8 aprile 2013
Errore umano e sicurezza tecnologica
Quanto e come sbaglia una persona? E’ possibile determinare, in modo sufficientemente preciso, un parametro che specifichi l’affidabilità umana nell’esecuzione di un dato compito? Tali tipologie di domande si sono poste in settori nei quali era necessario determinare in modo oggettivo l’affidabilità di processi particolarmente pericolosi e a rischio (es. settore aeronautico, nucleare, chimico, ecc.). Sono tuttavia presenti limitazioni e difficoltà, nelle risposte, che includono almeno i seguenti aspetti:
- il comportamento umano è complesso e non si presta a essere descritto come un semplice componente di un sistema elettromeccanico. La prestazione umana, a fronte di una sollecitazione esterna, può essere influenzata da fattori sociali, ambientali, psicologici, organizzativi e fisici difficilmente classificabili;
- l’azione umana non si può considerare esclusivamente in modo binario (successo o guasto), come in un sistema hardware;
- i maggiori problemi che si incontrano nella valutazione dell’affidabilità umana sono relativi ai dati comportamentali in situazioni estreme e/o di emergenza.
Tuttavia, pur tenendo in considerazione i limiti dell’analisi, osserviamo innanzi tutto che è necessaria una sicura distinzione tra i possibili errori che possono essere commessi da un essere umano. Essi si suddividono in quattro tipologie differenti:
- gli slips;
- i lapses;
- i mistakes;
- le violazioni volontarie.
Qui ci occuperemo delle prime tre tipologie di errore, richiedendo la quarta opzione un approfondimento specifico e dedicato. Alla prima categoria, gli slips, appartengono le piccole azioni, frequentemente svolte, che sono eseguite in modo differente da quanto voluto. Alcuni esempi:
- durante la movimentazione con un carroponte di una massa dal peso rilevante, si preme sulla tastiera di comando il tasto “discesa” al posto di quello “salita”;
- si legge, in un pannello di controllo, uno strumento (es. voltmetro) scambiandolo per un altro (es. amperometro);
- agendo su una saracinesca di intercettazione, si aumenta il flusso di liquido all’interno della tubazione invece di intercettarlo.
Tali errori risultano tanto più frequenti quanto meno ergonomicamente sono progettati i posti di lavoro. Misure indispensabili finalizzate ad una loro diminuzione consistono nella chiara ed univoca identificazione di strumenti, apparecchiature e sistemi di comando controllo nonché nell’adozione delle misure tecniche necessarie per rendere difficoltoso l’azionamento accidentale dei comandi stessi.
La seconda categoria, i lapses, sono degli errori di memoria, particolarmente presenti durante fasi di lavoro proceduralizzate . E’ infatti sempre possibile scordarsi alcuni passaggi fondamentali, in un lavoro che richiede più fasi articolate di intervento. Soprattutto se quest’ultimo deve essere realizzato velocemente e senza supervisione. Alcune misure importanti per ridurre l’accadimento di tali errori consiste nell’adozione di checklist operative spuntabili, che permettono di tenere sotto controllo l’avanzamento del processo. A questo proposito esistono almeno due tipologie di checklist operative:
- esecuzione e conferma;
- lettura ed esecuzione.
In entrambi i casi deve essere prevista la casella di spunta, per dare evidenza dell’operazione effettuata. Le checklist non possono essere vaghe o imprecise. I termini opportuno, adeguato, idoneo devono essere banditi da una checklist realmente operativa. La descrizione delle voci non deve essere lunga e non deve proporsi lo scopo di descrivere ogni particolare dell’aspetto trattato. L’utenza alla quale si rivolge è professionale e dovrebbe avere bene presente ciò che si appresta a fare. Devono andare direttamente al punto di verifica ed essere fruibili anche i circostanze di forte stress emotivo. Devono limitarsi a ricordare le azioni più importanti da attuare e il corretto ordine necessario all’esecuzione. Nelle checklist troppo lunghe alcuni passaggi tendono a essere saltati. E’ per questo che, in Boeing, la regola di massima è di realizzare liste di controllo con un numero massimo di voci compreso tra cinque e nove.
L’ultimo tipo di errore, i mistakes, sono essenzialmente scorrette operazioni di diagnosi o di pianificazione. Si conosce l’obiettivo che si vuole raggiungere ma, sbagliando la diagnosi iniziale del problema, si propongono soluzioni errate che non ne permettono la soluzione. Questo è un tipico errore dovuto a carenze di expertise professionale. E’ per questo che la soluzione non può che passare attraverso una maggior qualifica degli operatori (=maggiore informazione, addestramento e formazione) oppure, in alcuni casi complessi, attraverso la discussione delle problematiche in riunioni tecniche specificamente dedicate.
Nell’ambito della valutazione dell’affidabilità umana sono state elaborate, a partire dagli anni ’70, molte metodologie di analisi. Alcune particolarmente complesse e indirizzate al solo ambito nucleare, altre più flessibili e con un campo applicativo più vasto. Si citano, a titolo riepilogativo, le seguenti:
- Ambito nucleare: WASH 1400, THERP, ASEP, SPAR-H, ATHEANA, CREAM, SLIM-MAUD, HRMS, JHEDI, INTENT, CESA, CODA, MERMOS, NARA
- Ambito generico: HEART, APJ, PC, CAHR,
Un’analisi di questi studi porta a concludere che una persona può manifestare differenti “fallibilità” in relazione alla specificità del compito che sta svolgendo. In particolare i tassi di errore umano che quantifica lo storico Rapporto Rasmussen del 1975 denominato WASH 1400 (cfr. nota 1) sono i seguenti:
- eseguire banali calcoli aritmetici porta con sé una fallibilità del 3%;
- la supervisione fatta sull’operatore di altri lavoratori è fallibile nel 10% dei casi, soprattutto all’inizio della verifica;
- l’esame ordinario a vista condotto in assenza di liste di controllo porta con sé un 50% di guasti non rilevati.
Altresì interessanti risultano gli errori che si commettono in condizioni di stress elevato come, per esempio, durante la gestione di un’emergenza in atto. In tali circostanze si evidenziano tassi di errore che, nelle fasi primarie di emergenza, risultano pressoché totali (100%). All’aumentare dell’intervallo dall’inizio dell’emergenza tale indice gradualmente si riduce fino ad arrivare all’1% a diverse ore dall’inizio dell’evento emergenziale.
E’ consuetudine, tra chi si occupa di affidabilità umana, quantificare un tasso di errore per attività generiche pari al 3%. In generale, quindi, risulta confermata la “regola aurea” la quale valuta che ciascuno di noi, mediamente, compia almeno sei errori significativi alla settimana. Errori che, in presenza delle opportune condizioni al contorno, si possono trasformare in incidenti.
Ora che conosciamo le varie tipologie di errore umano passiamo agli esercizi…
Proviamo a:
a) elencare almeno due esempi di slips, due lapses e due mistakes;
b) servendosi dei dati e dei tassi di errore precedentemente indicati, quantifichiamo il numero di sopralluoghi necessario alla valutazione dei rischi presenti in un reparto di una media attività industriale.
c) postare i risultati dei punti a) e b).
ANNOTAZIONI
Nota 1: Il rapporto WASH 1400, pur essendo ora considerato obsoleto, ha costituito per diverso tempo, nonostante le critiche, lo stato dell’arte sulla quantificazione dell’affidabilità dei sistemi di sicurezza implementati nella tecnologia nucleare.
PER APPROFONDIMENTI
Marigo M., La manutenzione di macchine ed impianti. Sicurezza ed affidabilità., EPC, 2012
Smith D. J., Reliability, Maintainability and Risk (VIII Ed.), Butterworth-Heinemann, 2011
WASH 1400 – Download del rapporto integrale
Scritto il 8-4-2013 alle ore 20:32
A completare la biografia (per il design “a prova di errore e dintorni”) consiglio di leggere (per iniziare almeno) La caffettiera del masochista: psicopatologia degli oggetti quotidiani di http://it.wikipedia.org/wiki/Donald_Norman
Scritto il 8-4-2013 alle ore 20:42
Io ci provo (ma ho paura che qualche slip sia mistake o lapse)
Slip
1 – con il miscelatore apro l’acqua calda invece della fredda (meno male che ci vuole un po’ di tempo, altrimenti mi scotto)
2 – in auto, il piede desto lo lascio sull’acceleratore e il sinistro lo uso per frizione e freno… e faccio delle frenate con i fiocchi
Lapse
1 – arrivo al portone di casa, sbaglio di premere il campenello di casa mia e suono a un vicino
2 – su una lista di numeri allo smartphone messi in sequenza sbaglio di premere quello voluto
Mistake
1 – Devo salire in ascensore, vedo che l’ascensore è più in alto del mio piano, premo il pulsante “vieni giù”, mentre convenzionalmente significa “volgio andare su”
2 – C’è un incendio sul macchinario e vado a intervenire con un estintore, non staccando la corrente
Scritto il 8-4-2013 alle ore 20:49
Mi sembra che tutto ciò appartenga alla follia di voler esprimere tutto in termini matematici o pseudo tali.
Seppur ingegnere proprio non ci credo, sia perché non è ancora stato lontanamente risolto il problema di quanto la matematica rappresenti il mondo in cui viviamo, in tutti i suoi aspetti (limiti per x tendente all’infinito, funzioni con punti singolari, derivate ed integrali mi sembra prorpio che non lo rappresentino), sia perchè la matematica si regge su cinque postulati (me ne ricordo uno: il successivo di un numero è un numero) e quindi è una indimostrabile costruzione astratta che può solo servire in alcuni casi riproducibili e testabili (ricordando, però, che lo strumento di misura altera sempre il fenomeno)
Scritto il 8-4-2013 alle ore 21:26
@ Ugo: E’ un bellissimo riferimento quello citato. Certamente da leggere.
A mio (sindacabile) parere, negli esempi che fai ci sono molti slips. E il non togliere la tensione potrebbe pure essere un errore procedurale, ovviamente nel caso sia nota la procedura. Un mistake sull’uso dell’estintore potrebbe essere la scelta di un estintore a CO2 per spegnere un fuoco di solidi.
@ Emilio: ma è il mondo che è folle, Emilio!…
Ad ogni modo, gli aeroplani volano con bassi tassi di incidentalità proprio perché ci si è concentrati anche sull’affidabilità umana. Così come gli impianti complessi, gli impianti di processo, le metodiche chirurgiche e molto altro. Posso concordare sul fatto che analisi FTA, catene di Markov ecc. possono essere parziali e rappresentare solo una parte limitata della “complessità del mondo”. Ma questo non toglie nulla all’esistenza di un consenso diffuso, soprattutto tra ingegneri di processo, relativamente all’affidabilità di tali metodiche per valutazioni condotte in impianti complessi.
Scritto il 8-4-2013 alle ore 22:46
@Ugo, @Marzio
Per farvi invidia vi dico che sono riuscito a recuperare una copia di “Lo sguardo delle macchine”
Consiglierei anche: “Facile da usare” di Roberto Polillo
Scritto il 11-4-2013 alle ore 22:22
Gli ingegneri sembrano comunque essere convinti che sia possibile costruire delle macchine a prova d’errore. In effetti in questo campo sono stati fatti passi da gigante, ma si continua a sottovalutare la diabolicità della mente umana, che ha una insopprimibile tendenza a deragliare. Tendenza senza la quale non sarebbero state possibili molte grandi scoperte, ma che è solitamente causa di guai.
Nel campo aeronautico, per esempio, gli aeromobili sono sempre più sofisticati e, a certi livelli, i computer e i sistemi di automazione si sono via via sostituiti nel compito del pilotaggio e di gestione dei sistemi di bordo.
Eppure le inchieste sugli incidenti di volo rilevano la sempre maggiore incidenza di eventi in cui il processo decisionale ha fallito a dispetto della perfezione delle macchine.
Il fatto è che ogni intervento correttivo su un sistema ne aumenta la complessità, introducendo nuovi rischi, molti dei quali assolutamente non rilevabili a priori.
L’incidente al volo AF 447 ha sollevato non pochi interrogativi in proposito.
Ma, senza voler andare così nel particolare, posso testimoniare, che in ogni incidente, sul lavoro, domestico, stradale, come in ogni altra attività umana, anche senza esser degli investigatori qualificati si possono riscontrare deviazioni da comportamenti, per legge, per consuetudine o anche per comune buon senso, ritenuti sicuri.
il problema dell’errore sta anche molto a monte del diagramma, sta prima dell’operatore finale: sta nel progetto di un sistema, sta nella capacità di comprendere le condizioni del processo (dove sono, dove voglio andare, quale mezzo scegliere fra quelli a disposizione, quale percorso, quali difficoltà potrei incontrare, quali alternative, …), quale è la preparazione necessaria.
Sta anche nella capacità del sistema di tollerare le proprie imperfezioni, d’accettare l’insuccesso quale elemento d’ingresso per migliorare il sistema e non soltanto come un incidente di percorso di cui qualcuno deve rendere conto.
E non è detto che l’azione correttiva debba per forza riguardare la macchina o le procedure d’uso e manutenzione. Forse non è poi così peregrina l’idea che bisogna preoccuparsi di migliorare l’uomo.
Scritto il 11-4-2013 alle ore 23:13
Concordo pienamente con Pietro, aggiungendo una sola postilla.
In molti è invalsa l’opinione che i risultati ottenuti con un software abbiano validità trascendente.
C’è un solo piccolo particolare: nessun software è certificato, con possibili pesanti conseguenze (vedasi, solo per esempio, Windows, bisognoso di continui e numerosi aggiornamenti, qualunque sia la sua versione).
Anche i modesti programmi di calcolo scritti da me, seppur ampiamente testati, ogni tanto davano risultati sorprendenti per motivi che né io, né altri, molto piu bravi di me, siamo riusciti a comprendere.
Quindi,ogni volta che è possibile, un controllo “a mano”, anche in termini semplificati, tanto per avere un ordine di grandezza, è inderogabile.
Certo, alcune volte non si può. Infatti io spero sempre che i sismi siano comprensivi e si attengano ai risultati delle analisi modali.
Scritto il 12-4-2013 alle ore 18:40
Magari fosse possibile costruire macchine a prova d’errore umano, Pietro.
Magari.
Io credo che un qualsiasi progettista con un minimo di conoscenza del proprio lavoro ha bene presente quanto le persone sanno e possono sbagliare. Non è un caso che la direttiva macchine, per esempio, indichi come primo punto da valutare l’uso previsto e L’USO SCORRETTO RAGIONEVOLMENTE PREVEDIBILE della macchina immessa sul mercato. Il progettista deve cioè porsi nell’ipotesi che il proprio prodotto sia utilizzato erroneamente, per esempio facendo attenzione alle scelte comportamentali che privilegiano l’adozione delle LINEE DI MINORE RESISTENZA nell’esecuzione di un dato compito.
Come prevedere l’errore umano nello svolgimento di una data mansione quindi? In Italia forse è difficile, non esiste sufficiente letteratura per formarsi un’idea completa sull’argomento, ma in ambito anglosassone è presente una quantità (quasi) sterminata di manuali e report contenenti analisi dettagliate di incidenti industriali accaduti nel passato, che valutano sia le cause prime sia le cause profonde (Root cause analysis, RCA) di un dato evento incidentale.
Questi strumenti insegnano molto.
Bisogna però studiare.
E parecchio.
Anche perché l’esperienza e la conoscenza diretta di incidenti è sempre limitata dal proprio percorso professionale. Quante volte abbiamo avuto modo di accedere direttamente ai luoghi di un incidente industriale significativo? Cinque, dieci, venti volte? Troppi pochi casi per avere la percezione del reale spettro delle possibilità.
Il passato è sempre un ottimo maestro, quindi, anche, e soprattutto, nel settore del rischio industriale.
Ciò che è già accaduto, se non previsto e adeguatamente posto in sicurezza, accadrà di nuovo, prima o poi.
Purtroppo tale miniera di informazioni di comportamenti scorretti (slips, lapses e mistakes) viene in grande parte persa con l’approccio comunitario alla valutazione del rischio (renano e sud-europeo).
Un approccio che definirei “Cartesiano”.
La valutazione è spesso condotta senza il confronto con lo storico degli incidenti che sono stati indotti da quella data tecnologia, confidando che il metodo di valutazione TOP-DOWN consenta di “catturare” tutti gli aspetti di criticità.
Così non è. Sfugge sempre qualcosa, come postula correttamente Emilio, soprattutto se non si conosce il passato di quella tecnologia.
Concludo con un piccolo estratto dalla prefazione al monumentale “What Went Wrong” di Trevor Kletz (un Maestro nel settore dell’analisi di rischio industriale). L’autore, prima di introdurre il lettore alla moltitudine di possibilità umane d’errore negli impianti di processo descritti nel suo manuale, premette questo: “A high price has been paid for the information in this book: many persons killed and billions of dollars worth of equipment destroyed. You get this information for the price of the book. It will be the best bargain you have ever received if you use the information to prevent similar incidents at your plant.”
La Storia è sempre un’ottima insegnante.
E lo studio della Storia può consentire di evitare una grande parte degli errori umani posti alla base degli incidenti.
Tutti gli errori?
No, purtroppo.
Non tutti.
Scritto il 22-4-2013 alle ore 17:51
[…] Quanto e come sbaglia una persona? E’ possibile determinare, in modo sufficientemente preciso, un parametro che specifichi l’affidabilità umana nell’esecuzione di un dato compito? Tali tipologie di domande si sono poste in settori nei quali era necessario determinare in modo oggettivo l’affidabilità di processi particolarmente pericolosi e a rischio (es. settore aeronautico, nucleare, chimico, ecc.). Sono tuttavia presenti limitazioni e difficoltà, nelle risposte, che includono almeno i seguenti aspetti: Continua qui […]