben diversa dallintrico di pensieri, dubbi, ragionamenti che stava vivendo il medico prima dellincidente. Nella fig. 5.1 vediamo una possibile rappresentazione della differenza tra il reticolo di informazioni presenti nella mente del medico di guardia e la lineare ricostruzione fatta da chi legge a posteriori. Chi cade nella trappola del senno di poi ricostruisce una realt lineare e pulita da tutti i fattori contestuali di disturbo che invece erano presenti nella mente delloperatore. Tale linearit porta allo sconcerto di chi non capisce come il medico abbia potuto prendere quella decisione, perch se leggiamo i fatti secondo la logica di destra ovvio che porteranno alla morte del bambino. A posteriori si rischia di analizzare i processi decisionali non contestualizzandoli nei limiti temporali, si riflette sui segnali presenti nel caso, ma secondo un tempo infinito, senza pressioni e urgenze, mentre chi era coinvolto nella vicenda era immerso in un tempo limitato e

5. oltre lerrore umano

sentiva la pressione di una decisione urgente. bene ricordare che quando ci ritroviamo a dire ma come ha potuto commentando a posteriori un incidente, la nostra sorpresa non misura della scelleratezza di chi ha compiuto lerrore, ma misura della lontananza del nostro punto di vista da quello che stava effettivamente vivendo la persona in quel momento, prima dellincidente. Pi ci sembra assurda la sua scelta, pi siamo caduti nella trappola del senno di poi e stiamo leggendo unaltra storia.
figura

5.1 La trappola del senno di poi. La differenza tra i due percorsi evidente: nel caso della ricostruzione a posteriori si analizzano solo gli eventi che di fatto hanno portato allincidente e non si tiene conto del resto

Il senno di poi comporta numerose distorsioni cognitive (Fischhoff, 1975). Vediamone alcune: accelerazione indebita dei tempi degli inevitabili eventi passati: a posteriori il tempo di svolgimento degli eventi e delle decisioni abbreviato, tutto si svolge in sequenza, senza pause e deviazioni. Nel nostro esempio, il medico di guardia avrebbe fatto pochi ragionamenti e tratto subito le conclusioni che lo avrebbero portato a ordinare il trasporto non accompagnato;

promuovere la sicurezza

si ritrovano segnali, preavvisi dellincidente, anche in eventi scollegati o remoti: si tratta della tendenza alla dietrologia, cio il cercare a posteriori i segnali che confermano come gli eventi non avrebbero potuto svolgersi se non come si sono effettivamente svolti, e gi allora cerano i segnali del disastro. Ad esempio, si vanno a cercare eventuali altri errori commessi dal medico in passato, se ne cercano le debolezze, in modo da dimostrare la sua vera natura fallibile; si crede che le persone coinvolte nei fatti ne fossero pienamente consapevoli e sapessero della loro rilevanza o gravit nellottica dellincidente: il paradosso ben espresso dalla frase: Caro diario, oggi comincia la guerra dei Centanni. Il medico non sapeva che il bambino sarebbe morto, non sapeva che il reperibile magari sarebbe arrivato prima del previsto, non sapeva, in poche parole, che stava iniziando la tragedia. Questa credenza sostiene lillusione del libero arbitrio di chi coinvolto nellincidente: la persona ha deliberatamente deciso di fare ci che ha fatto, pur sapendo che stava per avviarsi verso un incidente. Tale illusione vede quindi la persona come scevra da fattori contestuali, come se la sua decisione fosse nata nella sua mente solo come frutto di una sua personale inadeguatezza. Il senno di poi non provoca solo effetti distorcenti in chi conduce le indagini, ma anche nei colleghi della persona coinvolta. Molti potrebbero pensare che loro se ne sarebbero accorti, che a loro non sarebbe successo. Questo fa aumentare la solitudine della persona coinvolta, perch incolparla pi comodo per tutti. Piuttosto che individuare anche fattori organizzativi e contestuali, meglio cercare la mela marcia ed espellerla, perch il sistema (deve essere) sano. Tale atteggiamento, per, porta a una forma di cecit organizzativa e gruppale, essa impedisce di notare fattori di rischio gi presenti, perch il rischio doveva essere solo nella persona accusata. E se i fattori di rischio permangono, prima o poi potrebbero riemergere sotto forma di altro incidente. Purtroppo sembra che non sia facile eliminare gli effetti del senno di poi, anche sapendo della sua esistenza le persone tendono a cadere in questa trappola (Fischhoff, 1975). Lunico modo per limitarne linfluenza quello di invitare le persone a valutare possibili alternative agli esiti effettivamente accaduti. Ad esempio, chiedendo ai soggetti di spiegare come ognuno dei possibili esiti avrebbe potuto verificarsi (Hoch, Lowenstein, 1989), oppure chiedendo alle persone di elencare le ragioni pro e contro ogni possibile esito (Fraser, Smith, Smith, 1992). Queste tecniche servono a stimolare un approccio mentale al problema tipo avvocato del diavolo,

5. oltre lerrore umano

favorendo quindi forme di pensiero laterale e riducendo la chiusura in una visione univoca ed esclusiva. 5.2.3. La trappola del lieto fine In italiano e anche in altre lingue esiste un detto: tutto bene ci che finisce bene. Quando gli eventi volgono per il meglio, tutto ci che li ha preceduti assume una connotazione positiva. Purtroppo questo atteggiamento una trappola per chi analizza gli eventi avversi, perch vincola la valutazione dei processi alla valutazione degli effetti. Se qualcosa ha avuto un lieto fine (nessun danno, incidente sventato ecc.), allora i fattori precedenti non sono presi in considerazione o, se lo sono, non vengono valutati in modo negativo. Se invece le cose vanno a finire male, allora tutti gli antecedenti si macchiano della colpa. Questa fallacia stata chiamata outcome bias (Baron, Hershey, 1988), quindi legata ai risultati. Riprendiamo il caso del medico di guardia che invia la donna gravida in ambulanza senza accompagnamento. Se presentassimo la storia a due gruppi di giudici, differenziando il racconto solo per lesito (la donna arriva in ospedale e il parto si svolge regolarmente, oppure avviene il distacco della placenta e il bambino muore), i due gruppi valuterebbero la gravit dei fattori che hanno condotto allesito in modo molto diverso. Se il bambino muore, la decisione del medico grave e si assunto rischi inaccettabili. Se il bambino e la mamma stanno bene, il medico stato un eroe a violare la procedura e a salvare le loro vite. Purtroppo, come diceva Mach, il successo o linsuccesso hanno la stessa origine, ci che li differenzia sono i risultati (Hollnagel, 2009). Chi analizza gli incidenti si trova, quindi, di fronte a una storia che ha avuto un esito negativo e tender a valutare i fattori processuali come pi negativi e rischiosi del dovuto. Come si pu immaginare, nello studio della sicurezza nei sistemi complessi bisognerebbe omettere il finale alle descrizioni degli eventi, ma praticamente impossibile farlo se tali indagini si fanno solo dopo un incidente. Bisognerebbe agire prima dellincidente, quindi. Ricordiamo la matrice segnali-risposte descritta nel cap. 2: un sistema sicuro sa dare risposte forti a segnali deboli, prima che diventino segnali forti. Il rischio della trappola del lieto fine che, se le cose non hanno esiti negativi, si tende a valutarle meno seriamente. il caso dei mancati incidenti, quando un autista riesce a evitare un tamponamento per pochi centimetri, quando un infermiere si accorge di aver sbagliato farmaco poco prima di somministrarlo al paziente, quando un operaio viene sfiorato da un attrezzo caduto dallalto. La trappola del senno di poi ci farebbe dire tutto bene quel che finisce bene e ci fareb

promuovere la sicurezza

be procedere come se nulla fosse. Ricordiamo la piramide degli incidenti, dove i quasi incidenti sono preludio per danni maggiori. Questa trappola viene poi rinforzata da una cultura della colpa, in cui si cerca il colpevole a tutti i costi. Di fronte a un incidente mancato, la persona coinvolta non sar propensa a parlarne, perch avr timore delle conseguenze punitive. In conclusione, chi analizza gli eventi avversi dovrebbe essere consapevole di questo rischio e provare a valutare i fattori in esame indipendentemente dagli esiti conosciuti. A proposito, il bambino e sua madre stanno bene, la storia ha avuto un lieto fine. Questo ci solleva da un punto di vista umano, ma lesito non dovrebbe influenzarci nellanalisi del caso. 5.2.4. La trappola della simmetria In un mondo semplice, cause ed effetti sono simmetrici, cio grandi cause producono grandi effetti e viceversa. In un mondo complesso le cose stanno diversamente e la trappola della simmetria ci impedisce di capire che anche piccoli e remoti fattori possono condurre a effetti di vasta portata. Ricordiamo leffetto farfalla descritto nel cap. 1, secondo cui le condizioni iniziali di sviluppo di un sistema complesso possono determinare esiti lontani nel tempo, nello spazio e di ordini di grandezza molto diversi. La trappola della simmetria, invece, ci far credere che se c stato un effetto drammatico la sua causa sar altrettanto grave. Torniamo al caso dellinfermiere che stava per scambiare le provette dei due pazienti: questo banale errore cognitivo potrebbe avere gravissime conseguenze, quindi si tenderebbe a giudicarlo come abominevole. Ma dal punto di vista cognitivo sarebbe come mettere il sale nel caff, dimenticare di pagare una bolletta o lasciare un documento nella fotocopiatrice dopo averlo riprodotto. Facciamo un esempio molto drammatico. Il 2 ottobre 1996 un Boeing 757 della Aeroper con settanta persone a bordo ebbe un incidente misterioso che port alla morte dellequipaggio e di tutti i passeggeri. Poco dopo il decollo, avvenuto verso mezzanotte, i comandanti si trovarono a volare alla cieca, nessuno strumento sembrava funzionare, non sapevano a che altitudine si trovassero e cerano incomprensibili incongruenze nei dati della strumentazione. Cercarono quindi di ritornare allaeroporto di partenza, ma credettero di essere a unaltitudine maggiore di quella effettiva e durante le manovre ebbero un violento impatto con la superficie del mare e si inabissarono nelloceano. Le indagini rivelarono che poco prima del decollo gli addetti alla manutenzione avevano pulito la carlinga, come previsto, ma si erano dimenticati di rimuovere il nastro protettivo che va posto sopra i sensori di bordo (i tubi di

5. oltre lerrore umano

Pitot), per evitare che il detergente li rovini. Dopo la pulizia il nastro andrebbe rimosso, gli operatori se ne dimenticarono e laereo decoll con i sensori bloccati da pochi millimetri di nastro (ntsb, 1996). Una banale dimenticanza, un piccolo fattore, ha provocato un enorme incidente. 5.2.5. La trappola della conferma Noi esseri umani siamo particolarmente abili nel cercare conferme delle nostre credenze, ipotesi, aspettative. Siamo meno capaci di trovare evidenze contrarie. Questo fenomeno, chiamato confirmation bias (Klayman, Ha, 1987), anche noto come profezia che si autoavvera. In sostanza significa che chi cerca evidenze per validare una certa ipotesi tender a dare pi peso a ci che la conferma, trascurando argomenti contrari. Hollnagel (2009) ha chiamato questa trappola wylfiwyf (What-You-Look-For-Is-What-YouFind), ossia ci che cerchi ci che trovi, descrivendola come una delle principali minacce per chi conduce analisi sugli incidenti. Se la persona dispone di aspettative pregresse, va in cerca dellerrore umano, cerca il colpevole, certamente finir per trovare ci che cerca. Nel caso del medico di guardia al Pronto soccorso, se cerchiamo un colpevole che infrange le procedure non avremo difficolt a trovarlo, ma questo potrebbe impedirci di vedere altri fattori altrettanto rilevanti per analizzare laccaduto. 5.2.6. La trappola del ma se Se il medico avesse atteso il reperibile, la donna non avrebbe perso il bambino; se loperatore non avesse dimenticato il nastro protettivo sui sensori, laereo non sarebbe caduto. Questi sono chiamati controfattuali, ossia ragionamenti ipotetici su come le cose sarebbero potute andare se alcuni aspetti fossero cambiati. Ci divertiamo a fantasticare con i se e con i ma, pur non essendo molto capaci di evitare grossolani errori (Kahneman, Tversky, 1982). Nelle indagini sugli incidenti nei sistemi complessi, la trappola del ma se porta le persone a credere che se quellelemento della storia fosse cambiato, sarebbe stato possibile evitare il problema. Questo concentra lattenzione solo sullelemento in esame (ad esempio, il medico) e vede nella sua correzione (o eliminazione) la migliore strategia di intervento per la sicurezza. Largomento sembra avere una logica stringente: se linfermiere non fosse stato distratto, non avrebbe scambiato le provette dei due pazienti, quindi basta intervenire sulla sua distrazione per eliminare il problema. Ormai dovrebbe essere chiaro che nei sistemi com

promuovere la sicurezza

plessi non possiamo giocare con i se, perch un piccolo cambiamento potrebbe produrre effetti inattesi e gli esiti sono sempre frutto dellinterazione di molti fattori; in altri termini, non detto che agendo solo sulla persona si risolverebbe il problema. 5.3 Le insidie delle trappole Le trappole che abbiamo appena visto sono pericolose per almeno tre motivi. Prima di tutto sono insidiose perch non facile notarle e correggerle. Sono il risultato di processi cognitivi basati su euristiche e sono parte del nostro normale corredo mentale, per questo molti ragionamenti possono sembrare del tutto legittimi e coerenti. Non facile accorgersi che si stanno adottando queste visioni distorte e, anche sapendolo, necessario un certo impegno per limitarne gli effetti. Sono il retaggio di un approccio al mondo che la nostra specie ha adottato con successo fino ad ora, ma se queste strategie cognitive hanno funzionato nei secoli passati non sono pi valide nei sistemi socio-tecnici complessi che noi stessi abbiamo progettato e sviluppato in anni recenti. Possiamo, quindi, sforzarci di cambiare prospettiva, ma sar come se un destrimane dovesse imparare a scrivere con la mano sinistra: il processo sar lento, allinizio la prestazione sar molto grossolana e vi sar spesso la tendenza a ricadere nelle vecchie abitudini. Il secondo motivo di insidia di queste trappole che portano inevitabilmente a focalizzare le indagini, e quindi la colpa, sulle persone e sui loro errori. Sono la linfa che alimenta i luoghi comuni sullerrore umano e portano al consolidamento di approcci meccanicisti e riduzionisti ai sistemi complessi. Si cerca il guasto (loperatore che ha sbagliato) e lo si ripara. Questo porta allo sviluppo della cultura della colpa, un clima allinterno del sistema per cui lunica soluzione possibile per fare sicurezza cercare e punire chi commette errori. Infine, dal momento che queste trappole concentrano lattenzione sugli errori delle persone, distolgono da altri fattori di tipo contestuale e organizzativo che potrebbero, invece, essere rilevanti per evitare che lincidente si ripresenti. Abbiamo detto che le azioni erronee sono un sintomo e non una causa, sono il segnale che qualcosa nel sistema porta allemersione di incidenti, grazie allinterazione con le caratteristiche fisiche e psicologiche degli operatori. Confondere i sintomi con le cause latenti quindi pericoloso, perch agendo sui sintomi si illude il sistema che il problema sia stato eliminato, mentre stato solo dilazionato.

6 Analizzare gli incidenti nei sistemi complessi

6.1 Cercare le cause Nel cap. 5 abbiamo visto che la nozione di errore umano porta a una lettura miope degli incidenti nei sistemi complessi. Daltro canto, chi conduce le analisi degli incidenti potrebbe rischiare di cadere nelle trappole di una lettura a posteriori degli eventi, giudicando i comportamenti degli attori coinvolti nellottica dellanticipazione di un prevedibile disastro. Questo approccio stato definito da Catino (2006) come accusatorio, perch diretto alla persona, a cercare il colpevole. Esso stato il modello dominante fino ad anni recenti e si ispira a una visione del sistema come un domino le cui tessere sono poste in fila: se un elemento cade (lerrore umano), esso provocher una reazione a catena fino allincidente (Heinrich, 1931). Tale modello si basa su alcuni presupposti: 1. le persone agiscono sulla base del libero arbitrio, se hanno sbagliato perch hanno deliberatamente scelto quella azione o, in caso di errori involontari, non hanno prestato la dovuta cura nel lavoro; 2. le persone sono portatrici di responsabilit individuale e siccome necessario trovare dei responsabili baster cercare coloro che hanno violato i propri doveri; 3. la punizione necessaria, per rispetto del senso di giustizia; 4. lindividuazione e la punizione dei responsabili permettono al sistema un processo veloce ed economico, senza che si debba analizzare la situazione a livelli pi profondi e complessi. Come sottolinea Catino (2006), questo approccio genera solo omert, chiusura, isolamento degli operatori. Sono gli effetti della cultura della colpa. Il sistema non apprende dagli errori, non circolano le informazioni e il sistema destinato a coltivare al suo interno le stesse condizioni latenti che hanno condotto agli eventi avversi in passato.

promuovere la sicurezza

Hollnagel (2004; 2009) ritiene che questo approccio lineare e causale sia tuttora presente in molti modelli che cercano di analizzare gli eventi nei sistemi complessi partendo da retaggi tipici dellingegneria industriale. Le relazioni causa-effetto non sono pi solo lineari, possono ramificarsi, ma il modello mantiene unintrinseca rigidit e sequenzialit (fig. 6.1).
figura

6.1 Esempi di modelli causali: singola catena causale (in alto); albero dei guasti (a sinistra); albero degli eventi (a destra)

Il modello a sinistra si chiama albero dei guasti e rappresenta tutti gli elementi del sistema che possono avere un funzionamento corretto o meno e possono quindi condurre allincidente. Nellesempio, tutta una serie di situazioni organizzative si combina per dare corpo a condizioni di lavoro poco sicure; in tale contesto loperatore commette un errore e il sistema tecnologico non riesce a mitigarne gli effetti, con conseguente infortunio. Il modello a destra si chiama albero degli eventi e rappresenta lo sviluppo delle conseguenze rispetto allaccadimento di un fatto, che agisce da attivatore della catena. Nellesempio, un cambiamento organizzativo pu avere diverse conseguenze che col tempo possono portare allincidente.

6. analizzare gli incidenti nei sistemi complessi

6.2 Limiti dei modelli causali Questi modelli sono nati per gestire la sicurezza nei sistemi industriali (ad esempio, una centrale elettrica) e dimostrano tutta la loro natura ingegneristica. Essa rappresenta, allo stesso tempo, un punto di forza ma anche di debolezza. un punto di forza perch semplifica e sistematizza le dinamiche, quantifica i rischi e rende una visione dinsieme. un punto di debolezza perch i sistemi complessi sfuggono a questa logica semplificatoria. Un albero come quello rappresentato nella fig. 6.1 pu funzionare nellanalisi dei danni provocati dal cedimento di una conduttura. Ad esempio, una valvola cede sotto la pressione del tubo, la pressione nella conduttura cala, questo provoca il blocco delle pompe che inviano liquido refrigerante, quindi il sistema si surriscalda fino ad esplodere. Questo un sistema semplice, lineare, meccanico e scomponibile nel funzionamento dei singoli elementi. Ma se proviamo a rileggere le situazioni descritte nella fig. 6.1, vedremo che non possibile individuare una relazione causa-effetto lineare tra gli elementi. Ad esempio, la mancanza di tempo per eseguire le operazioni, rappresentata nellalbero dei guasti a sinistra, dovuta solo alle pressioni produttive e alla inadeguata pianificazione del lavoro? E in che misura i due fattori determinano questo effetto? Non potrebbe essere dovuta anche a circostanze contingenti impreviste o essere frutto di una combinazione di fattori psicologici come la poca tolleranza allo stress e il mancato coordinamento di gruppo? Come si vede, le relazioni non sono semplici e lineari. Questo approccio si basa su alcune assunzioni: i sistemi si possono scomporre in elementi semplici; il funzionamento di ogni elemento bimodale (giusto/sbagliato); la probabilit di guasto in un elemento pu essere descritta e analizzata individualmente, a livello della singola parte; la sequenza degli eventi predefinita e immutabile; le combinazioni tra elementi sono lineari; le influenze del contesto sono limitate e quantificabili. Come abbiamo visto nel cap. 2, i sistemi complessi sono esattamente il contrario: non scomponibili, non bimodali, gli eventi locali hanno relazioni col tutto, le sequenze di eventi non sono predicibili n lineari, il sistema aperto a influenze dal contesto. Tali caratteristiche rendono lapproccio causale poco efficace. Esistono tentativi di applicazione ai sistemi complessi, ad esempio la Root Cause Analysis (rca) e la Failure Mode and Effects Analysis (fmea) (Rausand, Hyland, 2003), ma lintrinseca impostazione dei

promuovere la sicurezza

modelli rischia di non cogliere la natura dinamica e non lineare del sistema. Ad esempio, un albero dei guasti si basa sul concetto di rottura. Il funzionamento di un fusibile pu avere due stati: operativo e normale o guasto. un sistema bimodale. La decisione di un pilota se dichiarare emergenza durante il volo per rischio esaurimento carburante ha infinite sfaccettature: pu essere parzialmente adeguata, oppure corretta anche se eseguita in ritardo. Anche lesecuzione delle procedure (ad esempio, praticare una gastroscopia) richiede adattamento contingente di regole astratte, un adattamento che considera fattori come il tipo di paziente, il tipo di strumentazione, lambiente, i colleghi con cui si opera, il proprio stato fisico e mentale. Allo stesso modo, Hollnagel (2009) suggerisce che le analisi delle cause-radice come la rca sono efficaci per indagare fenomeni risultanti e non emergenti. I fenomeni risultanti sono quelli che derivano dalla semplice somma delle parti componenti, dove il rapporto causale diretto, lineare e ha effetti predicibili. Nei sistemi complessi abbiamo per fenomeni emergenti, dove le relazioni causali sono difficilmente indagabili. 6.3 Cercare le condizioni Analizzando il caso della Tuninter con un approccio accusatorio, centrato sulla persona, la colpa cadrebbe sul tecnico della manutenzione che ha preso il pezzo sbagliato. Ma se cerchiamo di allargare lo sguardo ai fattori contestuali, ad esempio adottando il modello shell descritto nel cap. 4, vedremmo che le azioni erronee sono state indotte da circostanze particolari: una strumentazione con dati ambigui, procedure operative poco chiare, atteggiamenti condivisi di scarso controllo. Come si vede, parlare di errore umano sarebbe riduttivo. Soprattutto perch quei comportamenti erronei potrebbero ripetersi da parte di altre persone, se il sistema ad indurli. Lautore che forse pi di tutti ha permesso di operare questo spostamento dal singolo al sistema stato James Reason (1990), il quale ha proposto un modello di analisi delle dinamiche degli incidenti nei sistemi complessi che riscuote tuttora un considerevole credito in settori come laviazione (icao, 1993), la sanit (Kohn, Corrigan, Donaldson, 1999), la produzione industriale e altri settori dove la sicurezza un tema rilevante (Reason, 2008). Un contributo al successo del modello lo ha dato anche il nome, Swiss Cheese, modello del formaggio svizzero. Questa immagine ben presente e chiara nelle mente di chi, negli ultimi ventanni, ha cercato di sviluppare un approccio sistemico alla sicurezza.

6. analizzare gli incidenti nei sistemi complessi

Nella fig. 6.2, le fette di formaggio rappresentano i livelli del sistema, composto da persone, contesti operativi e dimensione organizzativa (cultura aziendale, dirigenza, procedure ecc.). Ogni fetta ha dei buchi, delle falle, che si muovono costantemente e rappresentano debolezze specifiche del livello. Ad esempio, ripensando al caso della Tuninter, a livello organizzativo troviamo dei buchi dati dalla cultura aziendale poco attenta allintegrazione dei processi, poco chiara sul rispetto delle procedure. A livello contestuale, troviamo unambiguit progettuale dei due indicatori dellatr, incongruenze tra software e catalogo dei pezzi di ricambio. A livello delle persone, vediamo errori dovuti alla confusione degli indicatori, violazioni dovute allo scarso controllo dei manutentori, dei tecnici che fanno rifornimento, dei piloti che non controllano adeguatamente il piano di volo. In questo esempio, nessun sistema di allarme ha permesso di bloccare lallineamento di questi fattori, quindi le difese hanno fallito e hanno permesso allevento avverso di propagarsi.
figura

6.2 Una rappresentazione del modello del formaggio svizzero

Nota: sono rappresentati tre livelli: la persona (che commette errori e violazioni), il luogo di lavoro (che crea le condizioni per lemersione di errori e violazioni) e lorganizzazione (le decisioni, la cultura aziendale e i processi che definiscono i contesti). Le difese tecnologiche dovrebbero evitare che il comportamento umano generi incidenti, ma a volte non riescono a contenerne gli effetti.

Il modello ha subito trasformazioni nel tempo, sino a una sua rappresentazione recente dove le fette del formaggio non sono relative a uno specifico elemento del sistema, ma servono solo a indicare che il sistema ha

promuovere la sicurezza

diversi livelli. In generale, al di l delle specifiche rappresentazioni, una delle intuizioni pi efficaci del modello la nozione di fattori latenti, distinta da quella di errori attivi. Il montaggio dellindicatore sbagliato sullatr un errore attivo, che provoca lincidente. Ma questo si generato per via di fattori latenti, nascosti da tempo nel sistema, che Reason ha definito patogeni residenti, ispirandosi alla metafora dello sviluppo di una malattia. Per questo motivo, lapproccio di Reason stato anche definito epidemiologico, perch vede lincidente come la manifestazione esteriore di interazioni latenti nel sistema, presenti da tempo, ma che prima dellincidente non si erano mai allineate fino a produrre un evento avverso. Esattamente come una malattia emerge dallazione congiunta di agenti patogeni che sono presenti dentro lorganismo. Ecco perch, per Reason, intervenire sulla persona limitato: si cambierebbe la fetta del formaggio, ma se i buchi agli altri livelli permangono qualcun altro sar destinato a ripetere gli stessi errori. Si tratta in questo caso di incidenti organizzativi (Reason, 1997), cio di incidenti in cui i fattori che generano levento avverso sono da ricercarsi nei patogeni residenti nel sistema e non nel comportamento umano. 6.3.1. Limiti del modello epidemiologico Il modello di Reason ha avuto il pregio di diventare uno standard negli studi e negli interventi sulla sicurezza, ha aiutato nellindagine sugli incidenti e, soprattutto, ha permesso di progettare interventi di prevenzione. Tuttavia non stato esente da critiche (Reason, Hollnagel, Paries, 2006). Alcuni hanno rilevato la sua eccessiva superficialit nella metafora delle fette e dei buchi, che non permetterebbe di rendere lo strumento davvero operativamente utile (Luxhj, Kauffeld, 2003; Luxhj, Maurino, 2001; Shappell, Wiegmann, 2000). Dekker (2011) riconosce che il modello ha permesso di fare un passo avanti nella comprensione degli incidenti chiamando in causa le condizioni e non le cause. Tuttavia mantiene una sua certa rigidit e linearit. Le fette sono ferme, non interagiscono, i buchi devono essere allineati per produrre un incidente e non possibile saltare una fetta. Per certi versi, una lettura pi articolata del modello domino rappresentato nella fig. 6.1. Qui non ci sono cause, ma condizioni che si allineano. I buchi sono entit con una loro consistenza ontologica, sono erosioni di parti sane del sistema, ma cos torniamo alla dicotomia tra normale e patologico, giusto e sbagliato. Non esistono patogeni buoni, cos come non esistono buchi sani, secondo questo modello. Ma abbiamo detto, invece, che le

6. analizzare gli incidenti nei sistemi complessi

azioni erronee sono tali solo a posteriori e solo in relazione a certi contesti. Inoltre, la sicurezza, secondo il modello, deriverebbe da solide barriere (le fette) che contengono il rischio. Il rischio, quindi, viene rappresentato come una forma di energia che va contenuta, lincidente nasce dalla somma di tanti errori, ma ogni errore individuabile di per s, come buco nella fetta di formaggio. Purtroppo la realt pi complessa: un errore non tale in assoluto, ma solo in relazione ad altri fattori. Infine, una lettura scorretta e superficiale del modello di Reason porterebbe a spostare semplicemente la colpa dagli operatori in prima linea ai dirigenti, perpetuando la ricerca di una causa, solo pi remota e sfumata. Il rischio di tale lettura sarebbe quello di arenare lindagine nelle secche di fattori cos generali da essere inafferrabili, come ad esempio la cultura. innegabile che lincidente di ernobyl sia interpretabile anche nellottica della dissoluzione politica ed economica dellUnione Sovietica, o che gli incidenti del Columbia prima e del Challenger poi vadano letti allinterno della competizione usa-urss verso lo spazio e poi delle politiche di contenimento dei costi della nasa. Ma, come lo stesso Reason (1997) ha affermato, forse il pendolo oscillato troppo lontano, passando da un estremo (lapproccio alla persona) allaltro (lapproccio al sistema), con il rischio che la lettura degli incidenti come unica espressione di patologie organizzative comprometta una corretta visione dinsieme, che parta dalle persone e vada ad analizzare i contesti. La vera lettura sistemica, quindi, non cerca le colpe nellorganizzazione, o nella cultura aziendale o nazionale, bens cerca le condizioni a tutti i livelli e ne studia le interazioni complesse. 6.4 Bilanciare sicurezza e responsabilit: verso una cultura giusta A seguito delle teorie di Reason molti studiosi ed esperti di sicurezza nei sistemi socio-tecnici complessi hanno parlato di blame culture, una cultura della colpa opposta a una cultura no-blame, detta anche just culture, ossia una cultura basta sulla giustizia (Reason, 1997). Lapproccio sistemico permetterebbe, quindi, di sviluppare una cultura no-blame, perch indagherebbe le condizioni organizzative e contestuali che inducono allerrore, senza focalizzarsi sulle colpe individuali. Infatti, solo il 10% degli incidenti in aviazione avviene per comportamenti biasimevoli (gain Working Group, 2005), questo significa che nel 90% dei casi di incidente in aviazione, un intervento punitivo e sanzionatorio non sarebbe garanzia di sicurezza. Ma

promuovere la sicurezza

cosa fare con quel 10%, come intervenire? E, soprattutto, come fare a distinguere comportamenti passibili di sanzione disciplinare da altri tipi di errori onesti? La sicurezza passa da un approccio non colpevolizzante, ma non per questo si deve trascurare la responsabilit individuale degli operatori. La cultura giusta dovrebbe permettere questo bilanciamento, perch da un lato favorisce la fiducia negli operatori nel riportare ogni situazione di rischio, anche incentivandola con forme premianti, ma dallaltro lato ben chiaro a tutti il margine che separa comportamenti accettabili e non accettabili (e quindi punibili). 6.4.1. Segnare il limite tra responsabilit individuali e fattori sistemici Vediamo ora un caso in cui la responsabilit individuale si intreccia in modo complesso con altri fattori.
La differenza tra cercare e vedere Radiologia di ospedale di medie dimensioni, ore 10.30 di un mattino feriale. Il radiologo di turno alla refertazione delle tac viene chiamato da un tecnico in una delle sale della radiologia tradizionale: il primario di Chirurgia ha inviato un paziente operato tre giorni prima di chiusura di colostomia temporanea dopo resezione del colon per diverticolosi al controllo dellanastomosi ( questo un controllo routinario che si esegue a paziente asintomatico e decorso regolare), chiedendo che lesame fosse valutato proprio da quel radiologo. Il radiologo guarda le immagini, dichiara tutto a posto, valida referto negativo per spandimento di mezzo di contrasto e firma. Il paziente viene dimesso, asintomatico, in settima giornata dallintervento chirurgico. Sei mesi dopo lo stesso paziente si presenta nellambulatorio del primario di Chirurgia: ha dolore addominale da un mese circa. Non ha nausea n vomito, alvo e diuresi regolari. Non febbre. Alla visita il chirurgo palpa una tumefazione in fossa iliaca sinistra per la quale chiede una ecografia urgente. Lesame dimostra massa in fossa iliaca sinistra. La radiografia delladdome eseguita per chiarire il tutto evidenzia una garza in addome. La garza era stata lasciata in addome durante lintervento chirurgico. Il radiologo non laveva vista in terza giornata. I chirurghi si erano fidati del referto del radiologo. Il paziente era gi stato operato alladdome in altro ospedale, questo rende pi complesso lintervento chirurgico. Il radiologo cercava fuoriuscita del mezzo di contrasto dal colon (che non cera) e non un corpo estraneo. Tra i chirurghi e quel radiologo esiste da anni un rapporto di stima e fiducia reciproca. Il corpo del paziente non ha dato segni n sintomi di corpo estraneo in addome per molto tempo. Il paziente stato informato della situazione e operato per lasportazione

6. analizzare gli incidenti nei sistemi complessi

della garza. Il decorso post-operatorio stato regolare. In settima giornata stato dimesso. Vi siete chiesti: ma come ha potuto il radiologo non vedere? Errore? Di chi? Quando? E se lultimo intervento avesse avuto complicanze? Se il paziente si fosse rivolto a un terzo chirurgo? I chirurghi si fideranno ancora del radiologo? Il radiologo come sta? Quante persone, in una sala operatoria, sono responsabili delle garze? Quante procedure sono state scritte in merito? Se un radiologo, in un turno, dedicato alla tac, pu refertare un esame di radiologia tradizionale? Il tecnico di radiologia doveva notare qualcosa? O solo il radiologo? I chirurghi non hanno guardato le immagini?
figura

6.3 Una rappresentazione dellalbero decisionale per stabilire se e quanto punire persone coinvolte in incidenti

Fonte: adattamento da Hobbs (2008).

promuovere la sicurezza

Reason (1997) propone un albero decisionale per stabilire se il comportamento in esame ricada nella zona accettabile o meno. Altri autori hanno integrato la proposta di Reason e nella fig. 6.3 vediamo uno schema che tiene conto dellevoluzione dello strumento (Hobbs, 2008). Lalbero decisionale si articola in cinque domande, poste in ordine decrescente di colpevolezza. 1. Latto era intenzionale? A questo livello occorre valutare se lobiettivo della persona era proprio quello di ottenere il danno, se ha avuto successo nellottenere il risultato e in che misura. Naturalmente ci che conta lintenzione, anche se poi questa non ha avuto esiti, perch se lobiettivo creare danno, il comportamento va punito. Bisogna, inoltre, distinguere tra risultato dellazione e conseguenze. Un operatore pu cercare un certo risultato dalle sue azioni, ad esempio eseguire un prelievo senza guanti per avere maggiore sensibilit, ma non essere consapevole delle conseguenze, ad esempio un contagio. I risultati, quindi, sono legati alla pianificazione del comportamento, le conseguenze potrebbero essere dovute allinterazione con altri fattori, che sfuggono alla pianificazione consapevole della persona. Se la risposta a tutte queste domande sempre s, siamo di fronte a un atto volontario di tipo criminale, perch la persona voleva fare ci che ha fatto, conoscendo gli effetti del suo comportamento e tutte le possibili conseguenze. Si tratta di atti di sabotaggio, di suicidio volontario, di danno intenzionale, che meritano di essere indagati e gestiti per vie esterne al sistema. Se invece si risponde no alla domanda sullintenzionalit dellatto, dei risultati o delle conseguenze, si deve passare alla domanda 2. 2. La persona ha agito sotto effetto di sostanze? In questo caso bisogna valutare se la persona era autorizzata o meno ad assumere le sostanze. Se non era autorizzata bisogna capire se la persona aveva assunto la sostanza autonomamente per via di uno stato clinico particolare (ad esempio, ha assunto un farmaco per linfluenza che provoca sonnolenza). Se non cerano condizioni cliniche che giustificassero lassunzione, si tratta di abuso di sostanze. Nellaltro caso, la colpevolezza mitigata dalla necessit clinica, anche se la persona ha sottovalutato o ignorato gli effetti collaterali del farmaco. Nel caso, invece, che la persona fosse autorizzata da un medico ad assumere quelle sostanze, occorre capire se la persona avesse chiari gli effetti collaterali o se non li sapesse o li avesse ricevuti. Nel primo caso si tratta di una violazione data dalla deliberata inosservanza di prescrizioni mediche, nel secondo caso si tratta invece di una violazione indotta dal sistema, di cui la persona non responsabile. Se la

6. analizzare gli incidenti nei sistemi complessi

persona non ha assunto sostanze, quindi se si risponde no, si passa alla domanda 3. 3. La persona ha violato intenzionalmente una procedura operativa? In questo caso la persona non esegue volontariamente un comportamento atteso, definito in procedure, regole, pratiche operative. Bisogna accertarsi che le procedure fossero (a) disponibili, (b) applicabili, (c) comprensibili, (d), corrette e (e) ragionevoli. Se le procedure violate rispettano tutti i cinque requisiti, allora ci si deve chiedere se la persona ha adottato un comportamento spericolato per via di un suo bilanciamento costi/benefici (ricordiamo il principio etto). Inoltre, occorre valutare la correttezza e laccuratezza della percezione del rischio della persona. A questo livello si trova la sottile linea di demarcazione tra comportamenti punibili e comportamenti indotti dal sistema. Secondo alcuni autori, tra cui Reason, se la persona ha deliberatamente violato procedure chiare, adeguate, condivise e applicabili, si tratta di comportamento spericolato e quindi passibile di intervento disciplinare. Se invece le procedure non fossero state applicabili, o chiare ecc., allora si dovrebbe procedere alla fase successiva. Altri autori preferiscono essere cauti sullintervento disciplinare e suggeriscono di passare alla domanda 4 anche se la persona ha violato procedure adeguate. 4. Altri operatori, nella stessa situazione, avrebbero adottato un diverso comportamento? Qui siamo alla fase che Reason chiama test della sostituzione, ossia una considerazione che bisognerebbe fare mettendo da parte la persona indagata e immaginando se quello stesso comportamento avrebbe potuto essere realizzato da altri operatori simili, con qualifica ed esperienza analoghe, in quella situazione. Tale verifica pu essere condotta idealmente, oppure osservando altri eseguire le stesse attivit, o con interviste pi o meno strutturate. Questa analisi darebbe unimmagine del lavoro per come viene effettivamente realizzato e farebbe capire se questo molto distante dal lavoro per come pianificato. Se si risponde s alla domanda sulloperato di altri colleghi, si passa alla domanda 5, relativa alla storia operativa dellindividuo, perch in questo caso la persona ha agito in modo diverso dalla comunit dei pari. Se la risposta a questa domanda no, cio se altri operatori si sarebbero comportati allo stesso modo, bisogna chiedersi se esistono delle carenze o negligenze di tipo sistemico nella formazione o selezione del personale, nellassegnazione dei ruoli, oppure se si tratta di carente esperienza degli operatori. Se anche in questo caso la risposta no, se il comportamento delloperatore non derivato da errata selezione, formazione, allocazione o carente esperienza, significa che ha

promuovere la sicurezza

agito in modo imprudente assumendosi dei rischi inopportuni, quindi si tratta di un possibile comportamento di negligenza. In questo caso si pu valutare se e quanto intervenire con misure disciplinari. Se invece vi sono carenze sistemiche nella selezione o formazione del personale, bisogna evitare la colpevolizzazione individuale e agire sul sistema. Come abbiamo detto, se invece la situazione supera il test di sostituzione, cio se lazione stata messa in atto dalla persona in modo diverso da quello che avrebbero fatto altri colleghi, si passa alla domanda successiva. 5. La persona ha dimostrato in precedenza comportamenti non sicuri? A questo punto ci si focalizza sulla persona e sulla sua storia. Siamo allestremo no-blame dellalbero, perch in questo caso non ha senso punire la persona, al massimo si interviene con una maggior sensibilizzazione e/o formazione. Se la prima volta che la persona assume un comportamento poco sicuro, bisognerebbe chiedersi se lo ha segnalato o meno, perch una cultura organizzativa giusta si basa sul reporting degli eventi connessi alla sicurezza. Se la persona non ha segnalato il suo errore, ci significa che ha poca sensibilit verso la sicurezza, o forse teme una cultura della colpa e non si fida del sistema del reporting. In questo caso bisognerebbe valutare se esiste una cultura della colpa e agire sul sistema. Se la cultura della colpa non esiste, bisognerebbe intervenire sulloperatore fornendogli maggiore formazione, un adeguato counselling rispetto al ruolo e al suo vissuto. Se la persona ha commesso altri errori o violazioni in precedenza, si potrebbe anche valutare un eventuale cambio di mansione allinterno del sistema. Se, infine, la persona non ha mai commesso errori simili in passato, questo non va affatto punito e bisogna invece andare ad indagare i fattori contestuali e organizzativi che lo hanno favorito. A maggior ragione, se la prima volta che commette un errore e lo ha segnalato spontaneamente, lerrore non va punito e, in alcuni casi, la persona andrebbe incentivata e lodata per la fiducia. Come si vede dallalbero decisionale, a parte azioni di sabotaggio e violazione esplicita, sarebbe consigliabile evitare la punizione delloperatore, perch vi sarebbero condizioni sistemiche sottostanti che dovrebbero essere analizzate. A dire il vero, tali condizioni sistemiche sarebbero presenti anche in caso di sabotaggio, perch se un sistema non si accorge di tali intenzioni, non cura la selezione e la formazione dei suoi operatori, di fatto un sistema non sicuro. Questo significa che, in ogni caso, anche di fronte a esplicite e volontarie violazioni spericolate, lorganizzazione dovrebbe interrogarsi sul perch ha permesso che tali comportamenti arrivassero a manifestarsi. Ritorniamo per un momento al caso Costa Concordia. Se la

6. analizzare gli incidenti nei sistemi complessi

compagnia di navigazione si fosse fermata a denunciare il comandante per come ha condotto la nave verso il naufragio e per come ha gestito lemergenza, si sarebbe privata dellopportunit di analisi del come potuto succedere quello che successo, di quali condizioni organizzative hanno portato un gruppo dirigente come quello coinvolto nel disastro ad agire in quel modo. Non certamente facile individuare chi, in base alla situazione, sia pi idoneo a fare tutte le valutazioni secondo lalbero decisionale. In alcuni casi necessaria sensibilit e conoscenza del contesto, in altri forse sarebbe necessario un punto di vista esterno e meno influenzato da pregiudizi o abitudini condivise. Ecco perch la sicurezza non pu essere demandata ai tecnici, perch un fatto che riguarda tutti. Torniamo al caso del radiologo che non vede la garza. Come si potrebbe intervenire sul caso seguendo lalbero decisionale? 6.4.2. Dare potere alle persone tutelando uno spazio di discrezionalit Alcuni autori ritengono che lalbero decisionale sia concettualmente rischioso (Woods et al., 2010), perch si focalizza sui comportamenti, sui risultati, e non sui processi. Come ogni strumento, esso pu essere usato pi o meno bene. Consapevoli delle trappole in cui pu cadere chi analizza gli incidenti, consapevoli che le azioni erronee sono sintomi e non cause, possibile usare questo strumento per andare ad analizzare i fattori sistemici. Molti sostengono che la demarcazione tra comportamenti accettabili e non accettabili starebbe a cavallo delle violazioni di procedure e regole. Se queste ci sono, sono chiare, applicabili e sensate, devono essere rispettate. Bisogna per ricordare che le procedure sono astrazioni dal lavoro, che invece viene eseguito nel qui-ed-ora da persone che operano un adattamento locale di tali regole. Ripensiamo al caso del medico di guardia al Pronto soccorso, che invia la donna a rischio di distacco della placenta senza attendere, anzi senza nemmeno chiamare, il personale reperibile. La procedura era presente, era chiara. Ma era sensata e applicabile in quel contesto? A posteriori, se il bambino fosse morto, diremmo di s. Se invece fosse vivo e la madre stesse bene potremmo dire che il medico ha fatto bene, in quelle condizioni, a non aspettare il reperibile. Come possiamo rispondere? Non possiamo rispondere. Prendiamo il comportamento del medico come sintomo e non come causa, e anzich chiederci se punirlo o meno, usiamo lalbero decisionale per chiederci se la procedura sicura, se

promuovere la sicurezza

un caso simile si pu ripresentare, se quella procedura deriva da un riassetto organizzativo che forse non ha tenuto conto di tali evenienze. E, sia ben inteso, non poteva farlo. Non spostiamo la colpa dal medico ai dirigenti, sarebbe un circolo vizioso. Il riassetto organizzativo stato fatto in buona fede, purtroppo questo ha creato condizioni che, di fronte a situazioni impreviste, portano a correre rischi elevati. A questo punto ci si deve fermare e mettere in atto quelle pratiche della flessibilit e dellapprendimento tipiche della vera cultura della sicurezza. Cosa possiamo imparare da questo evento? Come possiamo cambiare per evitare che accada di nuovo?. Ecco le domande che unorganizzazione sicura dovrebbe porsi, e non chi stato e quanto colpevole?. Il caso del medico di guardia esemplare: in prima linea esiste sempre uno spazio di discrezionalit che nessuna procedura o innovazione potr coprire. lo spazio per lintelligenza umana, per la sua flessibilit, capacit critica, sensibilit al contesto. Le procedure sono astratte e non possono che essere cos, sarebbe assurdo e pretenzioso fare procedure per ogni possibile evenienza. Il problema sarebbe solo spostato: loperatore dovrebbe capire che tipo di problema sta vivendo e individuare quale, fra le mille procedure diverse, quella corretta. Ma abbiamo visto che la nostra razionalit limitata, che siamo carenti nel valutare tutte le informazioni possibili e le loro interazioni. Allora bene lasciare libero questo spazio affinch le persone siano capaci di ragionare, decidere, agire. lo spazio che il medico ha usato per decidere che seguire la procedura, attendendo larrivo del reperibile, sarebbe stato troppo rischioso. Ed uno spazio fitto di ambiguit, incertezze e dilemmi morali. Certamente il medico avr vissuto minuti dangoscia, sapendo che la donna era in viaggio verso laltro ospedale a rischio di perdere il bambino e di morire lei stessa. Si sar attanagliato nel dubbio di aver fatto la scelta giusta, lui stesso sar caduto nella trappola del e se. Ma quello spazio va tutelato, va rispettato. Il medico, cos come altri operatori in sistemi complessi, non vorrebbe vedersi limitato in procedure e vincoli. Sarebbe impossibile, perch i sistemi complessi non possono essere ricondotti al solo livello Rule. Quello spazio rende il lavoro qualcosa di cui andare fieri, ci che rende loperatore davvero impegnato per fare bene il suo lavoro, con responsabilit. Lui sa che quello spazio anche la sede della sua responsabilit, lui sa e vuole scegliere cos. Per tutelare questo spazio, lorganizzazione ha due cose da fare. Prima di tutto deve cercare di essere molto chiara sui confini di questo spazio di discrezionalit. Il rischio creare situazioni di doppio legame, nelle quali da un lato loperatore deve attenersi a procedure rigide (attendere il repe

6. analizzare gli incidenti nei sistemi complessi

ribile) e dallaltro essere responsabile per le sue azioni (subire un processo in caso di morte della paziente). come se lo spazio discrezionale fosse ristretto prima della decisione, impedendo alloperatore di agire secondo la sua sensibilit, ma poi si espandesse in caso di esito negativo, chiamando in causa la sua responsabilit personale. Questa ambiguit sui confini dello spazio di discrezionalit mortifica gli operatori e li rende impotenti, impauriti, isolati. La seconda cosa da fare, per tutelare lo spazio di discrezionalit, che lorganizzazione chiarisca come motivare le persone ad esercitare la loro libert di azione in quello spazio. Se la leva motivazionale la paura di una denuncia, le persone saranno solo caricate di un peso insopportabile e poco produttivo. Un esempio di tale effetto la medicina difensiva, pratica che porta gli operatori sanitari a sentirsi talmente responsabili e attaccabili legalmente da praticare inutili diagnosi e trattamenti, al solo scopo di poter dimostrare in sede legale che hanno fatto tutto il possibile per trattare il paziente. Fanno bene a fare cos. Se lapproccio al lavoro quello della minaccia, la paura li porter a difendersi come possono. Ma certamente questo ha un costo enorme in termini economici (tempo e risorse spesi male) e umani (stress, malessere, burnout). Se, al contrario, la leva motivazionale punta sul coinvolgimento delle persone nel miglioramento del sistema, in quella cultura dellapprendimento e flessibilit, allora le persone avranno un ruolo per la costruzione della sicurezza. Dare potere alle persone significa farle sentire autorizzate a dire la loro sulla sicurezza, a giocare un ruolo attivo nel vedere i segnali deboli e nel contenerli, partecipando alla costruzione condivisa di un sistema migliore e pi sicuro. Solo cos le persone potranno abitare quello spazio di discrezionalit con la serenit che le rende efficaci, assumendosi tutte le responsabilit delle loro azioni. Perch queste saranno dovute alla loro professionalit e competenza, alla loro intelligenza di esseri umani impegnati nella gestione di un sistema complesso.

7 Progettare sistemi resilienti

7.1 La necessaria immaginazione per anticipare i rischi Cosa differenzia il fumo di sigarette dal riscaldamento globale? Il primo un rischio semplice, il secondo complesso. Hollnagel (2008) utilizza questo esempio per spiegare la difficolt dei moderni sistemi socio-tecnici nella gestione dei rischi. La valutazione di rischi richiede una necessaria immaginazione (Adamski, Westrum, 2003) per anticipare almeno tre tipi di situazioni: 1. cosa pu andare storto? 2. come pu andare storto? 3. cosa si potrebbe fare per ridurre/eliminare il rischio o per mitigare le conseguenze? Quando un rischio semplice facile rispondere alle tre domande. Il rischio che il fumo provochi il cancro ai polmoni stato accertato da decenni di ricerche. Quindi si sa che il fumo provoca certi danni al nostro organismo (il cancro), se ne conoscono le dinamiche (rapporto tra fumo, stili di vita e predisposizioni genetiche) e si sa anche cosa bisognerebbe fare per contenere i rischi o trattare le conseguenze (trattamenti oncologici). Al contrario, il riscaldamento globale un tipo di rischio complesso, perch in corso un animato dibattito sulle sue conseguenze (desertificazione, scioglimento dei ghiacciai, cambiamenti climatici inattesi), su come i presunti effetti si potrebbero manifestare (nellarco di anni, o secoli, su scala locale o globale, in misura ridotta o con grandi effetti), n tantomeno vi chiarezza e condivisione sui modi per eliminare il rischio o mitigarne gli effetti (quanto e come ridurre le emissioni, come modificare le nostre attivit produttive, come gestire gli ecosistemi).

promuovere la sicurezza

Gestire i rischi nei sistemi complessi quindi unimpresa difficile, perch limmaginazione necessaria per anticiparli deve affrontare informazioni carenti, mutevoli, dinamiche, non lineari. Tra i primi ad accorgersi di tale situazione fu Perrow (1984), il quale parl di incidenti normali, per riferirsi al fatto che i sistemi socio-tecnici dagli anni Settanta in poi avevano subito un cambiamento tale da renderli qualitativamente diversi dal passato. Per tale motivo egli parla di incidenti normali, ossia assolutamente inevitabili, visto lincremento di complessit dei sistemi produttivi. Per descrivere i sistemi e i relativi incidenti, Perrow propose di utilizzare due parametri: linterazione e la connessione tra gli elementi del sistema. Linterazione un continuum che pu andare da lineare a complesso, laddove i sistemi complessi sono caratterizzati da: fonti di informazione indirette o dedotte; limitata possibilit di isolare i guasti; limitata possibilit di sostituzione di strumenti e materiali; limitata comprensione di alcuni processi; numerosi parametri di controllo in potenziale interazione; numerose connessioni tra componenti che non sono vicine nella sequenza produttiva; limitata consapevolezza delle interdipendenze dovuta alla specializzazione degli operatori; fasi della produzione molto ravvicinate fra loro; poco spazio tra le apparecchiature; cicli di retroazione imprevisti e non voluti. La connessione, invece, pu essere rappresentata in debole o forte. I sistemi complessi che hanno forte connessione sono caratterizzati dai seguenti aspetti: le ridondanze e i sistemi di recupero devono essere appositamente progettati; non possibile ritardare i processi; le sequenze produttive sono invariabili; il ricambio di apparecchiature, materiali e personale limitato e deve essere precedentemente progettato; non sono possibili pause nelloperativit di personale e macchinari; esiste un solo modo per eseguire le procedure e portare a termine i processi; un evento che accade in una parte del sistema si propagher presto alle altre, vista la loro stretta connessione. Dalla combinazione di connessione (debole o forte) e interazione (lineare o complessa), Perrow classifica molte realt produttive. Si hanno cos

7. progettare sistemi resilienti

situazioni di poca interazione e debole connessione, come gli uffici postali o le catene di montaggio, interazione lineare e connessione stretta, come le ferrovie, deboli connessioni e interazioni complesse, come i sistemi di ricerca e le miniere, o forte connessione e interazione complessa, come le centrali nucleari, il trasporto aereo, le centrali chimiche. Ovviamente, questi sistemi sono quelli pi a rischio, vista la natura estrema di connessioni e interazioni. Secondo Hollnagel (2009), tuttavia, il parametro della interazione potrebbe essere sostituito con quello pi misurabile di controllo, che va da un minimo (sistemi poco gestibili) a un massimo (sistemi molto gestibili). I sistemi poco gestibili (o, come li definisce lui, intrattabili) sono caratterizzati dai seguenti aspetti: scarsa o assente conoscenza dei principi di funzionamento del sistema; la descrizione del sistema difficile e contiene molti dettagli; la descrizione richiede molto tempo per essere realizzata; il sistema cambia prima che la descrizione sia completata.
figura

7.1 Il diagramma connessione-controllo come evoluzione della proposta di Perrow (1984). I sistemi pi a rischio sono quelli nel quadrante in alto a destra

Fonte: adattamento da Hollnagel (2009).

promuovere la sicurezza

Rivedendo quindi il diagramma di Perrow, Hollnagel propone di classificare i sistemi secondo la connessione e il controllo (fig. 7.1). Come si vede, allaumentare della connessione aumentano i rischi di eventi avversi. Non detto che aumenti anche la frequenza di eventi avversi, anzi. Basta un incidente nucleare per avere danni enormi. Quindi la connessione riflette il rischio collegato allevento, non la sua frequenza di accadimento. Al diminuire del controllo le procedure e le regole sono meno efficaci, vista la natura variabile e intrattabile del sistema, aumenta quindi lesigenza di spostare ladattamento dalle regole predefinite agli aggiustamenti locali operati dalle persone. Quello che interessante di questo diagramma la visione dinsieme dei vari sistemi che sono interessati dal tema della sicurezza. La posizione dei sistemi nel diagramma non rigida, lo stesso Hollnagel ha cambiato collocazioni in diverse edizioni dello schema, ma ci che importa la divisione in quattro quadranti. Questa ci aiuta a capire anche lo sviluppo dei modelli di indagine degli incidenti, descritti nel cap. 6 (Hollnagel, 2008). Ad esempio, non un caso che i modelli lineari, basati sulla logica causa-effetto, siano i pi antichi e siano stati sviluppati proprio per indagare sistemi primitivi come catene di montaggio, ferrovie, poste, miniere e manifatture, ossia tutto ci che ricade nel quadrante in basso a sinistra della fig. 7.1. I modelli lineari e causa-effetto, come lanalisi delle causeradice, sono quindi adatti allanalisi di sistemi del genere, dove la connessione bassa e la controllabilit alta. Levoluzione dei sistemi ha portato a maggiori connessioni tra gli elementi, la natura degli incidenti ha fatto capire che non era possibile interpretarli solo come sequenze lineari di errori, ma derivavano dallinterazione di fattori latenti presenti nei sistemi da tempo. Il modello che pi di tutti ha contribuito alla comprensione di questi sistemi quello del formaggio svizzero, proposto da Reason. Esistono poi sistemi con connessioni deboli, ma poco trattabili: ad esempio, gli enti di ricerca, le universit, i servizi pubblici. In questi casi la complessit dei sistemi alta, anche se le connessioni tra gli elementi sono lasche e vi sono zone cuscinetto, aree di recupero, tempi flessibili. Secondo Hollnagel (2008) non esistono al momento dei metodi di analisi e gestione dei rischi per questi sistemi, perch la ricerca si sempre focalizzata su sistemi dalla forte componente tecnologica, dove la minaccia per la salute umana era elevata e i casi di incidenti erano frequenti. I sistemi di questo quadrante, invece, hanno avuto storicamente meno rilevanza per quanto riguarda la sicurezza, sono sistemi sociali, con una ridotta componente tecnologica, dove i rischi sono raramente diretti allintegrit fisica delle persone. Venia

7. progettare sistemi resilienti

mo, infine, ai sistemi complessi per eccellenza, quelli caratterizzati da forte connessione e poca controllabilit. In questi casi i modelli di analisi e gestione dei rischi devono essere diversi, uscire dalla logica lineare e ispirarsi a quella delle teorie della complessit (Alderson, Doyle, 2010). 7.2 Le dinamiche dei sistemi socio-tecnici complessi Il 31 gennaio 2000, un md-83, volo 261 della Alaska Airlines, decoll dallaeroporto di Puerto Vallarta, in Messico, diretto a Seattle. Due ore dopo il decollo i piloti contattarono il centro di manutenzione della compagnia per problemi allo stabilizzatore del timone di coda e chiesero un atterraggio di emergenza allaeroporto di Los Angeles. Malgrado i tentativi di controllo scendendo di quota, laereo divenne praticamente ingovernabile per via dello stabilizzatore che si era bloccato in una posizione che poneva il velivolo quasi in picchiata. Dieci minuti circa dopo la segnalazione del guasto, laereo and a schiantarsi nel Pacifico. Persero la vita ottantotto persone, tra passeggeri e membri dellequipaggio, nessuno sopravvisse allimpatto con loceano. Le indagini rivelarono che lo stabilizzatore si era bloccato per via di una vite poco lubrificata che scorreva allinterno di un martinetto (ntsb, 2001). Se si trattasse di un sistema lineare, ci si potrebbe limitare a dare la responsabilit ai tecnici di manutenzione della compagnia aerea, che avevano operato in modo superficiale durante la fase di lubrificazione. Dekker (2011), tuttavia, dimostra come, adottando le lenti delle teorie della complessit, lincidente assume altre sfumature. Non sembrerebbe esistere un vero fattore causale, un errore, un guasto, una violazione. Purtroppo nei sistemi complessi lincidente pu derivare dallinterazione fra diversi fattori ed eventi che, di per s, non sono gravi. Vediamo alcune delle dinamiche che hanno caratterizzato questo incidente e che possono riguardare i sistemi complessi. Piccoli passi verso la deriva: il tipo di aereo del volo Alaska Airlines 261 stato messo in commercio a met degli anni Sessanta e allepoca il costruttore aveva raccomandato di lubrificare la vite dello stabilizzatore ogni 300-350 ore di volo. Nel 2000, quando accaduto lincidente, lintervallo di lubrificazione era stato spostato a 2.550 ore di volo. Questa dilazione non avvenuta per malevolenza, bens come risultato della deregulation dellindustria aeronautica avvenuta negli anni Ottanta che ha permesso di dilazionare la manutenzione a 700 ore, poi 1.000, 1.200, 1.600. Nel 1996,

promuovere la sicurezza

la Alaska Airlines ha cambiato il sistema di conteggio, non pi in ore di volo, ma in mesi, ponendo la lubrificazione ogni 8 mesi. Questo significa che si passati dalle 350 ore di partenza alle 2.550 (corrispettivo di 8 mesi di volo). Nessuno direttamente colpevole, nessuno ha scelto di dilazionare per violare le procedure. Questa linquietante natura della lenta deriva. Le indagini rivelarono che la lubrificazione della vite era stata condotta sommariamente nellultima manutenzione, ma questa non pu essere vista come una causa nel senso tradizionale del termine. Una simile approssimazione non avrebbe avuto conseguenze, se praticata ogni 350 ore di volo, mentre stata fatale quando lintervallo salito di quasi dieci volte. A posteriori facile dire che, con un intervallo cos lungo, la manutenzione avrebbe dovuto essere pi accurata, ma questa dilazione avvenuta lentamente, nel giro di ventanni, quindi non era semplice accorgersi della deriva. Scarsit e competizione: i sistemi complessi operano in ambienti ostili, dominati dalla concorrenza di altri operatori e dallesigenza di gestire al meglio le risorse economiche, umane e tecnologiche. Ricordiamo il principio etto e lesempio dellanimale che deve bilanciare il tempo per cibarsi e quello speso a controllare che non si avvicinino pericoli. I sistemi biologici, cos come quelli socio-tecnici, sono sempre impegnati in questo bilanciamento. La sicurezza stata anche definita come la libert di un sistema da rischi inaccettabili (Hollnagel, 2009), ma come si definisce un rischio inaccettabile? Vi sono determinanti sociali, culturali, storiche ed economiche che definiscono laccettabilit di un rischio. Se fossimo radicali, non useremmo automobili, cellulari, sistemi di diagnostica per immagini come la tac o la pet ecc. I sistemi biologici hanno il vantaggio che la soglia di accettabilit stata spesso sedimentata a livello evolutivo. Ad esempio, un leopardo che insegue la sua preda non correr per un tempo indefinito, perch altrimenti i costi (in termini di energie spese) eccederebbero i benefici (in termini di energie acquisite cibandosi della preda). Rasmussen (1997) sostiene che i sistemi complessi sono costretti a operare allinterno di uno spazio definito da tre vincoli: c un confine economico, oltre il quale il sistema non avrebbe risorse per sostenersi; c un confine di carico di lavoro, oltre il quale persone e tecnologie perdono di affidabilit e resistenza; e c un confine di sicurezza, oltre il quale il sistema collassa. Uscire dai confini significa estinguersi, lunica possibilit e muoversi allinterno di essi, spingendo pi da una parte o dallaltra a seconda dei momenti. La deregulation che ha permesso alla compagnia aerea di dilazionare la lubrificazione della vite stata un modo per ampliare il confine delle risorse

7. progettare sistemi resilienti

economiche, perch dava spazio alle imprese per essere pi aggressive sul mercato e ottimizzare le risorse. Qualcosa di simile sembra accadere oggi, in un contesto di crisi economica globale, per quanto riguarda la fuel policy, ossia la politica di gestione del carburante sugli aerei. Come sostengono Chialastri e Pozzi (2008), le compagnie aeree stanno sempre pi riducendo la quantit di carburante di emergenza che deve essere imbarcata, perch comporta un peso ulteriore e un costo di gestione. In caso di emergenza, il carburante dovrebbe essere sufficiente per un atterraggio sicuro, ma sono possibili situazioni in cui laereo non riesca ad atterrare in tempo prima della fine del carburante (ad esempio, a causa di critiche condizioni meteorologiche e di traffico). Dipendenza dalle condizioni iniziali: si tratta del gi citato effetto farfalla, ossia la connessione tra eventi distanti nel tempo e nello spazio, di ordini di grandezza diversi. Siamo di fronte a un esempio di interconnessione stretta, perch gli standard di qualit definiti negli anni Sessanta, quando laereo stato progettato, sono cambiati, ma hanno definito in seguito i tempi e i modi della manutenzione della vite, giungendo poi alla sua rottura. La vite stata classificata come parte strutturale, e questo ha comportato che fosse valutata in base a requisiti di certificazione tipici di un elemento meccanico, ma non era stato visto nella sua interazione col sistema nella sua interezza. Tecnologia fuori controllo: questa la caratteristica dei sistemi complessi, dove i margini di controllabilit sono spesso limitati, perch se conosciamo le dinamiche delle singole parti del sistema, non siamo capaci di descrivere le dinamiche del sistema in generale. La casa produttrice del velivolo non aveva raccomandato sostituzioni frequenti della vite, perch riteneva che una corretta lubrificazione ne limitasse lusura. Non potevano prevedere che le manutenzioni sarebbero state dilazionate. La storia del volo Alaska Airlines 261 insegna che nei sistemi complessi gli incidenti, per manifestarsi, non hanno bisogno di una causa iniziale, n di una catena di errori, n di buchi nelle difese, n di fattori latenti. Beninteso, questi possono esistere in molti incidenti, ma non sono per forza presenti in ogni evento avverso che interessa un sistema complesso. Lincidente al volo 261 ci racconta una storia di normali procedure, dove nessuno vede (n poteva facilmente vedere) il rischio legato alla dilazione dei processi di manutenzione. Questo il paradosso dei sistemi moderni, come dice Amalberti (2001), perch gli incidenti derivano dalla combinazione di fattori che sono difficili da notare nella normale operativit. Questo getta anche una sinistra luce sui sistemi di reporting tradizionali, basati solo sui

promuovere la sicurezza

quasi incidenti o sugli incidenti. La piramide di Heinrich, vista nel cap. 2, potrebbe non essere valida per i sistemi complessi, perch non detto che lincidente grave sia preceduto da piccoli incidenti. Forse c direttamente un salto dai segnali deboli allincidente, senza passare attraverso eventi pi visibili, come i quasi incidenti. 7.2.1. La deriva verso lincidente Per spiegare il legame tra segnali deboli ed eventi avversi, Dekker (2011) parla di deriva verso lincidente, perch il passaggio lento, senza eventi significativi. Ad ogni passo si osserva che quanto deciso non comporta rischi e diventa la base da cui partire per ulteriori spinte, deviazioni verso il disastro. E non facile pensare che gli operatori avrebbero dovuto vedere quei segnali deboli, perch a posteriori sappiamo che erano prodromi di eventi maggiori, ma dobbiamo metterci nei loro panni e vedere gli eventi dallinterno, quando tutto sembra normale. Questa una deriva normalizzata perch, se leggiamo le decisioni alla luce di vincoli, pressioni, opportunit, aspettative del contesto, vedremo che erano dotate di senso e solo a posteriori diventano segnali di una deriva. Non facile saper distinguere i segnali deboli dal rumore di fondo, sapere che quella manutenzione dilazionata diventer un problema, mentre le migliaia di altre decisioni prese sulla manutenzione non avranno riscontri. Se i modelli di analisi cercheranno i buchi del sistema o le cause, condurranno a una lettura distorta del sistema e non faranno sicurezza. Occorre un linguaggio nuovo, centrato sul lavoro per come viene vissuto ed effettivamente svolto, condotto da persone che cercano di dare un senso a ci che fanno, raccogliendo informazioni sparse in un ambiente dinamico, fatto di vincoli e incertezze. Nelle organizzazioni le persone hanno consapevolezza limitata nel tempo e nello spazio, ossia hanno rappresentazioni poco dettagliate sia delle storia delle decisioni precedenti, sia di come si evolveranno in futuro, e sia di come si distribuiscono nelle varie aree del sistema. quella che Vaughan (1996) ha chiamato segretezza strutturale, un normale risultato della burocrazia e della complessit dei sistemi che rende le persone incapaci di avere una visione dinsieme, limitata a dipartimenti, unit operative, gruppi di lavoro. Le informazioni, quindi, rimangono localizzate e non possibile capire come queste, in interazione con altre informazioni in altre parti del sistema, potrebbero interagire portando allincidente. Daltro canto, lorganizzazione non una entit a s, che pu rimediare alla limitatezza

7. progettare sistemi resilienti

degli individui, fatta di persone che cambiano ruolo, cambiano punti di vista, interagiscono. Le persone cercano al massimo di dare un senso a ci che fanno, cercano di gestire quello spazio di azione loro consentito in modo efficace, bilanciando costi e benefici. Se le loro decisioni hanno avuto successo, tenderanno a ripeterle. Nel caso della Alaska Airlines, la decisione di dilazionare le manutenzioni ha avuto successo, perch nel momento storico della deregulation le pressioni economiche erano rilevanti, ed aveva senso che lo fossero, in quel preciso momento. La dilazione non aveva portato conseguenze e diventava punto di partenza per nuove dilazioni, e cos via fino allincidente. Una deriva fatta di tanti, piccoli, sensati, ragionevoli, logici passi. Se a questa deriva si aggiungono gli adattamenti locali, le scorciatoie, le ottimizzazioni del qui-ed-ora che spesso le persone fanno, come ad esempio una manutenzione pi frettolosa del solito, i due elementi si combinano e formano qualcosa che emerge, cio ha qualit diverse dai costituenti, e che a posteriori chiamiamo incidente. I fenomeni della normalizzazione della deriva, delle ottimizzazioni locali, della segretezza strutturale non sono di per s prodromi di un incidente. Ma talvolta entrano in interazione e, cos come lossigeno e lidrogeno sono diversi dallacqua, danno vita a fenomeni emergenti, diversi e imprevedibili, talvolta drammatici. 7.3 Approcci per la gestione dei sistemi complessi Se riprendiamo la fig. 7.1, che rappresenta il diagramma proposto da Hollnagel come aggiornamento del modello di Perrow, le caratteristiche presentate finora riguardano il quadrante in alto a destra, che include sistemi a elevata connessione interna e poca controllabilit. Per unestesa trattazione delle teorie organizzative nei sistemi complessi, rimandiamo al contributo di Catino (2006); in questa sede vediamo come alcune fra le principali proposte teoriche hanno tentato un approccio alla gestione della complessit. 7.3.1. Le organizzazioni ad alta affidabilit Abbiamo visto che la deriva nasce da piccoli compromessi quotidiani, decisioni che hanno senso nel qui-ed-ora, operativit adattate al contesto. Sebbene difficile, proprio a questo livello che si pu intervenire per gestire questa deriva ed evitare conseguenze non volute. In questo spazio si trovano le informazioni che le persone usano per prendere decisioni,

promuovere la sicurezza

attivare comportamenti. Occorre quindi studiare, progettare e gestire questo ambiente informativo, sapendo che le persone ne coglieranno gli elementi per operare delle scelte. Questo elemento del potere decisionale degli operatori stato uno dei pilastri della teoria organizzativa che ha studiato le cosiddette organizzazioni ad alta affidabilit (High Reliability Organizations, hro), ossia quei sistemi che devono essere affidabili se vogliono sopravvivere, perch la lezione appresa dopo un errore avrebbe costi troppo elevati, ad esempio centrali nucleari, controllo del traffico aereo, portaerei (Rochlin, LaPorte, Roberts, 1987; Rochlin, 1993; Weick, Sutcliffe, Obstfeld, 1999; Weick, Sutcliffe, 2007). Come dicevamo, la valorizzazione della conoscenza e la creazione di spazi di decisione un punto di forza delle organizzazioni affidabili. Questo comporta una decentralizzazione delle decisioni, perch ognuno, ad ogni livello gerarchico, pu prendere decisioni rilevanti se collegate alla sicurezza del sistema. Naturalmente questo richiede che la dirigenza sia fortemente motivata a sostenere questa forma reticolare e non gerarchica di organizzazione, perch se fosse arroccata su posizioni di potere darebbe al sistema quella rigidit che lo renderebbe incapace di adattarsi in modo flessibile e dinamico alle situazioni imprevedibili. Sempre a livello di dirigenza, si stimola una cultura dellapprendimento che sappia capitalizzare esperienze ed errori, grazie a simulazioni, immaginazione dei vari operatori sui possibili esiti ecc. A livello tecnologico e procedurale, si cerca di arricchire il sistema con elementi ridondanti, in modo tale da ridurre la probabilit che un fallimento in una parte del sistema si propaghi alle altre e, per via della forte connessione, se ne perda il controllo. Secondo Weick e Sutcliffe, le hro, nei confronti delle attivit che svolgono, utilizzano una forma di pensiero che chiamano mindfulness, traducibile con concetti come consapevolezza, presenza mentale, attenzione. In particolare, la mindfulness si realizza sia anticipando eventi avversi sia contenendone gli effetti. Lanticipazione si basa su: 1. preoccupazione verso il fallimento: lorganizzazione deve mettere la sicurezza al primo posto nelle sue priorit, essa deve far parte dellattivit normale del sistema, gli operatori devono quindi essere sempre consapevoli che le cose potrebbero evolvere verso un incidente, essere sensibili ai segnali deboli e intervenire tempestivamente; 2. riluttanza verso la semplificazione: occorre ricordarsi che lambiente complesso e imprevedibile, quindi abbandonarsi ad abitudini e automatismi rischioso perch potrebbe far perdere di vista la reale natura di ci che si vuole comprendere;

7. progettare sistemi resilienti

3. sensibilit verso le operazioni: dato che il sistema segue dinamiche di tipo non lineare, occorre sforzarsi di capire come le operazioni svolte in un settore del sistema possano riverberarsi in altri settori. Il contenimento, invece, come gi detto, riguarda la gestione degli eventi quando sono gi accaduti. Esso si basa su: 1. impegno verso la resilienza: ossia la capacit del sistema di mantenere le sue funzioni principali anche durante situazioni di crisi, assorbendo le sollecitazioni, proteggendo le funzioni di base, cercando di ripristinare la normalit dopo levento e, soprattutto, imparando dallesperienza passata; 2. deferenza verso lexpertise: capacit dellorganizzazione di dare autorit decisionale a chi possiede esperienza necessaria per gestire il problema, senza per forza seguire la gerarchia rigida del sistema. La teoria delle organizzazioni ad alta affidabilit ha avuto un notevole seguito, ma ha anche ricevuto critiche di eccessiva semplificazione (Sagan, 1993). Ad esempio, la ridondanza di processi e strumenti non sempre una soluzione per gestire linatteso, perch avere pi elementi significa ottenere pi complessit. Inoltre, in contesti dinamici e rapidi, la ridondanza potrebbe portare rumore di fondo, piuttosto che informazione. Dekker (2001) fa lesempio dei piloti che devono comunicare con la torre di controllo: la ridondanza prevede che ogni messaggio emesso da una parte sia ripetuto dallaltra, ma in certi contesti estremamente variabili il pilota non pu attendere che la torre ripeta il suo messaggio perch nel frattempo le condizioni sono cambiate. Inoltre, la totale libert degli operatori, di ogni livello, di prendere decisioni critiche non sempre possibile in sistemi ad alta connessione, dove una decisione in una parte del sistema richiede un coordinamento con altre parti, cosa che solo un supervisore pu fare. Infine, la nozione di affidabilit sembrerebbe non essere del tutto sovrapponibile con quella di sicurezza. Laffidabilit tipica di uno strumento dal quale ci si aspetta che faccia sempre e bene il suo lavoro. Ma sappiamo che questo non basta per fare sicurezza, soprattutto nei sistemi complessi, dove non possibile prevedere tutte le possibili situazioni. Ripensiamo al medico di guardia in Pronto soccorso. Se avesse seguito la procedura alla lettera, cio se fosse stato affidabile, avrebbe probabilmente esposto a grave rischio la donna e il suo bambino, mentre decidendo di violare la procedura ha salvato loro la vita. In generale, quindi, la teoria sembrerebbe essere efficace per studiare sistemi a bassa connessione e moderata controllabilit, ma perderebbe il suo potere esplicativo qualora si prendessero in esame sistemi a maggior complessit.

promuovere la sicurezza

7.3.2. La teoria del controllo Una proposta recente che ci porta ancora pi vicino alla teoria dei sistemi complessi quella avanzata da Nancy Leveson (2004). Tale approccio vede il sistema in interazione dinamica con un ambiente in cui deve adattarsi. Le componenti umane, tecnologiche e organizzative sono quindi immerse in questo sistema in equilibrio dinamico e gli adattamenti reciproci sono fattori da tenere sotto controllo. Cruciale in questo modello la nozione di vincolo, poich ogni livello del sistema controlla quelli sottostanti e la sicurezza vista come adeguata gestione dei vincoli per controllare gli eventi in equilibrio con lambiente. Lequilibrio deve essere dinamico, non possibile realizzarlo in modo statico, proprio come una bicicletta, che rimane in equilibrio solo se spinta in movimento. Lequilibrio mantenuto con sistemi di controllo e circolazione di informazioni tra i livelli. Un incidente, in questa prospettiva, appare come un fallimento nel mantenere la sicurezza mentre il sistema cambia la sua prestazione nel tempo per poter rispondere a uno specifico insieme di obiettivi e valori. Lanalisi dellincidente andr a cercare quei vincoli che non hanno saputo contenere lemergenza dellevento avverso. Ricordiamo la rappresentazione di un sistema proposta da Rasmussen: una realt costantemente in movimento per bilanciare vincoli economici, di carico di lavoro e di sicurezza. La sicurezza diventa, quindi, un insieme di processi di controllo che impongono dei vincoli al sistema nei suoi cambiamenti e adattamenti. Cambiamenti che, lo abbiamo visto, possono essere lenti, subdoli, normalizzati e apparentemente razionali. Contrariamente ai modelli passati, la teoria del controllo non si focalizza sugli errori umani, o sui guasti, ma cerca quei fattori di controllo che non li hanno contenuti, quelle condizioni che li hanno plasmati e hanno loro permesso di evolvere in incidente (Leveson, 2003). 7.4 La Resilience Engineering Uno dei concetti cardine della teoria delle organizzazioni ad alta affidabilit quello di resilienza. Questo termine deriva dal latino resalio e significa rimbalzare; stato usato per descrivere le propriet di un materiale di assorbire lenergia quando sottoposto a una sollecitazione e di riprendere la sua forma originaria dopo la perturbazione. Il termine stato poi trasferito in altri ambiti come linformatica, lecologia, la psicologia, lo studio delle organizzazioni, mantenendo la metafora della risposta a sollecitazioni

7. progettare sistemi resilienti

che vengono assorbite senza perdere lintegrit. Nella definizione data da Weick e Sutcliffe, ad esempio, si fa riferimento alla capacit del sistema di recuperare la sua funzionalit dopo un evento avverso. Prendendo spunto da questa caratteristica e integrandola con i principi della complessit maturati nella teoria del controllo, un gruppo di studiosi pervenne alla formulazione della cosiddetta Resilience Engineering (re), ossia la progettazione di sistemi resilienti. La loro visione riprende sia la capacit di un sistema di recuperare la sua stabilit dopo una perturbazione in modo reattivo, sia quella di anticipare eventi avversi futuri (Hollnagel, Woods, Leveson, 2006). Ci che accomuna reattivit e proattivit il tipo di eventi, che sono in genere inattesi e quindi non facilmente prevedibili. La resilienza non una propriet, quanto piuttosto una capacit di riconoscere quando il sistema sta andando troppo alla deriva verso i margini oltre i quali emerge un incidente. Si tratta, quindi, della capacit di monitorare e tenere traccia degli aggiustamenti, degli adattamenti locali, capendo come e quanto possono portare ad eventi avversi. I principi della re fanno riferimento alla teoria dei sistemi complessi, in particolare ruotano intorno ad assunzioni fondamentali come: lincidente una propriet emergente: la prestazione normale e quella erronea sono propriet emergenti che non sono sempre riconducibili a una specifica azione, errore o violazione, piuttosto derivano dallinterazione dinamica di fattori che, presi singolarmente, potrebbero essere regolari, ma che a livello sistemico producono anomalie; la prestazione normale ben diversa dalla prestazione normativa: le regole e le procedure sono astrazioni, semplificazioni e riduzioni della complessit. Il comportamento normativo pensato in base a regole, ma quando si applica in una specifica situazione contingente, il comportamento normale sempre un adattamento locale di tali regole. Esso diventa, quindi, una forma di equilibrio tra la regolarit delle procedure e la casualit delle situazioni contingenti; analizzare i processi e non i risultati: i risultati delle azioni degli operatori, che nascono da euristiche consolidate e che hanno avuto successo in passato, possono essere negativi se interagiscono con condizioni contestuali che richiedono nuovi tipi di strategie; la sicurezza non si basa su letture reattive e a posteriori: la resilienza nasce da un atteggiamento proattivo che si sforzi di anticipare gli eventi avversi, non focalizzandosi sugli errori umani o sui guasti delle singole parti, perch ritiene che lincidente sia comprensibile e possibilmente anticipabile solo partendo da unottica sistemica;

promuovere la sicurezza

lambiguit della flessibilit umana: la nostra adattabilit ci permette di fare ottimizzazioni locali di procedure generali, rendendoci quindi capaci di gestire la situazione in modo sicuro ed efficace, ma allo stesso tempo essa pu essere fonte di esiti negativi. Non possibile eliminare la variet della prestazione, perch siccome le situazioni sono variabili e le regole non possono coprirle tutte, la variet utile, anche se talvolta la variet porta allemersione di eventi avversi. Per questo motivo, la sicurezza non tanto una questione di vincolo o limitazione (con regole e procedure) della variabilit umana, quanto del suo monitoraggio e controllo, mantenendola entro limiti accettabili. 7.4.1. Limportanza della variet Tutti i sistemi complessi (biologici, organizzativi, socio-tecnici) vivono e si auto-organizzano grazie a un ingrediente fondamentale: la variet (Maturana, Varela, 1980). La variet quella forma di energia che permette al sistema di crescere e adattarsi. Per noi esseri umani la variet data dalle informazioni, dal cibo, dallenergia solare, tutti elementi che ci permettono di adattarci allambiente. Per un sistema socio-tecnico complesso la variet nasce sia internamente (prestazioni variabili, interazioni dinamiche fra le parti) sia esternamente, nei rapporti con lambiente. Questa variet pu portare nuova organizzazione, ma anche far implodere il sistema, in base a come viene gestita. Abbiamo visto nel cap. 2 la matrice segnali per risposte. Essa definisce i sistemi per come gestiscono questa variet, perch possono dare risposte forti o deboli a segnali anchessi forti o deboli. Abbiamo detto che un sistema che fornisce risposte forti a segnali forti semplicemente reattivo, quindi non resiliente, perch attende levento avverso per reagire. Un sistema che d risposte deboli a segnali forti destinato al collasso: non solo attende levento avverso, ma non impara da esso e non lo sa gestire. Un sistema che fornisce risposte deboli a segnali deboli avviato verso quella deriva di cui parla Dekker: un lento spostamento dei margini della sicurezza, sospinto da pressioni economiche e operative tali da trascurare le cautele per la sicurezza proattiva. Lunica forma di resilienza quella di un sistema che sa dare risposte forti a segnali deboli. I segnali deboli sono la variet di cui abbiamo parlato poco sopra (prestazioni variabili, decisioni organizzative, mutamenti ambientali) che manifesta, per, una deriva lenta verso i margini di sicurezza, mentre le risposte forti sono quelle forme di anticipazione, immaginazione e controllo che contengono la deriva normalizzata.

7. progettare sistemi resilienti

La variet, quindi, aiuta il sistema ad avere un vasto repertorio di informazioni sulle situazioni, perch esso raccoglie e valorizza tale variet e la usa per avere molteplici punti di vista su situazioni che, stando alla sola astrazione della regola, sarebbero invece viste da una sola prospettiva. Torniamo allesempio del medico di guardia in Pronto soccorso. La variet si trova nella circostanza in cui arriva una donna gravida in condizioni critiche, il personale carente e il medico reperibile potrebbe arrivare troppo tardi per accompagnarla in sicurezza al pi vicino presidio ospedaliero. Questa variet non era apparentemente contemplata nella procedura, che prevedeva lobbligatoriet (assolutamente ragionevole) che un medico accompagnasse una persona in ambulanza. Lorganizzazione pu quindi decidere come gestire questa variet che nasce dallesperienza. Pu incolpare il medico per violazione di procedura e archiviare il caso, perch ha trovato il guasto. Oppure pu ascoltare questa variet, questo segnale debole, e arricchire le sue procedure, rivederle, chiedersi se si sta andando alla deriva, valutare come monitorare tali segnali ed eventualmente contenerli. Si tratta, in questo caso, di applicare propriet tipiche dei sistemi ad alta affidabilit, ossia la cultura dellapprendimento e la filosofia della dirigenza di dare margini di decisione ampi ad ogni livello della gerarchia. Questo comporta una anticipazione decentralizzata (Wildavsky, 1988), ossia una capacit dellorganizzazione di dare potere a tutti i livelli per diventare sensori di variet, anticipando in questo modo la deriva. Per fare questo, per, necessario che ogni persona si senta libera di riportare ci che vede, capace di poterlo fare e sappia di essere veramente ascoltata, senza colpevolizzazioni. Bisogna stimolare, quindi, quel locus of control interno di cui abbiamo parlato nel cap. 4, cio far sentire alle persone il diritto/dovere di essere portatrici di mindfulness, di presenza e apertura mentale tali da vedere e segnalare la variet. 7.4.2. Il dilemma dellintervento Si presenta in questo caso un dilemma di non facile soluzione: le persone che vogliono segnalare variet, i cosiddetti segnali deboli, devono sapere quando riportarli. Perch se li riportano troppo tardi, il sistema potrebbe gi essere alla deriva e gli interventi correttivi potrebbero risultare vani. Se invece li riportano troppo presto, potrebbe non essere chiaro il legame tra quel segnale e un futuro possibile evento avverso. Una possibile soluzione di questo dilemma sta nella fiducia che la persona nutre nellorganizzazione (dai colleghi ai dirigenti) e nella chiara e aperta comunicazione che

promuovere la sicurezza

si pu realizzare affrontando il segnale debole che viene riportato. Nel caso del medico di Pronto soccorso, gli operatori hanno provato a segnalare questa anomalia della procedura, che richiedeva un miglioramento in funzione della nuova variet appresa. Ma se la dirigenza risponde che non vede il problema, che basta seguire le procedure gi definite, siamo di fronte a una rottura della fiducia. Si crea un doppio legame nei confronti delloperatore: da un lato gli si chiede di essere responsabile e lavorare in sicurezza, dallaltro gli si chiede di rispettare le procedure. Ecco, quindi, che il segnale debole stato riportato troppo presto: o meglio, gli interlocutori dei medici non erano pronti a cogliere il legame tra quella variet e la deriva verso lincidente. 7.4.3. Il dilemma della quantit Un altro dilemma legato alla variet riguarda quanti di questi segnali deboli debbano essere riportati per evitare la deriva. Un eccesso di variet diventa rumore ingestibile, troppe informazioni affastellate che perdono di significato e bloccano il sistema. I sistemi biologici hanno trovato il loro equilibrio. Si pensi allalimentazione, per esempio. Abbiamo fame e ci nutriamo, incameriamo nuova variet. Subentra la saziet, che blocca la pulsione al cibo e permette allorganismo di metabolizzare, con i suoi tempi, le energie acquisite. Quando il sistema pronto, ritorna lappetito e nuova variet viene cercata e assimilata. Purtroppo i sistemi socio-tecnici non possiedono il meccanismo regolativo della fame e della saziet e va posta cautela nellincentivare in modo indiscriminato ogni persona a riportare qualsivoglia variet. Il sistema sarebbe presto intasato di informazioni, parte delle quali inutili e parte, nascoste, utili per prevedere la deriva. Una soluzione del dilemma della quantit starebbe nellaggiustamento che, col tempo, il sistema potrebbe raggiungere. Bilanciando incentivi alla segnalazione nella fase di avvio e, in seguito, alla disseminazione di una cultura della sicurezza che fornisca i giusti occhiali per vedere i segnali deboli, il sistema potrebbe arrivare a una taratura del livello ottimale, per s, della variet da incamerare. Proprio come un organismo che sa quanto cibo mangiare: n troppo poco, per non morire di fame, n troppo, con il rischio di non riuscire a digerirlo. 7.4.4. Variet delle prestazioni, informazione e incidenti Nei sistemi complessi non esiste una logica binaria del tipo giusto o sbagliato, non basta seguire la regola, bisogna saperla adattare alla situazione.

7. progettare sistemi resilienti

A volte questo adattamento assume forme devianti, che sembrano ragionevoli nellorizzonte di senso di chi prende la decisione, ma che a livello globale si rivelano come una deriva. il caso della dilazione della manutenzione nel caso dellAlaska Airlines. Altre volte ladattamento assume le forme di una violazione ottimizzante o di un errore a livello Skill, e la tendenza pi naturale sarebbe quella di mondare la colpa, punire chi ha sbagliato. Lattenzione alla variet riconosce, invece, che il mondo non binario, ma fatto di sfumature, che la prestazione variabile e anche lerrore, per come definito a posteriori, pu essere informazione utilissima per il sistema. Vedere lerrore come informazione che deriva dalla prestazione variabile aiuta il sistema a capire meglio le ragioni per cui si sviluppato quel comportamento e, magari, a costruire metodi per gestirlo in modo pi efficace in futuro. La variet di prestazione, ovviamente, riguarda le persone e non la tecnologia. Questa affidabile e far sempre la stessa cosa, per come stata impostata, e si suppone che non esibisca prestazioni variabili. Gli esseri umani, invece, cambiano la loro prestazione sulla base di situazioni interne (stress, fatica, aspettative, emozioni, abitudini ecc.), esterne (pressioni del gruppo, interazioni con i colleghi, richieste organizzative ecc.) o contestuali (caratteristiche variabili del luogo di lavoro come rumore, temperatura, affollamento ecc.). Possiamo rappresentare la prestazione normale come unonda che si muove intorno alla linea ideale della prestazione normativa, cio quella ritenuta corretta in astratto (fig. 7.2).
figura

7.2 La curva della prestazione variabile

Fonte: adattamento da Hollnagel (2009).

promuovere la sicurezza

Le tipologie di variet, a loro volta, possono essere diverse (Hollnagel, 2009): variabilit teleologica: quel tipo di variet che si manifesta quando gli obiettivi sono instabili per via di eventi esterni (ad esempio, aumento improvviso delle richieste a un reparto, aumento degli accessi a un Pronto soccorso dopo un grave incidente) o perch cambiano valori e aspettative. In questo caso si tratta di variabilit teleologica perch la prestazione si adatta in funzione di cambiamenti attesi; variabilit contestuale o situazionale: si tratta di comportamenti variabili perch la situazione non adeguatamente specificata e si cercano gli adattamenti migliori in termini di efficienza ed efficacia. Ad esempio, se per arrivare a chiudere una valvola in una conduttura non specificato il percorso da seguire, possibile che le persone seguiranno quello pi veloce o meno faticoso, anche se forse meno sicuro; variabilit compensatoria: si tratta di quel tipo di azioni eseguite per rimediare alla mancanza temporanea di qualche risorsa (ad esempio, uno strumento, un collega di lavoro ecc.). In questo caso la persona far a meno della risorsa, pensando di poter comunque eseguire il compito, perch aspettare di averla a disposizione sarebbe inopportuno, rischioso, costoso. questo il caso del medico di Pronto soccorso, che decide di inviare la donna senza il medico reperibile. La variabilit teleologica e quella contestuale sono forme normali di variabilit, perch sono sempre rilevabili nel sistema, mentre quella compensatoria dovrebbe essere eccezionale. La variabilit teleologica prevedibile se si conoscono le dinamiche e la storia del sistema. Ad esempio, si sa che gli accessi a un Pronto soccorso possono aumentare drasticamente in certi periodi dellanno o nelle notti del fine settimana, e quindi ci si aspetta che le prestazioni degli operatori si adatteranno a quelle condizioni. Per poter gestire questa variet di prestazione, il sistema dovrebbe ragionare in termini strategici e chiedersi se fornire pi risorse o se la variabilit rimane comunque entro i limiti di sicurezza. Anche la variet contestuale abbastanza prevedibile, perch le euristiche e gli adattamenti delle persone sono relativamente comuni; conoscendo i contesti operativi si possono quindi prevedere quali aggiustamenti saranno messi in atto. Ad esempio, se la valvola da regolare si trova in mezzo a tubature che attraversano larea di lavoro a un metro da terra, probabile che le persone scavalcheranno i tubi per accedere velocemente alla valvola, piuttosto che fare un lungo percorso che aggira i condotti. La variabilit compensatoria la pi difficile da prevedere,

7. progettare sistemi resilienti

perch avviene proprio in caso di situazioni eccezionali. In questo caso, pi che prevedere la situazione specifica, possibile immaginare che le persone seguiranno il gi citato principio etto (Hollnagel, 2009), adottando comportamenti che ritengono sufficientemente sicuri e che aiutino a raggiungere lobiettivo. La necessit di prestazioni variabili aumenta con laumentare della complessit del sistema, con il crescere della sua intrattabilit. Riprendiamo la fig. 7.1 presentata allinizio del capitolo. Vediamo che pi il sistema intrattabile, pi sfugge alla proceduralizzazione e richiede, oltre a permettere, pi ampi margini di azione, di prestazione variabile. proprio qui, quindi, che necessaria una adeguata sensibilit degli operatori per capire quanto la loro prestazione rimanga entro limiti accettabili o stia avviando una deriva. La nozione di variabilit della prestazione ci aiuta a capire meglio cosa osservare, in un sistema complesso, e come osservarlo. I modelli tradizionali di gestione dei rischi e analisi degli incidenti andavano in cerca dellerrore umano, rendendo quindi invisibili tutti quei comportamenti in cui non si manifestavano esiti negativi. Hollnagel li definisce efficacemente come se fossero una sorta di materia oscura, qualcosa che gli astronomi sanno esistere, ma che non possono vedere. Se invece vediamo la prestazione nella sua variabilit, non cercando lerrore, ma vedendo lerrore come un caso speciale di prestazione normale, potremo capire meglio perch spesso le cose vanno bene e non accadono incidenti. La sicurezza non sar pi mirata a ridurre i casi di incidente, ma ad aumentare la capacit di successo in condizioni operative variabili. 7.4.5. Caratteristiche delle organizzazioni resilienti Senza rinunciare ai contributi apportati dalle teorie precedenti, gli studiosi della re hanno tentato di elencare alcuni dei punti fondamentali su cui unorganizzazione dovrebbe lavorare per promuovere la resilienza (Wreathall, 2006): impegno dei dirigenti: la resilienza emerge dal sistema se tutti sono orientati ad essa, non una nuova competenza da trasmettere al personale di prima linea, n un nuovo strumento da mettere nelle mani dei tecnici preposti alla sicurezza. La resilienza richiede che tutta la dirigenza sia consapevole delle pressioni e dei vincoli che derivano dalle loro decisioni e sappia che una cultura della colpa e dellomert nasce spesso da come essi gestiscono le informazioni sulla variabilit delle prestazioni;

promuovere la sicurezza

cultura della segnalazione: le informazioni devono circolare, bisogna avere una mappa della variabilit delle prestazioni, tracciare le loro deviazioni e monitorare i segnali deboli, fidandosi del fatto che non si cercher il colpevole, lerrore umano, ma si dar valore alle informazioni come materiale su cui apprendere; apprendimento continuo: le informazioni che circolano devono essere metabolizzate a tutti i livelli; ogni esperienza, anche quelle conseguenti a eventi avversi, deve essere seguita dalla domanda su come essa possa insegnare qualcosa sul sistema, sulle sue pratiche e sulla tendenza alla deriva; consapevolezza delle dinamiche: lorganizzazione deve sapere dove si trova allinterno dello spazio compreso tra pressioni economiche, carico di lavoro e sicurezza; deve sapere come si svolge il lavoro normale, quanto distante da quello immaginato, pianificato dai supervisori; deve essere consapevole che il sistema ha zone opache, poco visibili, e non arrestarsi alle conoscenze pi facili da acquisire; prontezza verso gli imprevisti e anticipazione: unorganizzazione resiliente cerca di anticipare la deriva, d valore ai segnali deboli e se questi evolvono in perturbazioni, eventi avversi, sa mettere in atto processi di recupero e contenimento; flessibilit sullambiente e sullo stesso monitoraggio: unorganizzazione resiliente sa essere flessibile, perch vive in contesti dinamici e la rigidit sarebbe infruttuosa nella gestione della variet. Inoltre, la flessibilit vale anche per il processo di monitoraggio stesso, che col tempo potrebbe non cogliere pi informazioni rilevanti. Come abbiamo visto in precedenza, Dekker (2011) ha descritto le caratteristiche della deriva verso lincidente. Tali condizioni sono gestibili dal sistema resiliente per far emergere sicurezza, anzich eventi aversi. Ad esempio, la scarsit di risorse e la competizione esterna, che potrebbero spingere un sistema alla deriva, possono essere messe in discussione dallorganizzazione se permette la circolazione di voci fuori dal coro, di punti di vista alternativi, che sappiano valorizzare la variet intrinseca al sistema. I piccoli passi verso la deriva, le scelte che sono viste come ragionevoli, potrebbero essere prodromi di un incidente, perch unottimizzazione locale potrebbe diventare un disastro globale (Alaska Airlines insegna). Ma se lorganizzazione adotta la cultura dellapprendimento e della condivisione, ad ogni scelta stimola quella immaginazione necessaria per anticipare gli eventi, chiedendo ai vari livelli come quella scelta potrebbe riverberare su di loro, essendo pronta a ricevere feedback anche scomodi, ma utili per capire le conseguenze a lungo termine di una decisione che, per leffetto far

7. progettare sistemi resilienti

falla, sembra innocua, ma avvia una deriva incontrollabile. In conclusione, cos come gli incidenti sono propriet emergenti dallinterazione di parti diverse del sistema, la sicurezza stessa pu diventare propriet emergente, se si sa gestire linterazione in modo virtuoso, dando voce ai segnali deboli ed essendo pronti a fornire risposte forti e coerenti. 7.4.6. La risonanza funzionale Abbiamo lasciato il diagramma che combina controllo e connessione (fig. 7.1) con unarea non esplorata, quella relativa ai sistemi socio-tecnici complessi, caratterizzati da alta interconnessione e bassa controllabilit. Hollnagel (2009) sostiene che i modelli di analisi degli incidenti e gestione dei rischi finora proposti sono efficaci solo per i contesti in cui sono nati, e quindi per sistemi ad elevata o bassa connessione ma ad alta controllabilit. Per la gestione dei sistemi complessi, egli vede la re come un valido approccio e introduce il concetto di risonanza funzionale, per spiegare la genesi degli incidenti. Un sistema composto di diversi elementi: ci sono le persone, con la loro prestazione variabile, che cercano adattamenti locali secondo il principio etto; ci sono elementi tecnologici, che possono essere pi o meno affidabili per via di una manutenzione adeguata e progettazioni opportune; ci sono condizioni organizzative latenti, che possono portare allo sviluppo di derive verso la produzione e il risparmio di risorse, oppure la cultura della colpa; e, infine, ci sono le barriere alla propagazione dellincidente, che potrebbero non essere efficaci. Tutti questi elementi sono come corde che vibrano, oscillano intorno alla linea di operativit ottimale. Esistono condizioni particolari in cui la somma delle varie frequenze, delle diverse variabilit, porta a una risonanza funzionale che amplifica il segnale trasformandolo da debole in forte, e quindi in incidente. Ecco allora che levento avverso interpretato come una propriet emergente che nasce dallinterazione complessa, dalla risonanza, di diversi elementi del sistema. Non si tratta di connessioni causali, ma di normali forme di variet che, associate, si amplificano a dismisura. Se poi il sistema caratterizzato da forte connessione, la risonanza si propaga velocemente in tutto il sistema e lo pu portare al collasso. Non un caso che Hollnagel usi il termine risonanza. Questo fenomeno ha causato il crollo di molti ponti, per esempio, per il solo effetto combinato del passo delle persone che li attraversavano. Non possiamo dire che il ponte sia crollato per colpa del passo di un individuo, ma dellinterazione fra il tipo di struttura del ponte e le vibrazioni ritmiche imposte dalle centinaia di passanti.

promuovere la sicurezza

Esportando questa chiave di lettura in un modello per lanalisi degli incidenti, Hollnagel (2012) propone fram, Functional Resonance Analysis Method, ossia un metodo per lanalisi funzionale delle risonanze nel sistema. Esso si articola in quattro passi. 1. Identificare le funzioni essenziali del sistema: a prescindere dallincidente, occorre analizzare le funzioni caratterizzanti il sistema, ad esempio rifacendosi a unanalisi dei compiti, delle procedure, dei processi. Per tornare al noto caso del medico di guardia in Pronto soccorso, le funzioni sono quella di accettazione e diagnosi della paziente, di trasporto in ambulanza, di richiamo del medico reperibile ecc. Ogni funzione (ad esempio, il trasporto in ambulanza) analizzata sotto sei aspetti: a) input: il punto di partenza della funzione, ci che la funzione riceve per iniziare la sua attivit (ordine di trasferimento da parte del medico); b) output: il risultato della funzione (ricovero presso altro ospedale); c) precondizioni: condizioni che devono essere presenti prima che la funzione possa essere eseguita (valutazione della gravit della paziente); d) risorse: ci che la funzione deve avere per poter essere eseguita (ambulanza e personale reperibile); e) tempo: vincoli temporali che limitano la funzione (tempo di attesa del reperibile e durata del viaggio); f) controllo: come la funzione viene monitorata e controllata (presenza del medico in ambulanza). 2. Caratterizzare la variabilit osservata nelle funzioni del sistema: occorre definire la variabilit possibile per ogni funzione, quindi quanto la prestazione di ogni elemento pu variare e come ha variato nel caso specifico dellincidente; ad esempio, la decisione di inviare la donna senza medico stata una prestazione variabile dovuta a una funzione precedente (la procedura di invio ad altra struttura per via delle ristrutturazioni organizzative), combinata con unaltra funzione (la presenza del reperibile), che per avevano vincoli temporali diversi: linvio doveva essere rapido, lattesa del medico troppo lunga. 3. Identificare e descrivere la risonanza tra le funzioni: una volta descritte le funzioni e le loro relazioni, si individuano le specifiche modalit di interazione che sono entrate in risonanza; ad esempio, la variabilit della funzione del medico reperibile stata decisiva, perch essendo questa funzione caratterizzata da un vincolo temporale elevato (trenta minuti), andava a scontrarsi con laltra funzione del trasporto in ambulanza immediato. Questi due elementi sono entrati in risonanza e hanno creato un segnale che avrebbe potuto propagarsi fino a generare la morte del bambino o

7. progettare sistemi resilienti

della madre. Non stato cos, perch lambulanza arrivata in tempo, per caso o per le condizioni di salute della paziente non sono emerse complicanze ecc. Ma se questi fattori fossero stati presenti, la risonanza sarebbe stata enorme e sarebbe sfociata in un esito fatale. 4. Identificare barriere per la variabilit: occorre identificare i fattori che potrebbero smorzare le prestazioni variabili e limitare la risonanza. Possono essere identificate delle barriere per prevenire la risonanza, o per limitarne i danni. Queste possono essere (a) fisiche (porte, blocchi, password ecc.), (b) funzionali, che definiscono le precondizioni che devono essere presenti prima che la funzione abbia luogo (ad esempio, le checklist, la presenza di strumenti e risorse adeguate ecc.), (c) simboliche (ad esempio, cartelli, segnali, allarmi), (d) incorporee (ad esempio, nuove regole o procedure). Tornando al caso del medico di guardia in Pronto Soccorso, ad esempio, si potrebbe ricorrere ad un dottore presente allinterno dellospedale per il trasporto per evitare lattesa del medico reperibile. Il metodo fram molto recente e non il solo proposto dai ricercatori del settore. Un altro modello molto noto, soprattutto in campo aerospaziale, lo stamp, System-Theoretic Accident Model and Process, sviluppato da Leveson (2004) e basato sulla teoria del controllo. Il valore aggiunto di questi approcci che permettono unanalisi davvero nuova degli eventi avversi, senza interpretarli come effetti di una catena di errori, bens come propriet emergenti derivate dallinterazione di elementi normalmente variabili, ma dei cui effetti si perso il controllo. Ad esempio, Hollnagel, Pruchnicki, Woltjer e Etcher (2008) hanno analizzato lincidente aereo del volo Comair 5191 e sono giunti a conclusioni ben pi ricche e approfondite rispetto alle indagini condotte dagli organi istituzionali. Quello che sembra un notevole valore aggiunto, oltre a evitare inutili colpevolizzazioni, che questa prospettiva aiuta a vedere le variabilit di prestazione anche in chiave proattiva, permettendo di sviluppare quella immaginazione necessaria per anticipare lemersione di eventi avversi.

8 Un modello per la promozione della resilienza

8.1 Dalla teoria alla pratica Da poco meno di dieci anni la ricerca si avvicinata al tema della resilienza e in questo lasso di tempo si sono costituiti gruppi di lavoro e di consulenza a livello internazionale che si ispirano alla re. Purtroppo non sembra che queste tematiche abbiano trovato spazio nel nostro paese, a parte le iniziative di pochi ricercatori o consulenti privati. In particolare, chi si occupa di sicurezza spesso adotta modelli di analisi di tipo tecnico o normativo, ancora legati a una visione della sicurezza come responsabilit individuale e legami di causa-effetto. Nella migliore delle ipotesi, gli approcci alla sicurezza seguono il modello Swiss Cheese di Reason, anche sollecitati dallevoluzione normativa italiana, che si sta portando verso una visione sistemica dei rischi. Quello che manca, per, lo sviluppo di un approccio che sia intrinsecamente ispirato alla complessit, e che non nasca come adesione passiva a dettami di legge. La cultura della sicurezza propriet emergente di un gruppo di lavoro, e non pu nascere come effetto di unimposizione normativa, bens come frutto di un orientamento comune che valorizzi le variabilit dei singoli. Bisogna riconoscere, tuttavia, che lapproccio della resilienza non facile da trasferire e da sviluppare nei contesti operativi. Si basa su nozioni complesse e c il rischio che rimanga una stimolante elucubrazione tra accademici. Affinch questa visione trovi applicazione anche nel nostro paese occorre sviluppare un modello operativo concreto e facile da usare mentre si lavora, ma ispirato alle teorie della complessit. Deve essere concreto, perch gli operativi e i dirigenti non possono spendere energie e risorse nellapplicare le teorie della complessit al loro contesto; occorre invece fornire indicazioni pratiche, facilmente applicabili e monitorabili.

promuovere la sicurezza

Deve poi essere facile da usare, ossia il modello non deve diventare un esoterico strumento nelle mani degli esperti, altrimenti la sicurezza sar sempre un concetto nella testa di qualcuno e mai propriet emergente del sistema. Quindi imprescindibile che tutti, dal direttore generale alloperaio praticante, abbiano in mente lo stesso schema, lo stesso insieme di principi e valori. Solo cos potranno comunicare e capirsi. Una volta instaurata questa lingua comune, bisogna dare alle persone la possibilit di parlarla. Se parlare questa lingua unattivit troppo impegnativa, nessuno si preoccuper di condividere, essendo preso dal suo lavoro. Ricordiamo il principio etto: se sono richieste attivit per la sicurezza che vanno contro il mio standard ottimale di bilanciamento costi/benefici, trover il modo di non farle o di applicarle in modo parziale. Il modello, quindi, deve essere sufficientemente semplice da essere compreso da tutti e da essere tenuto in mente durante le normali operazioni quotidiane. Esso non deve essere unattivit in pi, o a parte, rispetto al lavoro. Non deve essere visto come qualcosa che toglie energie, risorse e tempo alla normale attivit. Il modello per la promozione della resilienza va impostato come qualcosa che accompagna la persona, un modo di essere e di guardare la sua attivit quotidiana. Naturalmente la semplicit e lapplicabilit non devono impoverire il modello al punto da renderlo semplicistico e non pi ispirato alle teorie della complessit, altrimenti perderebbe di efficacia e pertinenza. 8.1.1. Occhiali nuovi per vedere i segnali deboli Nel cap. 2 abbiamo visto la piramide degli incidenti, proposta nella sua forma iniziale negli anni Trenta da Heinrich. Alla luce delle teorie dei sistemi complessi possiamo dire che la piramide forse non ha davvero questa forma, che gli incidenti non sempre accadono in seguito a decine di quasi incidenti, a migliaia di azioni rischiose e anomalie. A volte non ci sono prodromi cos evidenti. Si pensi al caso dellAlaska Airlines, non cerano segnali di usura della vite prima dellincidente. Allora forse nei sistemi complessi la piramide si appiattisce e dal livello dei segnali deboli si passa subito allincidente o quasi incidente. Non sempre cos, ovviamente, ma lassenza di rischi evidenti o di incidenti mancati non significa che il sistema sia sicuro. Lincidente potrebbe emergere allimprovviso dalla risonanza delle prestazioni variabili delle persone e di altre variabili sistemiche pi o meno latenti. Ecco quindi che i tradizionali sistemi di gestione della sicurezza risultano poco efficaci, perch si concentrano sul sistema di incident

8. un modello per la promozione della resilienza

reporting e near-miss reporting, ossia su situazioni gi avvenute, perdendo di vista quei segnali deboli che stanno al livello pi basso della piramide e che potrebbero generare incidenti diversi da quelli analizzati. Questa situazione illustrata nella fig. 8.1, dove si vede che la base dei segnali deboli, delle quotidiane, normalizzate prestazioni variabili, pu generare quasi eventi, oppure diverse forme di incidenti, ma non necessariamente collegati in modo gerarchico. Lobiettivo di un modello per la promozione della sicurezza in modo resiliente e proattivo , quindi, quello di intervenire sui segnali deboli e non sui livelli successivi, perch si tratta gi di quasi incidenti o incidenti.
figura

8.1 La piramide degli incidenti nei sistemi complessi

Nota: da una base di segnali deboli che derivano da prestazioni variabili emergono quasi incidenti o incidenti di diversa natura, solo a volte collegati fra loro.

Possiamo riprendere la metafora del gorilla, presentata nel cap. 2. Se siamo impegnati a contare i passaggi (fare il nostro lavoro) rischiamo di non vedere i gorilla (i rischi, i segnali deboli). Fare sicurezza in modo proattivo non significa fare solo il proprio lavoro, ma anche vedere come questo interagisce con i gorilla circostanti (le prestazioni variabili). I gorilla sono i segnali deboli che proliferano alla base della piramide, nella sua normale operativit. La loro presenza non sempre negativa, passano nella scena e non impediscono di contare i passaggi. Ma a volte potrebbero entrare in risonanza (aumentare di numero, interferire con i giocatori) e portare

promuovere la sicurezza

scompiglio nel sistema. Il modello che vedremo tra poco si basa su questa efficace immagine dei gorilla, serve a visualizzare in concreto questi segnali deboli e aiuta a capire come gestirli, condividerli nel gruppo e controllarli a livello organizzativo, riuscendo a dare, finalmente, riposte forti a segnali deboli. 8.2 La matrice della resilienza Riprendiamo il caso dellinfermiere che attacca le etichette con i dati anagrafici alle provette sbagliate, invertendo paziente A con paziente B. Questo, che a posteriori chiamiamo errore, frutto di prestazioni variabili, eseguite a livello Skill, associate a unaltra condizione variabile, che lincalzante accesso di pazienti in Pronto soccorso. Le due condizioni risuonano e possono portare allincidente. Tuttavia, nel caso in questione c stato un altro elemento che completa la storia e che ha smorzato la risonanza: lintervento del medico che lavorava con linfermiere. Il medico, infatti, sapeva della condizione di fatica psicologica in cui si trovava linfermiere, in attesa di un trasferimento ad altro reparto per un suo malessere lavorativo. Per questo motivo il medico non si limitava a seguire il suo lavoro (contare i passaggi, nella metafora del gorilla), ma ha lasciato libere parte delle sue risorse per notare segnali deboli che avrebbero potuto risuonare, viste le condizioni di lavoro pressanti. Infatti, ha visto che linfermiere aveva posto le provette sul bancone senza etichettarle e questo segnale dallarme lo ha predisposto a notare il successivo scambio di etichette. A questo punto intervenuto interrompendo lazione dellinfermiere e facendogli notare lo scambio. Il medico ha visto il gorilla. Ma, a questo punto, si potrebbe dire che la sicurezza tutelata? Assolutamente no. Il medico ha visto un gorilla, ma i segnali deboli devono essere condivisi con il sistema intero e gestiti, non basta notarli. Se le persone agiscono a livello locale, adottando aggiustamenti che vanno bene per loro, commettono due imprudenze. Prima di tutto privano il resto del sistema (colleghi, supervisori, collaboratori) di questa informazione importante, che potrebbe interessare anche loro. In secondo luogo, i loro aggiustamenti locali potrebbero essere solo apparentemente sicuri, perch non sanno come potrebbero risuonare a livello globale. I segnali deboli, quindi, vanno condivisi con il gruppo e con il sistema. Per fare questo ci vuole una cultura no-blame, dove ci sia fiducia reciproca e voglia di mettersi in gioco. Lorganizzazione decider poi a che livello inter

8. un modello per la promozione della resilienza

venire per gestire questa variabilit, se con mutamenti sistemici generali o se bastano interventi pi localizzati. Ad esempio, il rischio di scambio etichette, una volta condiviso senza pensare che successo allinfermiere X perch imprudente, va discusso a livello di gruppo e si valuta cosa si pu modificare nel sistema, per evitare che la prestazione variabile di un qualsiasi operatore (ad esempio, un errore a livello Skill) risuoni in un incidente. Ad esempio, si potrebbe valutare la modalit di accesso alla stanza delle visite, capendo se sono necessarie barriere procedurali ulteriori per definire se il precedente paziente stato gestito e chiuso in modo corretto. In questo modo il sistema apprende e definisce il suo modo per gestire la variet che, se ben metabolizzata, diventa cibo che fa crescere il sistema. Una variet non metabolizzata, non elaborata con attenzione, come un alimento indigesto che blocca il sistema digerente e pu provocare danni gravi. Vediamo ora come inquadrare queste dinamiche secondo una matrice ispirata al modello srk e alla definizione di resilienza come capacit di dare risposte forti a segnali deboli. Abbiamo detto che un segnale debole nasce dalla possibile risonanza tra variabilit delle prestazioni e altre condizioni del sistema (variabilit delle procedure, condizioni latenti, tecnologie rigide ecc.). Esso debole nel senso che la risonanza solo possibile e non si ancora evoluta in un incidente. Proprio la nozione di variabilit il concetto chiave della resilienza e diventa uno dei fattori che definiscono la matrice. I tipi di segnali, infatti, possono essere classificati lungo un continuum che va da poca variabilit a molta variabilit. Un contesto operativo caratterizzato da segnali poco variabili poco esposto alla probabilit di risonanza, perch i segnali sono prevedibili e quindi gestibili con procedure certe. Ad esempio, gli eventi in una catena di montaggio possono essere limitati, i gradi di libert del sistema sono pochi e prevedibili, i possibili esiti sono gestibili. Questo un sistema ove c poca variabilit, i segnali sono trattabili grazie a procedure. Vi sono casi in cui le procedure sono utili, ma vanno adattate, capite fino in fondo, vanno contestualizzate e, talvolta, possono essere modulate in base alla situazione. Si tratta di contesti in cui i segnali sono variabili, ma sono pi o meno contenibili entro le procedure, la loro variabilit prevedibile e la procedura pu adattarsi per attutirne lampiezza. il caso di un reparto di ospedale, dove le procedure si devono adattare al qui-ed-ora del tipo di paziente, operatore e malattia. A livello estremo, abbiamo condizioni in cui i segnali sono altamente variabili, le prestazioni umane, tecnologiche, organizzative sono esposte a grandi cambiamenti e non possibile ingabbiarle in procedure standard. A

promuovere la sicurezza

questo livello le procedure non servono, o sono comunque limitate. Qui la variabilit tale che non possibile prevedere tutte le forme di interazione tra gli elementi del sistema e quindi la possibilit di risonanza inattesa alta. In questa zona i segnali sono poco trattabili, nel senso che le procedure non possono limitarli nella loro variabilit. Ad esempio, un Pronto soccorso pu spesso trovarsi in situazioni simili, dove non si pu seguire la procedura alla lettera, occorre gestire la variet in modo flessibile e adattivo, proprio come nellesempio della donna a rischio di distacco della placenta. I sistemi complessi sono caratterizzati dalla presenza di tutti questi tipi di segnali, alcuni molto trattabili perch stabili, altri intrattabili perch variabili. Pi il sistema ricco di segnali intrattabili, pi esposto al rischio di risonanza e di incidenti, ma proprio a questo livello che la prestazione umana, intesa come intervento di singoli, gruppi e organizzazioni, pu fare la differenza. Infatti, laltra dimensione che caratterizza la matrice della sicurezza definita da chi deve erogare risposte ai segnali deboli, se individui, gruppi o lorganizzazione. Ognuno di questi attori pu trovarsi a gestire i vari tipi di segnali, potrebbe farlo in modo funzionale o meno. Una gestione funzionale se lattore adeguato per gestire quel tipo di segnale. Ad esempio, se il medico di turno cerca di gestire da solo il segnale debole relativo alla procedura inadeguata, senza condividerlo con il gruppo di lavoro e poi con lorganizzazione, questa gestione sar fallimentare, perch lindividuo non ha la capacit di attutire da solo tale variabilit. La combinazione di tipi di segnali (stabili o variabili) e di erogatori di risposte (dallindividuo allorganizzazione) genera uno spazio che per semplicit possiamo dividere in nove settori (fig. 8.2). In ognuno di essi vi sono elencate alcune caratteristiche che descrivono cosa pu fare quel tipo di attore in base al tipo di segnale, al fine di promuovere la resilienza. Come indica la freccia sulla destra, il livello di impegno cognitivo, di gruppo e organizzativo cambia molto a seconda del tipo di segnali: quando sono stabili e trattabili limpegno ridotto, tutti lavorano nella routine e le procedure coprono ampiamente i margini di variabilit degli elementi del sistema. Quando sono intrattabili e molto variabili limpegno massimo, perch gli attori devono saper vedere i gorilla, capirne la natura, capire come variano e se quella variazione un evento che potrebbe generare una risonanza funzionale. Devono poterne parlare, analizzarli e provare a gestirli pur mantenendo la loro operativit.

8. un modello per la promozione della resilienza 8.2 La matrice della resilienza

figura

Il messaggio di fondo della matrice che la vera resilienza si manifesta se tutti gli attori sono coinvolti nel modo opportuno e se si attua una circolarit nel sistema che comincia dalle persone, nella loro operativit quotidiana e routinaria, sale a livello di riflessione sulle procedure e sulla loro adeguatezza per la gestione di segnali variabili, si trova a prendere atto di variabilit ingestibili di cui occorre fare tesoro, si muove quindi a livello di gruppo condividendo in modo non colpevolizzante queste esperienze. Si decide, poi, se il tipo di segnale pu essere gestito a livello di gruppo o se deve essere affrontato a livello organizzativo. In tal caso, lorganizzazione riceve questa variet e la deve comprendere, studiare, attutirne la probabilit di risonanza. Si deve capire come contenerla adeguando le procedure o le barriere (fisiche, normative, tecnologiche) esistenti. Quindi il sistema si ritrova con procedure arricchite di nuova variet e si deve occupare di trasferirle al gruppo e poi ai singoli, che verificheranno la loro applicabilit ed efficacia nella gestione dei segnali deboli. Col tempo la nuova variet inserita nelle procedure e nelle barriere verr normalizzata e verr a far parte degli skills operativi del front-line.

promuovere la sicurezza

Come vedremo qui di seguito, la resilienza sistemica si pu favorire se si rispettano almeno queste sei condizioni: 1. capacit di muoversi liberamente lungo la matrice; 2. capacit di scegliere il livello appropriato in base al tipo di segnale; 3. capacit di ottimizzare la variet grazie alla mindfulness; 4. capacit di condividere la variet con gli attori opportuni; 5. capacit di metabolizzare la variet e controllare la variabilit delle prestazioni, grazie alladattamento dinamico; 6. capacit di verifica dellefficacia dei nuovi adattamenti e normalizzazione della variet nelle operativit routinarie. 8.2.1. Capacit di muoversi liberamente lungo la matrice Prima di tutto le persone e lorganizzazione devono essere in grado di muoversi ai vari livelli della matrice. I sistemi complessi sono ricchi di situazioni che richiedono una gestione di segnali pi o meno variabili; quindi, proprio come le marce di unautomobile, le persone devono poter essere in grado di usare tutte le marce disponibili. Ricordiamo il modello srk, dove il livello Skill pu essere adeguato alla gestione di segnali poco variabili e le procedure sono applicate in modo pressoch automatico. Quando i segnali si fanno pi variabili possono continuare a essere gestiti dalle procedure, ma a questo livello necessario un monitoraggio di tipo Rule, dove le persone valutano quando la procedura possa contenere tutta la variabilit della situazione. Vi sono, infine, situazioni dove la variabilit tale che le procedure sono poco efficaci e rischiano di trascurare elementi importanti per prevedere la risonanza funzionale. Vediamo queste tre condizioni nella fig. 8.3. Naturalmente le procedure e le barriere alla risonanza dovrebbero riuscire a contenere lemergere di situazioni di pericolo, ma i sistemi complessi sono caratterizzati da una forte presenza di variabilit e quindi possibile che vincoli e regole non bastino a mitigare la risonanza. Ricordiamoci che una procedura potrebbe anche essere stata predisposta, ma non risultare applicata. Questo comunque un segnale. Non basta limitarsi a dire che la procedura esiste e va applicata, bisogna capire perch non stata seguita. Esistono fattori interni o esterni che possono bloccare le persone a un livello e limitarle nel loro uso delle procedure. Tra i fattori interni possiamo citare la fatica e il carico di lavoro mentale. Quando siamo sovraccarichi o fisicamente affaticati, la mente tende a restare a livello Skill, perch gli automatismi sono il tipo di processo pi economico dal

8. un modello per la promozione della resilienza

punto di vista del dispendio di risorse. In questi casi possibile che un problema di tipo Rule o Knowledge sia affrontato a livello Skill, solo perch la persona non ha le energie per cambiare livello. Di natura simile sono gli effetti di stress e malessere, sia personale che organizzativo. In questo caso la mente della persona non si pu dedicare allanalisi della situazione, non vedr alcun gorilla intorno a s, non coglier variet, perch i problemi personali o il malessere sul lavoro assorbiranno tutti i suoi pensieri e lascer le risorse residue per lattivazione degli automatismi. questo il caso dellinfermiere che aveva chiesto il trasferimento: si trovava in una condizione di malessere che lo faceva agire a livello Skill, non aveva saputo adattarsi allincalzare dei pazienti e salire a livello Rule, cio controllando in modo consapevole che la procedura di etichettatura della provetta del paziente A fosse completata. Un altro fattore di blocco interno potrebbe essere il panico: quando la persona si trova di fronte a una situazione nuova e dovrebbe agire a livello Knowledge, ma non avendo sufficiente tempo, risorse, addestramento, agisce a livello Skill o Rule. questo il caso dellincidente accaduto al volo Swissair 111 nel 1998 (tsb, 1998), dove i piloti furono presi dal panico per lo scoppio di un incendio in cabina e non si resero conto della gravit della situazione, che richiedeva un salto a livello Knowledge. Attivarono quindi le procedure (livello Rule) per un atterraggio di emergenza, ma nel frattempo il fuoco aveva completamente compromesso la manovrabilit dellaereo facendolo precipitare. Un fenomeno simile la perdita della consapevolezza situazionale, ossia il non saper percepire le informazioni rilevanti intorno a s, o il non capirle, o il non saperne prevedere landamento nellimmediato futuro (Endsley, Garland, 2000). ci che accadde ai piloti del volo Air Transat 236 nel 2001 (gpiaa, 2004). Una grossa falla nel motore fece fuoriuscire tutto il carburante, ma i piloti erano convinti che si trattasse di un errore del computer, data lanomalia dei segnali riportati. Solo quando rimasero senza carburante e laereo divenne un enorme aliante che planava a motore spento sulloceano, si resero conto che erano rimasti bloccati a livello Rule quando invece avrebbero dovuto salire a livello Knowledge. Vi salirono quando i fatti furono incontrovertibili e riuscirono a planare verso le isole Azzorre con estrema abilit (e fortuna), eseguendo il volo planato con aereo commerciale pi lungo della storia (circa 180 km). Infine, leccessiva fiducia nelle proprie capacit o atteggiamenti da macho possono portare le persone a bloccarsi a livello Skill, perch ritengono di saper gestire la situazione grazie alla loro esperienza e abilit.

promuovere la sicurezza

figura

8.3 I tre livelli Skill, Rule e Knowledge, in base al tipo di variabilit dei segnali. I gorilla sono forme di variabilit che eccedono la normale area di pertinenza delle procedure o delle prassi condivise

In altre situazioni, vi possono essere fattori esterni alla persona, derivanti dalla cultura, dal clima organizzativo, dalle pressioni del gruppo, dei clienti, dei fornitori, delle leggi, dei mezzi di comunicazione. Ad esempio, la pressione commerciale e produttiva pu bloccare le persone a sottostimare i rischi. Fu ci che accadde al volo American Airlines 1420 (ntsb, 2001), quando i piloti decisero di tentare un atterraggio pur essendo superati i limiti di sicurezza, per via di due temporali che si stavano incrociando sopra laeroporto. Anzich scendere a livello Rule e seguire le procedure di atterraggio in un aeroporto alternativo, provarono a correre il rischio a livello Knowledge, per evitare di perdere tempo e denaro della compagnia. Un altro esempio la presenza di una cultura burocratica o fortemente normativa, che potrebbe bloccare le persone a livello Rule, anche quando, operando in un sistema complesso, si trovassero di fronte a situazioni di tipo Knowledge. Leffetto delle normative e la minaccia delle denunce possono bloccare gli operatori, specie in campo sanitario, dove talvolta si aderisce alla procedura o alla formalit, senza capirne il significato e solo per evitare conseguenze sul piano legale. La medicina difensiva nasce da questa minaccia legale ad opera di stampa, magistratura e cittadini, che porta i sanitari ad eseguire procedure inutili, non liberi di scegliere le pratiche pi opportune per il paziente, ma piuttosto quelle che minimizzano i rischi per se stessi in termini legali.

8. un modello per la promozione della resilienza

8.2.2. Capacit di scegliere il livello appropriato in base alla situazione Non basta potersi muovere lungo la matrice se non si capaci di scegliere il livello giusto. Una persona potrebbe trattare un segnale come molto variabile e ingestibile (livello Knowledge), quando in realt sarebbe gestibile e il problema potrebbe essere affrontato a livello Rule, come successo ai piloti del volo Swissair 111 citato prima. Come sappiamo, ogni livello cognitivo ha vantaggi e svantaggi: il livello Skill veloce, economico, ma rigido; il livello Rule flessibile e affidabile, ma lento e dispendioso; il livello Knowledge creativo e flessibile, ma consuma tutte le risorse disponibili. Per scegliere il livello appropriato bisogna: 1. identificare linformazione utile nellambiente in modo da valutare correttamente la situazione: naturalmente bisogna sapere cosa guardare e dove guardare, se esistono i fattori interni o esterni elencati nel paragrafo precedente, non sar possibile orientarsi sulle informazioni rilevanti; 2. considerare le richieste cognitive necessarie per affrontare correttamente la situazione: ad esempio, in caso di controllo motorio basterebbe il livello Skill (guidare), in caso di decisione complessa sarebbe necessario salire a livello Rule o Knowledge (cercare una via in una citt che non si conosce); 3. valutare le risorse proprie e le opportunit del sistema per realizzare lintenzione: una volta deciso il livello opportuno per il tipo di situazione, occorre valutare se sono disponibili risorse proprie o contestuali per la messa in atto. Ad esempio, durante unemergenza in volo, un pilota potr agire a livello Knowledge per capire cosa sta succedendo e trovare una soluzione, laltro pilota dovrebbe restare a livello Skill o Rule per mantenere laereo in condizioni di assetto e manovrabilit. Un esempio di questa scelta inadeguata del livello operativo lincidente al volo Eastern Airlines 401 (ntsb, 1973). I piloti, in fase di atterraggio, attivarono il comando di apertura del carrello anteriore, ma la spia down and locked che segnalava la fuoriuscita del carrello non si accese. Il comandante disattiv inavvertitamente il pilota automatico e tutti si dedicarono a comprendere se il problema fosse nel carrello o nella spia malfunzionante (livello Knowledge) e nessuno si dedic alla conduzione dellaereo (livello Skill), n si accorse che laereo perdeva quota, pur sentendo il segnale di allarme di eccessiva prossimit al suolo, che avrebbe dovuto attivare una procedura di risalita (livello Rule).

promuovere la sicurezza

Un esempio di successo, tanto per non citare solo eventi tragici, il ben noto caso dellApollo 13. Lesplosione dei serbatoi dossigeno obblig la nasa a rivedere completamente i suoi piani, passando dal livello Rule a quello Knowledge. Lobiettivo non era pi andare sulla Luna, ma riportare i tre astronauti sani e salvi sulla Terra. Per fare questo, i tecnici di Houston adottarono una soluzione flessibile e creativa, rompendo le regole del livello Rule. Essi usarono il modulo lunare (pensato per il solo allunaggio) come unico propulsore disponibile per riportare gli astronauti nellorbita terrestre. Questo ha richiesto che tutti riorganizzassero piani, schemi di lavoro e tempistiche per capire come usare il modulo lunare come una zattera di salvataggio. 8.2.3. Capacit di ottimizzare la variet grazie alla mindfulness Finora abbiamo visto che per rispondere in modo flessibile e resiliente alle condizioni di lavoro, individui e organizzazioni devono sapersi collocare al giusto livello di prestazione capendo il tipo di segnali che devono gestire. Vediamo ora pi in dettaglio come la matrice pu essere una base per promuovere la resilienza. Essa va letta come un ciclo che comincia dal livello individuale in cui si gestiscono segnali stabili a livello Skill, si passa quindi alla gestione di tipo Rule di segnali pi variabili ma pur sempre controllabili, per finire a livello Knowledge, dove la persona gestisce variabilit tale che sfuggita a barriere e procedure. Siamo di fronte a un gorilla. La prima parte, lascesa da Skill a Rule e Knowledge, pu essere riassunta con il termine mindfulness, che analizzeremo tra poco, e riguarda principalmente il livello individuale. A questo punto, per, la persona da sola non pu gestire tale variet e deve poterla condividere col gruppo di lavoro e poi, se necessario, anche a livello organizzativo. Questa seconda fase vede il passaggio di informazioni dal singolo al sistema tramite la comunicazione. Qui vanno studiati i segnali deboli e vanno trovati modi per gestire, contenere, attutire la risonanza. In questa terza fase lorganizzazione si mette in gioco e si analizza, cambiano le procedure e quindi si attua un adattamento dinamico di tipo organizzativo. La quarta fase consister nella verifica di applicabilit degli adattamenti (procedure rinnovate, barriere e vincoli pi affidabili) da parte del gruppo e dei singoli; se tali adattamenti risulteranno efficaci verranno adottati e replicati finch, con addestramento e ripetizione, non verranno a fare parte degli skills degli operatori. Con il termine mindfulness ci possiamo riferire alla definizione data da Weick e Sutcliffe (2001, p. 42). Essa pu essere intesa come la

8. un modello per la promozione della resilienza

combination of ongoing scrutiny of existing expectations, continuous refinement and differentiation of expectations based on newer experiences, willingness and capability to invent new expectations that make sense of unprecedented events, a more nuanced appreciation of context and ways to deal with it, and identification of new dimensions of context that improve foresight and current functioning. Mindfulness is a pre-occupation with updating.

In questa definizione vediamo alcuni elementi importanti. Troviamo un monitoraggio costante della situazione, delle aspettative delle persone, della volont di utilizzare le nuove esperienze per arricchire i propri modi di pensare il sistema e dare senso al lavoro. Se la leggiamo nellottica della re potremmo dire che riguarda la capacit delle persone di notare la variabilit delle prestazioni, i segnali deboli sempre presenti, le possibili vibrazioni degli elementi del sistema per anticipare future risonanze. Una domanda chiave a questo livello : come si pu sapere se un segnale debole merita di essere notato e riportato? Non possibile riportare ogni minimo segnale, ogni evento anomalo, perch ci impedirebbe di lavorare e farebbe cadere le persone in una paranoica caccia ai gorilla. La risposta a questa domanda potrebbe essere il cuore della resilienza, almeno secondo questa prospettiva. Non possiamo prevedere le dinamiche dei sistemi complessi, perch in quanto tali sono imprevedibili. Ma a livello locale possiamo notare oscillazioni, segnali deboli che, in base allesperienza, risultano anomali. Proprio lesperienza delle persone pu aiutare ad alimentare quella necessaria immaginazione dei possibili rischi. Solo la conoscenza del proprio contesto operativo, maturata grazie ad esperienza operativa e condivisione con i colleghi, pu portare a sviluppare una sensibilit verso quei segnali che non saranno solo occasionali variazioni, ma indice che un elemento sta oscillando in modo preoccupante e potrebbe entrare in risonanza con altri elementi del sistema. La mindfulness interpretata nellottica della matrice si articola in due fasi. 1. Capacit di uscire dagli automatismi: abbiamo visto che il livello Skill quello degli automatismi, della routine, della normale quotidiana operativit. il livello pi semplice ed economico, dove ci piace stare e dove la mente scivola ogni volta che il contesto si fa ripetitivo e prevedibile. Gli incidenti e le anomalie sono eventi rari e quindi assolutamente normale che la nostra mente, immersa in un contesto ripetitivo, costante e prevedibile, come sono molte attivit lavorative, tenda a sottostimare la presenza di segnali deboli che rendono la situazione diversa rispetto alla norma. Qui si tratta di essere consapevoli delle vibrazioni di ogni elemen

promuovere la sicurezza

to, della prestazione variabile delle persone, che oscilla intorno al concetto astratto di normalit. Le persone non devono essere bloccate a livello Skill dai fattori visti in precedenza, ma labitudine, lesperienza e la routine rischiano di smorzare questa capacit di aprire la mente verso i segnali deboli. Se le persone riescono a gestire questa tendenza a scivolare negli automatismi operativi, a mettere in dubbio che la situazione sempre la stessa, che basta fare come abbiamo sempre fatto, riescono a salire di livello e a portarsi dal livello Skill a quello Rule, cio a chiedersi in maniera consapevole se davvero tutto sotto controllo, se la situazione normale e se le procedure applicate sono quelle corrette e adeguate alla situazione. Ricordiamo il caso del marocchino ricoverato per dolore toracico: il medico cercava una frattura alle costole, non riusciva a vedere linfarto; non riusciva a mettere in dubbio la sua prestazione e a chiedersi se la procedura fosse adeguata. 2. Sensibilit verso la variet: i sistemi complessi hanno una forte componente Knowledge, ossia presentano molte situazioni dove le procedure e le regole non sono perfettamente applicabili. Inoltre, le procedure sono astrazioni che dovrebbero semplificare la variabilit delle possibili situazioni. Gli operatori di sistemi complessi sanno che lapplicazione della procedura alla cieca impossibile e rischiosa, perch necessario ladattamento locale, lottimizzazione al contesto specifico, alla situazione contingente. Sanno anche che talvolta le procedure sono aggiustate per comodit o abitudine, cadendo in quella che abbiamo definito normalizzazione della devianza: una lenta e inconsapevole deriva verso lincidente. Ma anche quando la regola applicabile e sicura, gli operatori dovrebbero sapere che i gorilla possono passare. La procedura richiede di contare i passaggi, e questo rende ciechi verso i gorilla. Allo stesso modo, le procedure potrebbero rendere ciechi verso quelle variabilit che circolano nel contesto operativo e che potrebbero evolvere e risuonare in un incidente. A questo livello, quindi, le persone possono salire da Rule a Knowledge e vedere i gorilla intorno a loro. quello che successo al medico quando non si limitato ad operare secondo le sue procedure di tipo Rule, ma ha riservato attenzione anche allinfermiere affaticato che lavorava a livello Skill e scambiava le etichette dei pazienti. Il medico salito a livello Knowledge perch ha temporaneamente arricchito la sua procedura, vedendo nella distraibilit dellinfermiere un potenziale gorilla. Per fare questo ha speso energie mentali e non si pu chiedere alle persone di fare tutto: risparmiare risorse, seguire le procedure e vedere i gorilla. La resilienza individuale anche data, quindi, dalla capacit di capire quando

8. un modello per la promozione della resilienza

opportuno salire a livello Knowledge, perch si intuisce che la situazione troppo esposta al pericolo di risonanza di variabilit, e quando invece si pu risparmiare risorse ed agire a livello Rule o Skill. 8.2.4. Capacit di condividere la variet Una volta notati i gorilla, gli operatori sono al livello pi alto della matrice, sono a livello Knowledge, e questo uno stato temporaneo e impegnativo. Non possono restare a quel livello per molto tempo ed assolutamente necessario che il gruppo e poi lorganizzazione intervengano. Perch le persone, da sole, non hanno il potere, la conoscenza, la capacit di gestire i segnali deboli e la loro interazione a livello di sistema. Le persone sono i sensori dei segnali deboli, ma poi questi vanno gestiti a livello organizzativo. Se le persone restano da sole, con i loro segnali deboli, senza poterli condividere, subentrano disfattismo, impotenza appresa, malessere organizzativo; proliferano la cultura della colpa e il cinismo organizzativo. Immaginiamo la solitudine di una persona che subisce il peso dei suoi gorilla e non li pu condividere, non pu liberarsi dal carico delle anomalie che ha notato e che teme possano risuonare in un incidente. Se sussistono queste condizioni organizzative una delle conseguenze pi probabili che la persona blocchi il ciclo lungo la matrice e non proceda al trasferimento delle informazioni a livello di gruppo e poi di organizzazione. La persona cercher il suo modo di gestire la variabilit, ma questo impedir al sistema di imparare e soprattutto non render la persona pi sicura. Le variabilit potrebbero risuonare in modi che sfuggono al singolo operatore e quindi, per quanto lui potrebbe pensare di aver gestito i suoi gorilla, egli non avrebbe una visione dinsieme tale da capire se qualcosa gli sfuggito. Naturalmente la segnalazione non sar solo relativa a incidenti e quasi incidenti, ma piuttosto sar mirata ad agire in modo proattivo sui segnali deboli. Abbiamo visto che la piramide degli incidenti ha un limitato valore descrittivo per quanto riguarda i sistemi complessi, laddove possibile che si evolva dai segnali deboli agli incidenti, senza passare attraverso i quasi incidenti. quindi opportuno che lorganizzazione crei quella cultura giusta, non giudicante, che faccia sentire le persone libere di segnalare le anomalie senza timore di vedersi coinvolte in dinamiche punitive. Prima il gruppo dei pari, e poi lorganizzazione, devono essere capaci di ascoltare i lavoratori e dare dignit alle loro segnalazioni. Ecco, quindi, che a questo livello della matrice fondamentale utilizzare canali comunicativi forma

promuovere la sicurezza

li e informali per trasferire le informazioni a livello di gruppo e poi, se necessario, di organizzazione. Per canali formali si intendono strumenti e metodi definiti a livello aziendale che facilitino il confronto aperto e non giudicante, ad esempio riunioni per la sicurezza, sistemi di reporting, audit ecc. A livello informale necessario che il gruppo senta la fiducia reciproca di potersi aprire al confronto e alla condivisione, fosse anche in momenti informali come il cambio turno, le pause di lavoro, momenti di incontro al di fuori dellazienda. In base al tipo di problema si pu valutare se la gestione compete al gruppo o merita di essere estesa a livello organizzativo. Pi la situazione complessa e interessa attori diversi, pi probabile che si debba trasferire a livello organizzativo per una revisione delle procedure, dei vincoli e delle barriere che non hanno saputo contenere quella variabilit. Tutto il sistema si trova ora a un livello di impegno elevato, lanalisi delle variabilit difficile, richiede risorse ed importante dare risposte efficaci, veloci, credibili, commisurate al problema. Questo livello Knowledge, c il massimo contributo attivo delle persone e anche lorganizzazione sottoposta a grande attivit. Qui si tratta di gestire nuove informazioni, saperle ascoltare, capire, e dare risposte adeguate. I sistemi di reporting dei segnali deboli sono uno strumento complesso da sviluppare, perch i segnali deboli sono sicuramente maggiori, come numero, dei quasi eventi o degli incidenti, e quindi chi si fa carico di raccogliere le segnalazioni rischia di essere sommerso di informazioni. Talvolta le informazioni saranno inutili, saranno falsi allarmi, e questo fa parte del gioco, perch un segnale debole ambiguo per definizione; se la sua natura maligna fosse chiara, non sarebbe un segnale debole. Questo un altro elemento di difficolt, perch se gli operatori non sanno bene cosa riportare e caricano il sistema di dati da analizzare, necessario che lorganizzazione si doti di una strategia di allocazione di priorit, per capire quali segnali sono pi rilevanti e quali meno. Una volta classificati i segnali vanno gestiti, ma anche in questo caso, essendo fenomeni complessi, non facile capire le possibili connessioni tra i segnali, come questi possano risuonare. Infine, dopo una segnalazione assolutamente necessario che le persone che hanno segnalato ricevano un feedback che faccia capire che il loro sforzo stato accolto e apprezzato. Il feedback potrebbe gi indicare come il sistema intende muoversi rispetto alla segnalazione; e se linformazione non risulta pertinente, va comunque riferito alloperatore. Per due motivi: prima di tutto un feedback dovuto, anche in caso di falso allarme, spiegando perch un falso allarme. In secondo luogo loperatore imparer ad aggiustare il tiro sui futuri segnali

8. un modello per la promozione della resilienza

deboli, se conosce i criteri che guidano lorganizzazione verso lanalisi di tali segnali. Queste fasi sono molto delicate, perch si rischia di scontrare visioni, aspettative, logiche e bisogni di livelli diversi del sistema. Ci che rilevante per alcuni operatori di prima linea potrebbe non esserlo per i dirigenti. Ripensiamo al caso del medico di guardia che ha violato una procedura che riteneva non sicura. In quel caso i medici hanno segnalato il gorilla, ma i loro interlocutori non lo hanno riconosciuto come tale. Ci che mancato, in questo evento, la spiegazione delle rispettive posizioni. possibile che quello che sembra un rischio se visto da una prospettiva, non lo sia da unaltra, e non detto che la ragione sia solo da una parte. La comunicazione e il confronto aperto dovrebbero aiutare ad uscire da questo stallo. 8.2.5. Capacit di adattamento dinamico Grazie alla capacit di tutte le persone che formano il gruppo di lavoro, il sistema ha acquisito nuova variet, nuove informazioni sulla variabilit delle prestazioni e sui segnali deboli che si possono annidare nelloperativit quotidiana. Una volta acquisita variet, proprio come un organismo biologico, il sistema la deve metabolizzare, ossia la deve scomporre per estrarne gli elementi che gli permetteranno di costruire nuova e pi solida organizzazione e adattamento. Ladattamento dinamico comporta un arricchimento degli schemi e delle procedure che pu essere messo in atto solo se il sistema flessibile e disposto al cambiamento. Unorganizzazione orientata alla sicurezza possiede la cultura dellapprendimento e della flessibilit, vuole acquisire nuove informazioni e si sa adattare in base ad esse. Una volta acquisiti i segnali deboli, la variet viene incamerata in nuovi schemi, cio nelle procedure. Questo aiuta il passaggio dal livello Knowledge a quello Rule. Il rapporto tra procedure e segnali deboli pu portare a due tipi di conseguenze: la regola pu essere estesa o limitata. Nel primo caso, i segnali deboli dimostrano che la regola non copre tutte le possibilit ed meglio arricchirla per poter gestire le situazioni riscontrate. Ad esempio, nel caso dellinfermiere che scambia le etichette, si potrebbe aggiungere una forma di controllo incrociato con un collega, una checklist, uno spazio di attesa tra un paziente e laltro che permetta di controllare i dati ecc. Nel secondo caso, invece, si nota che la regola andrebbe limitata perch in alcune circostanze non completamente applicabile. Ad esempio, malgrado il sorpasso in autostrada sia sempre consentito a patto che la corsia di sorpasso sia libera e la linea di mezzeria sia discontinua, lesperienza

promuovere la sicurezza

insegna che bisognerebbe evitare di sorpassare i camion in prossimit degli imbocchi dai caselli, dove unauto potrebbe invadere improvvisamente la carreggiata di marcia e obbligare il camion che sorpassiamo a sterzare a sinistra verso di noi. Il passaggio da Knowledge a Rule di competenza dellorganizzazione, perch solo a quel livello si possono vedere dinamiche che ai livelli operativi potrebbero sfuggire, come nuove procedure, ad esempio, potrebbero influire sul lavoro di altri reparti. 8.2.6. Capacit di verifica e normalizzazione degli adattamenti Naturalmente le procedure ottimizzate non vanno decise in modo autoritario, ma costruite con la collaborazione dei diretti interessati, che in questo modo si sentiranno riconosciuti nel loro ruolo di sensori della variet e saranno motivati a seguire le nuove procedure, perch nate anche dalle loro iniziative. Il ruolo del gruppo a questo livello molto importante perch aiuta a capire come e quanto le procedure e le barriere sono adeguate per il contenimento della risonanza e quanto sono applicabili nella routine quotidiana. Una procedura inapplicabile o insensata non solo inutile, ma anche pericolosa, perch aumenta la frustrazione degli operatori e, di conseguenza, il loro cinismo verso lorganizzazione e la sua capacit di reale ascolto. Una volta che i nuovi adattamenti sono stati verificati nella loro applicabilit, sono stati accettati dagli operatori, vengono adottati a livello di operazioni di routine. Il sistema sceso da Knowledge a Rule e qui ha trovato nuovi adattamenti per poter contenere i gorilla, gestire la variabilit con barriere di vario tipo (procedure, controlli, barriere fisiche). Le energie spese sono state molte e a questo punto il sistema deve andare a regime con ladozione delle nuove procedure. Allinizio non sar semplice, perch ladattamento richiede tempo e risorse. Sviluppando percorsi di addestramento, verificando come e quanto le nuove procedure permettono la gestione della variabilit al fine di evitare la risonanza funzionale, il sistema potr scendere dal livello Rule a quello Skill. Col tempo il sistema operer secondo le nuove regole e queste saranno adottate dagli operatori senza eccessivo sforzo, perch saranno entrate nella routine. Il ciclo tornato cos a livello Skill e il sistema pronto per la ricerca di nuova variet. Solo la fluida circolazione lungo la matrice pu garantire uneffettiva resilienza del sistema, che sar in grado di cercare e raccogliere variet, da un lato, e metabolizzarla adattandosi in modo dinamico, dallaltro.

8. un modello per la promozione della resilienza

8.3 Vedere i gorilla e fare il proprio lavoro possibile Una possibile obiezione a questo modello che le persone non possono passare il tempo a cercare gorilla, hanno un lavoro da svolgere e le risorse sono limitate. In parte unobiezione condivisibile, anche se rischia di cadere nella gi citata divisione tra lavoro e sicurezza, delegando questultima a tecnici e preposti. La sicurezza nasce dentro ogni membro del sistema e sar sostenuta in modi e tempi diversi in base ai livelli e settori, ma ogni parte del sistema ne deve essere ispirata. Inoltre, non vero che vedere i gorilla distoglie dal lavoro. Una volta che il segnale debole stato amplificato e condiviso, esso non sar pi difficile da notare e le persone potranno notarlo senza problemi. La dimostrazione cognitiva di tale capacit si pu trovare nel filmato del gorilla. Una volta che le persone sanno del passaggio del gorilla, non hanno problemi a contare i passaggi (fare il proprio lavoro) e vedere il gorilla (il segnale debole). Allo stesso modo, se guardiamo la fig. 8.4, che riprende il gioco presentato nel cap. 2, ci risulta quasi impossibile non notare i due errori di ripetizione nel testo, anche per coloro che non li hanno notati la prima volta.
figura

8.4 Adesso facile trovare gli errori

Ma forse a qualcuno sar sfuggito che i numeri 5 e 6 sono scambiati di posto, e magari altri non avranno notato gli errori nelle parole propio e concertrati nel testo. Esattamente come nei sistemi complessi, le anomalie sono tante e sono variabili. Una volta visto un segnale debole non pos

promuovere la sicurezza

sibile adagiarsi sul successo e pensare che la sicurezza sia stata garantita. La sicurezza un processo e non uno stato, la sicurezza non si ottiene come risultato di una procedura, ma la si promuove, la si sviluppa, la si mantiene. E alcune persone vedranno certi segnali deboli, altre vedranno segnali diversi. Ognuno porter un pezzo di storia, un pezzo di una realt che esiste solo nella condivisione. Nessuno sar mai capace di vedere e gestire ogni segnale debole nel sistema complesso: se lo potesse fare, il sistema non sarebbe complesso. Grazie alla matrice come base per la resilienza possibile far emergere la sicurezza, proprio come emergono gli incidenti, dalla risonanza positiva e virtuosa degli elementi costitutivi del sistema. Una risonanza che deriva dalla capacit di ogni elemento di giocare la propria parte nella gestione della complessit. 8.4 Come rendere la sicurezza una risonanza virtuosa Esponendo il concetto di risonanza funzionale, abbiamo detto che la sicurezza potrebbe nascere dalla creazione di barriere che potrebbero assorbire, smorzare la variabilit degli elementi ed evitare quindi che entrino in risonanza. Ma abbiamo anche detto che la sicurezza stessa potrebbe essere una forma di risonanza virtuosa, che nasce grazie alla fluida circolazione lungo la matrice rappresentata dal modello srk. Vediamo in breve cosa potrebbe attutire questa risonanza virtuosa e come invece rimuovere queste barriere. Le barriere potrebbero essere rappresentate dalle tre note scimmiette che si chiudono occhi, orecchie e bocca, col motto non vedo, non sento, non parlo. Le persone potrebbero chiudersi gli occhi e non vedere i segnali deboli, potrebbero lavorare secondo routine o procedure, senza dare importanza alla variabilit delle prestazioni, ai segnali-gorilla che circolano nel loro contesto. I gruppi di lavoro potrebbero non parlare, non comunicare, non raccogliere informazioni utili alla resilienza del sistema. Questo mutismo deriva da una cultura della colpa, dove vige lomert e dove i sistemi di segnalazione sono poco utilizzati, dove non c nulla da comunicare, nulla da segnalare, perch meno si comunica meglio . Lorganizzazione nel suo complesso, i dirigenti, potrebbero essere incapaci di sentire, di ascoltare il malessere, di mettersi nei panni dei lavoratori capendo i fattori contestuali che li portano ad agire in certi modi. Sarebbe un sistema privo della cultura dellapprendimento e della flessibilit, dove i livelli operativi sono vissuti come diversi dal gruppo dirigente e

8. un modello per la promozione della resilienza

amministrativo, con logiche e bisogni diversi, incomunicabili. Un sistema dominato dalla sindrome del non vedo, non sento, non parlo destinato al collasso, perch blocca la circolazione della variet e inibisce ladattamento dinamico. Vediamo ora come contenere questa sindrome, quali competenze sono necessarie. 8.5 Le competenze non tecniche per la resilienza Negli ultimi anni la ricerca nel campo della sicurezza, e non solo, ha dimostrato che gli operatori devono possedere adeguati livelli di preparazione sia per quanto riguarda le competenze tecniche, sia per quelle cosiddette non tecniche. Le competenze tecniche sono quelle relative alla specificit del proprio lavoro: il saper fare una diagnosi per un medico, il condurre un aereo per un pilota, il saper gestire il traffico aereo sui cieli di un aeroporto per un controllore di volo. Ma queste competenze non bastano per garantire la sicurezza del sistema, per tutti i motivi visti nelle pagine precedenti. La sindrome del non vedo, non sento, non parlo non viene scongiurata dalle competenze professionali degli operatori. Ecco quindi che si dimostrano rilevanti le competenze non tecniche: capacit trasversali di relazione, comunicazione, decisione, leadership, che permettono lapplicazione delle competenze tecniche in modo integrato fra i vari livelli del sistema (Flinn, OConnor, Crichton, 2008). Possiamo dire che tali competenze non tecniche sono ci che facilita la risonanza virtuosa, perch aiutano le persone nella circolazione lungo la matrice della resilienza. Proviamo ora a ripercorrere le principali competenze non tecniche, muovendoci lungo la matrice. Gestione dello stress e del carico di lavoro: siamo a livello Skill e in questa fase le persone rischiano di restare bloccate negli automatismi. La gestione dello stress pu, quindi, aiutare gli operatori a non cadere nellipersemplificazione delle situazioni. Sotto stress le risorse mentali e fisiche sono limitate e quindi naturale tendere a utilizzare modalit automatiche di comportamento, anche quando non sarebbero opportune. Il caso dellinfermiere che scambia le etichette ci racconta proprio un tipico errore a livello Skill indotto probabilmente da una condizione di stress o malessere lavorativo. Il tema dello stress da lavoro e quello del benessere nelle organizzazioni sono di grande attualit in Italia, vista la recente normativa. Questa potrebbe essere occasione per un serio intervento, ma il rischio che in molti casi la valutazione dello stress sia concepita e con

promuovere la sicurezza

dotta esattamente come la verifica degli estintori o la messa a norma delle sedie ergonomiche. Lo stress si lega al lavoro per come viene vissuto, per come le persone sanno creare un senso rispetto a ci che fanno. Pi sentiranno di essere parte di un sistema alieno, maggiore saranno lo stress e il malessere. Il malessere porta alla chiusura, al ritiro motivazionale, alla limitazione delle proprie attivit a ci che obbligatorio fare, senza concedere nulla di pi ad un sistema che sembra mosso da logiche estranee alla persona. Non possibile promuovere la resilienza se prima non si ha cura del benessere delle persone, altrimenti il malessere stesso diventer motore di quelle oscillazioni pericolose del comportamento che andranno in risonanza funzionale con altre forme di variet, fino allevento avverso. Avere cura di stress e malessere permette, quindi, alle persone di sbloccarsi dal livello Skill o Rule e le aiuta a vedere i segnali deboli intorno a loro. Stessa cosa accade per quanto riguarda il carico di lavoro. Se gli operatori sono spinti a gestire carichi troppo elevati, prima o poi adotteranno comportamenti ispirati dal principio etto, di massimo risparmio delle risorse, anche a costo di erodere la sicurezza. Consapevolezza situazionale: la capacit di cogliere elementi significativi nel proprio ambiente, di comprenderli in un quadro coerente di significato e di saperli proiettare nellimmediato futuro stata chiamata consapevolezza situazionale (Endsley, Garland, 2000). Siamo al livello Rule, dove le persone capiscono la situazione e adottano la procedura pi idonea. Per fare questo per devono sapere dove guardare, che tipo di informazioni valorizzare. Lesperienza aiuta gli operatori a cercare nei punti giusti, a condizione per che il sistema sia rimasto invariato, altrimenti lesperienza e le conseguenti aspettative si baserebbero su un modello di sistema che nel frattempo cambiato. La consapevolezza della situazione aiuta a non ragionare per schemi predefiniti, ma a capire come e cosa varia nella specifica circostanza: in altri termini, aiuta a valorizzare la variet. Grazie ad essa, quindi, possibile salire da Rule a Knowledge, avendo notato segnali deboli che potrebbero evolvere in qualcosa di pericoloso. Comunicazione: una volta giunti in cima alla matrice, le persone devono poter condividere le informazioni che hanno notato. A questo livello sono fondamentali competenze comunicative nel gruppo di lavoro, perch la persona che riporta i segnali portatrice di una variet che forse solo lei ha visto; occorrono quindi ascolto empatico, sospensione del giudizio, valorizzazione delle differenze, capacit di fornire feedback facilitanti. Ricordiamo che in questa fase, quando una persona riporta unanomalia, necessario stare attenti a non cadere nelle trappole del senno di poi, del

8. un modello per la promozione della resilienza

lieto fine, della simmetria, della conferma o del ma se. Il rischio di rompere la comunicazione con loperatore e compromettere la sua fiducia. Ad esempio, uno strumento che sembra dare risultati interessanti in medicina si chiama Significant Event Audit (Bowie, Pringle, 2008). Per ogni evento significativo (positivo o negativo che sia) si conduce una riunione con tutti i possibili interessati al fine di trovare soluzioni e miglioramenti. Ci che rende lo strumento efficace proprio la capacit di comunicare senza inibire le persone coinvolte, senza suscitare difese o blocchi. Usato come uno strumento di indagine investigativa perderebbe il suo potenziale e aumenterebbe il senso di chiusura degli operatori. La comunicazione efficace fa sentire che chi ha riportato un segnale debole viene ascoltato e questo produce effetti positivi nel suo contesto. Ognuno diventa portatore di informazione e costruttore di resilienza. In tal modo, si combatte uno dei peggiori mali delle organizzazioni, il senso di impotenza appresa, che nasce nelle persone quando esperiscono ripetutamente che i loro sforzi per migliorare la situazione sono vani e restano soli nella condizione di fatica, finch accettano passivamente la situazione pensando che non vi sono rimedi, anche quando, forse, ve ne sarebbero le possibilit. Limpotenza appresa che nasce da una comunicazione disfunzionale porta a tre forme di ritiro: motivazionale (le persone perdono la spinta a fare il loro lavoro, non cercano di migliorarsi), emozionale (le persone sono impaurite, bloccate, impotenti, sole e inermi), cognitivo (le persone non usano le proprie risorse in modo efficace, non ci credono pi, operano in modo approssimativo e rudimentale, perch hanno esaurito forze e spinte interne). Lavoro di gruppo: il sistema deve scendere da Knowledge a Rule, bisogna capire cosa fare delle informazioni raccolte, come inserire la nuova variet allinterno degli schemi preesistenti, arricchendoli. necessario un lavoro di gruppo, dove tutte le parti si sentano capaci di portare un contributo, comunicando apertamente soluzioni senza pregiudizi e chiusure. Allinizio della discussione probabile che le soluzioni proposte siano adatte a rispondere ai bisogni di una parte, ma non di tutti. Il lavoro di gruppo aiuta i membri a sentirsi attivi sensori di variet sia nella fase di caccia ai gorilla, sia in quella di gestione dei segnali deboli. Per poter realizzare tale integrazione tra operatori ci vogliono fiducia, obiettivi condivisi, capacit di condividere aspettative e bisogni. Il gruppo la dimensione intermedia tra individuo e sistema ed spesso ci in cui la persona trova il suo benessere, se sente che il sistema organizzativo troppo lontano e articolato per poter interagire con esso. Il gruppo protegge e motiva, fa sentire che non si soli in questa gestione complessa dei segnali deboli.

promuovere la sicurezza

La presa di decisioni: la nuova variet deve essere metabolizzata in procedure o barriere di vario genere; occorre quindi decidere le soluzioni migliori, sapendo che non facile prevedere come e quanto le soluzioni saranno efficaci, perch le dinamiche sono complesse e imprevedibili. Occorre immaginare come la decisione si riverbera sul lavoro degli operatori, quanto sar applicabile, come verificarlo e come monitorare lefficacia delle soluzioni. In questa fase fondamentale ascoltare coloro che saranno interessati dalle decisioni, perch nuove barriere portano con s altra variet, e quindi altri potenziali segnali deboli. Sentendo il punto di vista degli operatori possibile anticipare gli effetti delle decisioni sulla linea operativa. In aggiunta, sarebbe auspicabile che le decisioni fossero prese insieme agli operatori che le dovranno applicare, perch la motivazione a rispettare le decisioni sarebbe intrinseca, cio fondata su bisogni e valori interni alle persone e non solo estrinseca, imposta dallesterno grazie al potere istituzionale. Se le decisioni saranno accettate e praticate, e col tempo diverranno parte integrante del lavoro, si sar tornati al livello Skill. Pronti per cercare nuova variet e ricominciare il ciclo. Leadership: per quanto possa sembrare specifica del livello organizzativo, questa competenza non collocabile ad uno specifico livello della matrice, ma potrebbe invece essere vista come il motore che avvia e sostiene la circolazione delle informazioni. Si tratta della leadership di chi crede nella resilienza e nel potere del gruppo di lavoro come base da cui nasce la sicurezza. Essa facilita la cultura della sicurezza, stimolando una cultura dellapprendimento, della flessibilit, del reporting, una cultura giusta orientata alla condivisione delle informazioni, che consapevole delle differenze tra lavoro progettato e lavoro realmente eseguito. Sa dove si spinge il sistema, sa quali derive si stanno subendo e cerca di controllarle. una leadership non autoritaria, n passiva. Sa proporre con fermezza la sicurezza come impegno di tutti, d a tutti un posto in questa ricerca di risonanza virtuosa. Facilita il sistema verso la resilienza, sa adottare quella necessaria immaginazione, si mette in discussione e accetta punti di vista scomodi. la leadership di chi pensa al sistema, ma vede le persone, di chi si fa carico di dare un senso alle attivit. Si preoccupa che il senso attribuito alle attivit sia funzionale al disegno dellorganizzazione, dove la sicurezza non sia un orpello aggiunto per legge, ma un valore imprescindibile, un modo di essere. la leadership di chi convinto che la sicurezza nei sistemi complessi sia una questione altrettanto complessa e che possa nascere solo da strategie complesse

8. un modello per la promozione della resilienza

che vedono coinvolti tutti gli elementi del sistema e valorizzati nelle rispettive competenze, perch questo non-evento dinamico possa emergere dallinterazione virtuosa dei suoi componenti. una leadership che ha capito che la sicurezza non si vede, non si installa, n si misura, ma si promuove dallinterno.

9 Conclusioni

Questo libro nato per fornire materiali di riflessione su come promuovere la sicurezza nei sistemi complessi. La parola promozione non casuale. Fa riferimento al movimento in avanti (pro-movere), al far progredire, allo stimolare, provocare un cambiamento, ma anche al far salire di livello, al dare dignit a qualcuno o qualcosa. La sicurezza si pro-muove, perch nasce, emerge, dal movimento imposto dai comportamenti coordinati di molte persone in interazione con un ambiente tecnologico, normativo, sociale. un movimento che deriva dalla fluida circolazione lungo la matrice della resilienza, vista nel cap. 8. anche un movimento che nasce dalla stimolazione degli elementi costitutivi, dallintervento facilitante di una leadership sensibile alla sicurezza proattiva, che in grado di far vibrare gli elementi in modo virtuoso. Essendo movimento, se ne intuisce la natura dinamica: non uno stato, ma un processo che pu fluttuare, conoscere momenti di rapida accelerazione e momenti di resistenza al cambiamento. Infine, la promozione rimanda allidea di gratificazione, di elevazione di livello e di dignit. un modo per dare importanza alle persone e alla loro salute e benessere nei luoghi di lavoro, per dare dignit al loro impegno per la sicurezza e per il miglioramento del sistema nel suo complesso. Abbiamo visto che la sicurezza nei sistemi socio-tecnici complessi richiede ladozione di nuovi punti di vista, perch occorre superare approcci nati per indagare sistemi di natura diversa rispetto agli attuali. I sistemi moderni sono caratterizzati da forte interconnessione e scarsa controllabilit, sono sistemi dove le variabilit (le forze entropiche, secondo una terminologia delle teorie dei sistemi complessi) sono elevate e non possibile controllare tutto mediante procedure, regole e automazione. In questi sistemi la variabilit degli elementi attivi pu risuonare in modo tale da generare anomalie che, per effetto della stretta interconnessione, si

promuovere la sicurezza

riverberano in tutto il sistema e divengono incidenti. La variabilit, quindi, potrebbe sembrare nemica della sicurezza, se la vedessimo solo come fonte di risonanza e di incidenti. La tesi di questo libro che la variabilit pu essere anche la fonte della sicurezza, se gestita in modo opportuno. Dando potere alle persone, rendendole sensori di variet e mettendo in circolazione le informazioni sui segnali deboli. Solo cos si possono dare risposte forti ai segnali deboli, solo dando importanza alla variet nelle sue prime fasi di sviluppo, nel comportamento degli operatori e nei loro ambienti di lavoro. Ecco giustificato lampio approfondimento sulla nozione di errore umano e sulle dinamiche cognitive sottostanti i comportamenti erronei. Conoscere euristiche e razionalit limitata non significa fare i conti con i nostri difetti, ricadendo nella solita caccia al colpevole, ma significa conoscere la nostra natura e le dinamiche mentali che ci caratterizzano. Progettando barriere, contesti, procedure, quindi opportuno conoscere i margini di variabilit umana, affinch questi non entrino in risonanza con le caratteristiche dei contesti operativi e portino allincidente. Ci definiamo limitati solo comparandoci a un elaboratore elettronico, a una macchina o a un sistema perfettamente logico e razionale; noi non lo siamo non perch manchevoli, ma perch diversi. La sicurezza che nasce dalle persone punta sulla loro variabilit, sulla loro sensibilit nel notare segnali deboli, abilit che nessuna macchina saprebbe emulare. Non facile dare importanza alla variet quando sotto forma di segnali deboli, perch nascosta nelle operativit quotidiane e rischia di essere trascurata per dare priorit alle urgenze che spesso avviluppano le organizzazioni. Ma la saggezza nasce anche dal saper distinguere le cose importanti dalle cose urgenti, perch se le cose urgenti hanno sempre il sopravvento, le cose importanti saranno trascurate. La sicurezza una cosa importante che auspicabile non diventi mai urgente, perch se lo fosse potrebbe essere gi compromessa. bene che la sicurezza resti una cosa importante, che non si d per scontata solo perch non la si vede o non la si misura. Lesperimento del gorilla dimostra che spesso non vediamo informazioni che sono davanti ai nostri occhi, solo perch non siamo pronti a coglierle. Questo libro ha voluto fornire degli strumenti per vedere queste informazioni e farle risuonare in modo virtuoso. Per poterle vedere occorre essere pronti, perch non basta sapere che ci sono, occorre anche saperle cogliere e gestire. Non basta dare potere di parola agli elementi del sistema, bisogna sapere come farli parlare senza produrre una babele di parole. Prendiamo a prestito dalla mitologia greca unimmagine che ben descrive

9. conclusioni

questa condizione. Il tempo un concetto che stato rappresentato in due forme: Chronos, come tempo cronologico, flusso lineare e ordinato degli eventi, e Kairos, il tempo del momento opportuno, il momento in cui accade qualcosa di speciale. Esso rappresenta unapertura temporanea e fugace attraverso la quale, se colta, vi un passaggio verso stati superiori di realizzazione. Vediamo una rappresentazione del Kairos nella fig. 9.1. Come si vede, Kairos un dio alato e ha anche le ali ai piedi; esso corre veloce e non facile vederlo. Ma il particolare pi curioso della sua iconografia il lungo ciuffo di capelli sulla fronte, a dispetto di una nuca completamente calva. Questo significa che il momento opportuno non si pu afferrare quando lo si vede sfrecciare davanti ai propri occhi, perch le nostre mani scivolerebbero sulla nuda pelle della nuca. Lunico modo per cogliere questo tempo dellopportunit saperlo anticipare, vederlo arrivare e prepararsi ad afferrarlo per la fronte, prendendo quel ciuffo che gli fluttua davanti al viso.
figura

9.1 Una rappresentazione del Kairos scolpito da Lisippo (Museo dellAntichit, Torino)

promuovere la sicurezza

Non questo un libro sulla mitologia greca e le interpretazioni potrebbero essere imprecise. Ma ci che importa di questo mito il suo potere comunicativo, estremamente attuale e pertinente col tema della sicurezza. Non possiamo parlare di sicurezza e promuoverla se aspettiamo che ci passi davanti lopportunit. Essa va attesa, va preparata. La sicurezza va vista in anticipo con gli occhi pronti di chi sa che il tempo per promuoverla un tempo fugace ed effimero. fatto di tanti momenti apparentemente banali, che formano le giornate nei luoghi di lavoro, un tempo in cui la deriva potrebbe essere in atto e andrebbe colta prima del disastro. Bisogna sapere dove guardare e cosa guardare, altrimenti i segnali deboli, i Kairos, i gorilla, la variet (tutti sinonimi), passeranno davanti ai nostri occhi e la finestra del tempo giusto per la resilienza sar chiusa. Il concetto di opportunit potrebbe essere ambiguo, perch il mito di Kairos non significa che dobbiamo cogliere tutte le opportunit. Allo stesso modo abbiamo detto che sarebbe impossibile dare rilevanza a tutti i segnali deboli. Non esiste il tempo giusto in assoluto, cos come non esiste il segnale opportuno in assoluto. Il tempo giusto, opportuno, in base a chi lo sta cogliendo, alla sua natura, alle sue aspettative, bisogni, risorse. I segnali deboli sono rivelatori di variet e di resilienza in base allo specifico sistema. Ecco perch non abbiamo elencato i segnali deboli da notare, non sarebbe stato un elenco utile per altri se non per chi ha il punto di vista di chi lo scrive. Pi che elencare i segnali deboli, il volume ha avuto lambizione di indicare come cercarli e come gestirli, ma ogni sistema ha la sua storia, le sue dinamiche, i suoi segnali deboli. Ecco il senso della convinzione che la sicurezza nasce da dentro. Non sopra, non fuori, non sotto, n davanti, n dietro le persone. La sicurezza dentro i sistemi, negli occhi di chi la cerca, nella forza di chi la pro-muove.

Bibliografia

aci-istat

(2012), Rapporto incidenti stradali 2011, in http://www.aci.it/fileadmin/ documenti/notizie/Comunicati/Incidenti_ 2011 _Rapporto_ aci _ istat .pdf (consultato il 5 gennaio 2013). adamski a. j., westrum r. (2003), Requisite Imagination: The Fine Art of Anticipating what Might go Wrong, in E. Hollnagel (ed.), Handbook of Cognitive Task Design, Lawrence Erlbaum Associates, Hillsdale (nj). adebisi o., sama g. n. (1989), Influence of Stopped Delay on Driver Gap Acceptance Behavior, in Journal of Transportation Engineering 3, 115, pp. 305-15. alderson d. l., doyle j. c. (2010), Contrasting Views of Complexity and their Implications for Network-centric Infrastructures, ieee Transactions on Systems, Man and Cybernetics Part A: Systems and Humans, 40, 4, pp. 839-52. amalberti r. (2001), The Paradoxes of Almost Totally Safe Transportation Systems, in Safety Science, 37, pp. 109-26. ansv (2008), Incidente occorso allaeromobile atr 72, marche ts-lbb, ammaraggio al largo di Capo Gallo (palermo) 6 agosto 2005, relazione finale dinchiesta. baron j., hershey j. c. (1988), Outcome Bias in Decision Evaluation, in Journal of Personality and Social Psychology, 54, 4, pp. 569-79. bertlanffy l. von (1968), General System Theory: Foundations, Development, Applications, George Braziller, New York (rev. ed. 1976). bisio c. (2009), Psicologia per la sicurezza sul lavoro. Rischio, benessere e ricerca del significato, Giunti-os, Firenze. bowie p., pringle m. (2008), Significant Event Audit. A Guidance for Primary Care Teams, National Patient Safety Agency, London. bracco f. (2005), Approccio sistemico alla sicurezza nelle organizzazioni complesse: i sistemi ad alta affidabilit, in Ticonzero, 61, pp. 1-12. bracco f., bruno a., sossai d. (2011), Improving Resilience through Practitioners Well-being: An Experience in Italian Health-care, in E. Hollnagel, E. Rigaud, D. Besnard (eds.), Proceedings of the Fourth Symposium on Resilience Engineering, Presses des Mines, Paris, pp. 43-9. bracco f., cipresso p., villamira m. a. (2009), Lerrore. Umano, troppo umano, in M. A. Villamira, F. Bracco (a cura di), Comunicare, Franco Angeli, Milano.

bibliografia

bracco f., gianatti r., pisano l.

(2008), Resilience Engineering in Emergency Room Operations: A Theoretical Framework, in E. Hollnagel, F. Pieri, E. Rigaud (eds.). Proceedings of the Third Resilience Engineering Symposium, cole des Mines de Paris, Paris, pp. 19-25. brennan t. a. et al. (1991), Incidence of Adverse Events and Negligence in Hospitalized Patients-results of the Harvard Medical Practice Study, in New England Journal of Medicine, 324, pp. 370-6. campbell r. d., bagshaw m. (2004), Human Performance and Limitations in Aviation, Wiley-Blackwell, New Jersey. catino m. (2006), Da Chernobyl a Linate. Incidenti tecnologici o errori organizzativi?, Bruno Mondadori, Milano. chabris c. f., simons d. j. (2009), The Invisible Gorilla, and Other Ways Our Intuitions Deceive Us, Crown Publishing Group, New York. chapman l. j., chapman p. (1967), Illusory Correlation as an Obstacle to the Use of Valid Psychodiagnostic Signs, in Journal of Abnormal Psychology, 74, 3, pp. 271-80. chialastri a. (2011), Human Factor, ibn, Roma. chialastri a., pozzi s. (2008), Resilience in the Aviation System, in M. D. Harrison, A. Sujan (eds.), Computer Safety Reliability, and Security, 27th International Conference, safecomps 2008, Newcastle upon Tyne (uk), September 22-25, pp. 86-98. corning p. a. (2002), The Re-emergence of Emergence: A Venerable Concept in Search of a Theory, in Complexity, 7, 6, pp. 18-30. damasio a. (1995), Lerrore di Cartesio. Emozione, ragione e cervello umano, Adelphi, Milano. dekker s. w. a. (2005), Ten Questions about Human Error, Lawrence Erlbaum Associates, Mahwah (nj). id. (2007), Just Culture. Balancing Safety and Accountability, Ashgate, London. id. (2011), Drift Into Failure. From Hunting Broken Components to Understanding Complex Systems, Ashgate, London (trad. it. Sicurezza e pensiero sistemico, Hirelia Edizioni, Milano 2013). di nocera f. (2004), Cos lergonomia cognitiva, Carocci, Roma. endsley m. r., bolte b., jones d. g. (2003), Designing for Situation Awareness: An Approach to Human-centered Design, Taylor and Francis, London. endsley m. r., garland d. j. (eds.) (2000), Situation Awareness Analysis and Measurement, Lawrence Erlbaum Associates, Mahwah (nj). fischhoff b. (1975), Hindsight Foresight: The Effect of Outcome Knowledge on Judgement under Uncertainty, in Journal of Experimental Psychology: Human Perception and Performance, 1, 3, pp. 288-99. fischhoff b., beyth r. (1975), I Knew it Would Happen Remembered Probabilities of Once-future Things, in Organizational Behaviour and Human Performance, 13, pp. 1-16. flinn r., oconnor p., crichton m. (2008), Safety at the Sharp End. A Guide to Non-

bibliografia

technical Skills, Ashgate, London (trad. it. Il front-line della sicurezza. Guida alle Non-technical skills, Hirelia Edizioni, Milano 2012). fraser j. m., smith p. j., smith j. w. (1992), A Catalog of Errors, in International Journal of Man-Machine Studies, 37, 3, pp. 265-307. frenkel a., graydon-baker e., neppl c., simmonds t., gustavson m., gandhi t. k. (2003), Pateint Safety Leadership Walkrounds, in Joint Commission Journal on Quality and Patient Safety, 29, 1, pp. 16-26. gain working group (2005), A Roadmap to a Just Culture: Enhancing the Safety Environment, in Flight Safety Digest, 24, 3, pp. 1-34. gpiaa (2004), All Engines-out Landing Due to Fuel Exhaustion Air Transat Airbus A330-243 marks c-gits Lajes, Azores, Portugal 24 August 2001 (Accident Report) (22/accid/gpiaa/2001), Ministero delle Opere Pubbliche, dei Trasporti e delle Comunicazioni, Portogallo. hawkins f. h. (1987), Human Factors in Flight, Ashgate, London (ii ed.). heinrich h. w. (1931), Industrial Accident Prevention: A Scientific Approach, McGraw-Hill, New York. heinrich h. w., petersen d., roos n. (1980), Industrial Accident Prevention: A Safety Management Approach, McGraw-Hill, New York (v ed.). hobbs a. h. (2008), Human Performance Culpability Evaluations, in White Paper, University of Tennessee-Knoxville, Battelle. hoch s. j., lowenstein g. f. (1989), Outcome Feedback: Hindsight and Information, in Journal of Experimental Psychology: Learning, Memory and Cognition, 15, 4, pp. 605-19. holden r. j. (2009), Peolple or Systems? To Blame Is Human. The Fix is to Engineer, in Professional Safety, 12, pp. 34-41. hollnagel e. (1993), The Phenotype of Erroneous Actions, in International Journal of Man-Machine Studies, 39, pp. 1-32. id. (2004), Barriers and Accident Prevention, Ashgate, London. id. (2005), The Natural Unnaturalness of Rationality, in J. M. C Schraagen (ed.), Proceedings of the Seventh International ndm Conference, Amsterdam, June. id. (2008), The Changing Nature of Risks, in hfesa Journal, Ergonomics Australia, 22, 1, pp. 33-46. id. (2009), The etto Principle. Efficiency-Thjroughness-Trade-Off, Ashgate, London. id. (2012), fram, the Functional Resonance Analysis Method: Modeling Complex Socio-technical Systems, Ashgate, London. hollnagel e., pruchnicki s., woltjer r., etcher s. (2008), Analysis of Comair Flight 5191 with the Functional Resonance Accident Model, 8th International Symposium of the Australian Aviation Psychology Association, Sydney, 8-11 aprile. hollnagel e., woods d. d., leveson n. (2006), Resilience Engineering, Ashgate, London. huang j. l., ford j. k. (2012), Driving Locus of Control and Driving Behaviors:

bibliografia

Inducing Change through Driver Training, in Transportation Research Part F: Traffic Psychology and Behaviour, 15, 3, pp. 358-68. hunter d. r. (2002), Development of an Aviation Safety Locus of Control Scale, in Aviation, Space, and Environmental Medicine, 73, 12, pp. 1184-8. icao international civil aviation organisation (1993), Human Factors Digest No 7: Investigation of Human Factors in Accidents and Incidents, Circular 240an/144, icao, Montral. jones e. e., nisbett r. e. (1971), The Actor and the Observer: Divergent Perceptions of the Causes of Behavior, General Learning Press, New York. jones j. w., wuebker l. (1985), Development and Validation of the Safety Locus of Control Scale, in Perceptual and Motor Skills, 61, pp. 151-61. idd. (1993), Safety Locus of Control and Employees Accidents, in Journal of Business and Psychology, 7, pp. 449-57. kahneman d. (2011), Thinking Fast and Slow, Farrar, Straus and Giroux, New York. kahneman d., tversky a. (1982), The Simulation Heuristic, in D. Kahneman, P. Slovic, A. Tversky (eds.), Judgment under Uncertainty: Heuristics and Biases, Cambridge University Press, Cambridge, pp.201-8. kahneman d., tversky a., slovic p. (eds.) (1982), Judgment under Uncertainty: Heuristics & Biases, Cambridge University Press, Cambridge. klayman j., ha y. w. (1987), Confirmation, Disconfirmation and Information in Hypothesis Testing, in Psychological Review, 94, 2, pp. 211-28. klein g. a. (1999), Sources of Power: How People Make Decisions, The mit Press, Cambridge (ma). kohn l. t., corrigan j. m., donaldson m. (eds.) (1999), To Err is Human: Building a Safer Health System, Institute of Medicine, Washington dc. leape l., lawthers a. g., brennan t. a. (1993), Preventing Medical Injury, in Quality Review Bulletin, 19, 5, pp. 144-9. leveson n. (2003), A New Approach to System Safety Engineering, Aeronautics and Astronautics, Massachusetts Institute of Technology, Cambridge (ma). id. (2004), A New Accident Model for Engineering Safer Systems, in Safety Science, 42, pp. 237-70. luxhj j. t., kauffeld k. (2003), Evaluating the Effect of Technology Insertion into the National Airspace System, The Rutgers Scholar, 3. luxhj j. t., maurino m. (2001), An Aviation System Risk Model (asrm) Case Study: Air Ontario 1363, The Rutgers Scholar, 5. maturana h., varela f. (1980), Autopoiesis and Cognition: The Realization of the Living, Kluwer, Boston. miller d. t., ross m. (1975), Self-serving Biases in the Attribution of Causality: Fact or Fiction?, in Psychological Bulletin, 82, 2, pp. 213-25. ministero delle infrastrutture e dei trasporti (2011), Lincidentalit nella navigazione marittima negli anni 2001-2010, Ministero delle Infrastrutture e dei Trasporti, Direzione generale per il Trasporto marittimo e per vie dacqua interne, Divisione 4 Sistemi di gestione integrati.

bibliografia

(1987), Internality and Externality as Correlates of Involvement in Fatal Driving Accidents, in Journal of Applied Psychology, 72, pp. 339-43. norman d. a. (1990), La caffettiera del masochista. Psicopatologia degli oggetti quotidiani, Giunti, Firenze. ntsb (1973), Eastern Airlines, Inc, L-1011, N310EA, Miami, Florida, December 29, 1972, ntsb (report number aar-73/14), June 14, 1973, Washington dc. id. (1996), Safety Recommendation A-96-141, Washington dc. id. (2001a), Aircraft Accident Report. Runaway Overrun during Landing. American Airlines Flight 1420, Washington dc. id. (2001b), Loss of Control and Impact with Pacific Ocean Alaska Airlines Flight 261 McDonnell Douglas md-83, N963AS About 2.7 Miles North of Anacapa Island, California, January 31, 2000, Washington dc. oneill b., williams a. (1998), Risk Homeostasis Hypothesis: A Rebuttal,in Injury Prevention,4, 2, pp. 92-3. ozkan t., lajunen t. (2005), Multidimensional Traffic Locus of Control Scale (t-loc): Factor Structure and Relationship to Risky Driving, in Personality and Individual Differences, 38, pp. 533-45. perrow c. (1984), Normal Accidents: Living with High Risk Technologies, Basic Books, New York. pettigrew t. f. (1979), The Ultimate Attribution Error: Extending Allports Cognitive Analysis of Prejudice, in Personality and Social Psychology Bulletin, 5, 4, pp. 461-76. rasmussen j. (1983), Skills, Rules, Knowledge. Signals, Signs, and Symbols, and Other Distinctions in Human Performance Models, in ieee Transactions on Systems, Man and Cybernetics, 13, pp. 257-66. id. (1985), The Role of Hierarchical Knowledge Representation in Decision Making and System Management, in ieee Transactions on Systems, Man and Cybernetics, 15, pp. 234-43. id. (1990), Mental Models and the Control of Action in Complex Environments, in D. Ackermann, M. J. Tauber (eds.), Mental Models and Human-Computer Interaction 1, Elsevier Science Publishers, North-Holland, pp.41-6. id. (1997), Risk Management in a Dynamic Society. A Modeling Problem, in Safety Science, 27, 2-3, pp. 183-213. rausand m., hyland a. (2003), System Reliability Theory: Models, Statistical Methods, and Applications, Wiley, New Jersey. reason j. (1990), Lerrore umano, il Mulino, Bologna. id. (1997), Managing the Risks of Organisational Accidents, Ashgate, London. id. (2008), The Human Contribution. Unsafe Acts, Accidents and Heroic Recoveries, Ashgate, London (trad. it. The Human Contribution. Errori, incidenti e recuperi eroici, Hirelia Edizioni, Milano 2010). reason j., hollnagel e., paries j. (2006), Revisiting the Swiss Cheese Model of Accidents, Eurocontrol, Bruxelles.

montag i., comrey a. l.

bibliografia

(1993), Defining High Reliability Organizations in Practice: A Taxonomic Prologue, in K. H. Roberts (ed.), New Challenges to Understanding Organizations, Macmillan, New York, pp. 11-32. rochlin g., laporte t., roberts k. (1987), The Self-designing High Reliability Organization: Aircraft Carrier Flight Operation at Sea, in Naval War College Review, 40, pp. 76-90. ross l. (1977), The Intuitive Psychologist and his Shortcomings: Distortions in the Attribution Process, in L. Berkowitz, Advances in Experimental Social Psychology, 10, Academic Press, New York, pp.173-220. rotter j. b. (1966), Generalized Expectancies for Internal versus External Control of Reinforcement, in Psychological Monographs, 80, pp. 1-28. sagan s. d. (1993), The Limits of Safety, Princeton University Press, Princeton (nj). savadori l., rumiati r. (2005), Nuovi rischi, vecchie paure, il Mulino, Bologna. idd. (2009), Rischiare, il Mulino, Bologna. seligman m. e. p. (1975), Helplessness: On Depression, Development, and Death, W. H. Freeman, San Francisco. shappell s. a., wiegmann d. a. (2000), The Human Factors Analysis and Classification System (hfacs) (Report Number dot/faa/am-00/7), Office of Aerospace Medicine, Washington dc. idd. (2004), hfacs Analysis of Military and Civilian Aviation Accidents: A North American Comparison, in isasi, pp. 1-8. simon h. (1957), A Behavioral Model of Rational Choice, in Id. (ed.), Models of Man, Social and Rational: Mathematical Essays on Rational Human Behavior in a Social Setting, Wiley, New York. simons d. j., chabris c. f. (1999), Gorillas in our Midst: Sustained Inattentional Blindness for Dynamic Events, in Perception, 28, pp. 1059-74. slovic p. (ed.) (2000), The Perception of Risk, Earthscan, London. strack f., mussweiler t. (1997), Explaining the Enigmatic Anchoring Effect: Mechanisms of Selective Accessibility, in Journal of Personality and Social Psychology, 73, 3, pp. 437-46. thorndike e. l. (1898), Animal Intelligence: An Experimental Study of the Associative Processes in Animals, in Psychological Monographs, 8, 1911, pp. 1-109. tsb transportation safety board (1998), Investigation Report A98H0003, Governement of Canada. turing a. m. (1947), Lecture to the London Mathematical Society on 20 February 1947, in B. E. Carpenter, R. W. Doran (eds.), A. M. Turings ace report of 1946 and other papers, The mit Press, Cambridge (ma). vanderbilt t. (2008), Trafficologia, Rizzoli, Milano. vaughan d. (1996), The Challenger Launch Decision: Risky Technology, Culture and Deviance at nasa, University of Chicago Press, Chicago. vincent c. et al. (1998), Framework for Analysing Risk and Safety in Clinical Medicine, in British Medical Journal, 316, pp. 1154-7.

rochlin g.

bibliografia

walton d., bathurst j.

(1998), An Exploration of the Perceptions of the Average Drivers Speed Compared with Perceived Driver Safety and Driving Skill, in Accident Analysis & Prevention, 30, pp. 821-30. wasielewski p., evans l. (1985), Do Drivers of Small Cars Take Less Risk in Everyday Driving?, in Risk Analysis, 5, 1, pp. 25-32. weick k. e., sutcliffe k. m. (2001), Managing the Unexpected. Assuring High Performance in an Age of Complexity, Jossey-Bass, San Francisco. idd. (2007), Managing the Unexpected: Resilient Performance in an Age of Uncertainty, Jossey-Bass, San Francisco. weick k. e., sutcliffe k. m., obstfeld d. (1999), Organizing for High Reliability: Processes of Collective Mindfulness, in R. S. Sutton, B. M. Staw (eds.), Research in Organizational Behavior, vol. 1, jai Press, Stanford, pp. 81-123. weinstein n. d. (1989), Optimistic Biases about Personal Risks, in Science, 246, pp. 1232-3. wickens c. d., hollands j. g. (1999), Engineering Psychology and Human Performance, Prentice Hall, Upper Saddle River (nj). wiegmann d., shappell s. (2003), A Human Error Approach to Aviation Accident Analysis: The Human Factors Analysis and Classification System, Ashgate, London. wildavsky a. (1988), Searching for Safety, Transaction Books, New Brunswick (nj). wilde g. j. s. (1982), The Theory of Risk Homeostasis: Implications for Safety and Health, in Risk Analysis, 2, pp. 209-25. id. (1994),Target Risk, pde Publications, Toronto. woods d. d., dekker s., cook r., johannesen l., sarter n. (2010), Behind Human Error, Ashgate, London. wreathall j. (2006), Properties of Resilient Organizations: An Initial View, in E. Hollnagel, D. D. Woods, N. Leveson (eds.), Resilience Engineering, Ashgate, London.

Potrebbero piacerti anche