La cultura della sicurezza 

di A. Autino


Il calendario dei disastri, che ho messo insieme mediante una ricerca abbastanza casuale sull'internet, copre il periodo dagli anni '70 ad oggi, è ben lontano dal, né aspira ad essere, completo. Ho inteso semplicemente fornire una visione d'insieme, a titolo di esempio, di un certo numero di sconfitte della nostra ingegneria e della nostra tecnologia. Casi in cui chi aveva in custodia un certo numero di vite umane non ha saputo o potuto corrispondere alla fiducia di coloro che gli si erano affidati. Stiamo parlando di 11.355 vittime accertate in poco più di 30 anni, come risulta dalla somma delle persone decedute nelle catastrofi elencate: incidenti aerei, navali, nucleari, ferroviari, industriali. 

Il capitolo della sicurezza, a volerlo trattare a fondo, sarebbe ovviamente molto più ampio: comprende la sicurezza sul lavoro, le morti bianche, che avvengono ancora in numero intollerabilmente alto, anche in epoca post-industriale. Comprenderebbe le malattie professionali, le catastrofi naturali, i morti per delitto, i morti in incidenti automobilistici. E persino gli olocausti bellici rientrerebbero, a ben vedere, in un discorso globale sulla sicurezza. Ma ho deciso di focalizzare questo saggio sugli incidenti che dipendono dalla mancanza o inadeguatezza di sistemi tecnologici.

Non è neppure obiettivo di questo articolo analizzare in quali contesti sociali si verifica la maggior parte degli incidenti. I dati completi per poter eseguire tale analisi probabilmente non saranno mai disponibili, poiché nei paesi dell'ex socialismo reale certe notizie erano accuratamente nascoste, salvo quando non era possibile nasconderle (Chernobyl). E neppure nelle società cosiddette libere tutto viene sempre comunicato agli organi di informazione. 

Ho letto molte critiche alla politica di privatizzazione dei servizi pubblici (in particolare della ferrovia), di cui il Governo della Gran Bretagna è stato precursore. Ma non credo, come ho già avuto modo di dire per altri problemi, che vi sia molta differenza tra la gestione pubblica e la gestione privata. In ambedue i sistemi prosperano infatti due nemici implacabili della cultura e del rispetto della vita umana: la corruzione e la burocrazia. Pubblico e privato (nemici nel teatrino della politica elettorale) sinergizzano a meraviglia, quando si tratta di fare affari sulla pelle dei cittadini. 

Tuttavia sia gli affaristi privati che i burocrati (pubblici e privati) devono rispondere delle loro azioni, e non tanto ai giudici, spesso compiacenti. Costoro, se vogliono continuare a fare i loro affari (più o meno puliti), devono comunque rispondere al mercato. Il mercato è composto dai cittadini, ed i cittadini sono influenzati da forti correnti di opinione, che in certi periodi sembrano vivere di vita propria, tanto potente appare la loro azione. Si dice che persino le lobby petrolifere abbiano dovuto fare i conti, a livello di mercato, con i potenti movimenti d'opinione nati in seguito a catastrofi come quella della Exxon Valdez, che il 24 marzo 1989 rovesciò nel mare dell'Alaska 11 milioni di galloni (42 milioni di litri) di greggio.

E certo, dopo il disastro del Traforo del Monte Bianco, che nel marzo 1999 causò la morte di 39 persone, orrendamente perite tra le fiamme, dopo il più recente incendio nel tunnel del Gottardo, dopo i disastri aerei e ferroviari degli ultimi dieci anni, una domanda di sicurezza potrebbe anche essere in crescita. Certo, si tratterebbe di una domanda in controtendenza, per il periodo storico che stiamo vivendo: si tratterebbe infatti di una domanda di sicurezza per le vite umane, qualcosa che vale oggi, sul mercato, certamente molto meno della natura o dell'ambiente. 

Tuttavia è lecito sperare che, dato il numero elevato delle persone sacrificate, qualcuno cominci finalmente a discostarsi dalla filosofia del sacrificio ancora così pesantemente radicata nella nostra società (si vedano anche i numerosi articoli online su tdf a tale proposito), ed a richiedere una maggior sicurezza per le persone. Certo una simile richiesta ha nemici ideologici in grande quantità, e non si chiamano solo corruzione e burocrazia. Per cominciare chi si risvegliasse a considerare la vita umana un valore dovrebbe anche smettere di considerare la tecnologia una sciagura, e questo non è facile, in una società dove lo sviluppo tecnologico è considerato responsabile dell'80% dei mali e dei pericoli che incombono... sull'umanità? No, sul pianeta e sulla natura, tanto per non scordarci come siamo messi, dal punto di vista filosofico. Altri nemici, meno conosciuti a livello di pubblica opinione, sono l'enorme sottovalutazione della cultura del test, e l'allegra ed incosciente leggerezza con cui si progettano gli impianti di automazione. Tunnel, trasporto aereo, trasporto marittimo, ferrovie, impianti produttivi e qualsiasi impianto funzionante in continuo, sono infatti, dagli anni '80 in qua, operati mediante sistemi di automazione. Forse la gente immagina che, nel mondo della globalizzazione, ovunque ci si muova davvero e sempre sulle frontiere delle possibilità tecnologiche, e che, quando succede un disastro, questo sia sempre imputabile ad errore umano o a problemi tecnologici inevitabili. Questa visione, falsa, può essere ingenerata anche dai continui sviluppi delle tecnologie di comunicazione (telefonia mobile, ecc...). Si finisce col fare l'abitudine alla frontiera, ed a pensare che tutto si uniformi alle regole di una sperimentazione continua. O, in altre parole, abbiamo l'illusione di vivere in una società scientifica.

Ma, attenzione, la nostra vita raramente dipende direttamente dalle tecnologie di comunicazione, mentre spesso dipende, anche a nostra insaputa, dai sistemi di automazione. Abbiamo già analizzato, su tdf, l'evoluzione dell'informatica sulla cresta dell'onda dell'internet e della telefonia, e come questa evoluzione a senso unico sia andata largamente a discapito della cultura dei sistemi di automazione real-time, ad elevate esigenze di determinismo.

A quell'ipotetica domanda di sicurezza ed affidabilità, che mi auguro cresca impetuosa, occorre quindi rispondere in modo adeguato, fornendo per tempo gli elementi di education adeguati. Per ora non abbiamo nulla più che una generica attenzione al problema della sicurezza, che però si risolve ancora in qualche bla bla in più nella scelta dei fornitori, e non arriva a tradursi in budget concreti.
Infatti, continuando ad elencare i nemici della sicurezza e dell'affidabilità dei sistemi di automazione, due spiccano evidenti a chiunque operi nel settore: lo scarico di responsabilità ed il sistema dei costi di progettazione e sviluppo, dei subappalti e dei ricarichi.
Per quanto riguarda la responsabilità, le recenti tragedie hanno causato un ulteriore abbassamento di profilo di coloro che dovrebbero firmare i progetti, e quindi assumersene la responsabilità. A costoro piace soprattutto guadagnare, e molto meno prendersi delle responsabilità. Costoro spendono quindi gran parte del loro tempo a studiare... come scaricare le responsabilità, anziché come progettare impianti sicuri. Il fatto che nessuno voglia prendersi responsabilità rappresenta inoltre un ostacolo enorme per le politiche di test e collaudo: nessuno è più indicato del progettista dell'impianto - conoscitore esperto dei processi fisici da controllare - per stendere le procedure di test di accettazione dell'impianto. Peccato che il progettista-tecnologo in molti casi semplicemente ... non c'è! Non esistendo, il progettista non può avere la responsabilità del progetto né dei test di accettazione dell'impianto finito. Alla faccia di tutti i pretesi standard di qualità, i capitolati non recano titolo, né firma di chi li ha stesi. 

Probabilmente le persone ragionevoli pensano che, quando si tratta di impianti ad elevata esigenza di sicurezza, siano chiamati ricercatori e professori universitari, a fungere da esperti e coordinatori di progetto. È vero del resto che, in genere, far ragionare i professori sui budget e sui tempi di sviluppo è molto difficile: si finirebbe per moltiplicare i costi almeno di un fattore 10. Inoltre i professori amano i voli pindarici, e spesso le loro relazioni hanno contenuti scientifici poco pertinenti, rispetto agli obiettivi di commessa, con conseguente dilatazione dei tempi. Quindi, a parte pochi casi di rilevanza internazionale (si sa ad esempio che, per il nuovo tunnel del Monte Bianco è stato coinvolto il prof. Rubbia), le università ed i centri di ricerca sono esclusi a priori. Chi fa, dunque, il progetto? Lo fanno i fornitori, ognuno per la sua parte di competenza. Detta così sembra quasi una cosa ragionevole, invece non lo è affatto.

La progettazione di un qualsiasi impianto complesso deve necessariamente avvalersi di diverse competenze, almeno: 

a) un esperto del processo fisico (o dei processi fisici) da controllare, 
b) un fornitore esperto di sistemi di automazione (meglio se con qualche esperienza nel settore specifico), 
c) fornitori esperti delle parti e dei dispositivi d'impianto. 

L'esperto a) deve:

1. produrre la specifica funzionale (o documento dei requisiti utente) e la procedura di test di accettazione; 
2. rispondere a tutte le domande di chiarimento dei requisiti utente;
3. fungere da coordinatore del progetto, validandone i documenti ed i disegni esecutivi;
4. controllare lo sviluppo dei diversi work package;
5. presenziare ai test di collaudo di accettazione dell'impianto ad installazione ultimata, e mettere la propria firma sui documenti di collaudo.

In mancanza di tale coraggiosa figura, le imprese appaltatrici (in genere imprese di opere civili, che non hanno alcuna competenza tecnica in materia di automazione e di impianti) procedono come segue. Per prima cosa fanno la gara per il sistema di automazione: le grandi case fornitrici di hardware e sistemi (PLC, piattaforme sw di supervisione, ecc...), pur di prendere l'ordine, si presentano come esperti del processo fisico da controllare, oltrechè del loro specifico (i sistemi di automazione). La cosa a volte è quasi vera, se il fornitore ha visto parecchi casi in uno stesso contesto tecnologico. Più spesso è come se un produttore di dischi di musica classica pretendesse di saper dirigere l'orchestra. Allo studio tecnico di turno non pare vero: avrà la bozza di capitolato pronta, potendo dimostrare che non ne è l'originatore! Con questa bozza in mano si fa fare offerte dai fornitori degli impianti, ognuno dei quali è ben contento di sfoggiare la sua grande competenza del suo particolare processo fisico (strumenti di misura, radar, centraline di controllo, ecc...). L'impresa non ha alcuna difficoltà a scegliere i fornitori, pur non avendo competenze specifiche: sceglie in base al prezzo più basso. Alla fine impresa e studio tecnico si trovano ad avere in mano un capitolato completo. 

In realtà il capitolato è un guazzabuglio, un collage di diverse offerte che nessuno si è curato di standardizzare, di rielaborare per trarne un documento progettuale organico e coerente. Ma neppure questo è un problema: quanto più incomprensibile e contraddittorio è il capitolato, tanto più difficile sarà poter addossare a chi lo ha steso la responsabilità dei requisiti.

Ma allora, si chiederà a questo punto la persona ragionevole che ci ha seguito fin qui, come fanno poi gli impianti, nonostante tutto a funzionare??!? È vero, cari amici, gli impianti in genere funzionano, e la gente ci lascia la pelle solo ogni tanto, e non continuamente, come si potrebbe supporre. Questo dipende dalla normale capacità dei tecnici di fare miracoli. Il tecnico italiano (parlo della realtà che conosco meglio) è cresciuto arrangiandosi. Se vede che non c'è un coordinatore di progetto, e che il progetto fa acqua da tutte le parti, guardalo bene in faccia: lo vedrai serrare un po' la mascella, aggrottare la fronte, magari imprecare, e poi impegnarsi. Così escono quotidianamente le soluzioni, reinventate, decine e centinaia di volte: la cosa straordinaria è che quasi sempre poi funzionano. Anche le procedure di test vengono -- a volte bene a volte male -- inventate dai tecnici. Molto, a dispetto di tutte le metodologie di qualità tanto vantate, è lasciato alla buona volontà dei singoli tecnici e softwaristi. Tutta la catena di fornitura che sta al di sopra lo sa bene, e ne approfitta a mani basse, intascando lauti ricarichi e scaricando le responsabilità.

Adesso io le cose, come stanno, ve le ho dette. La chiave del miglioramento sta, come spesso succede, "nel manico". Occorre un piccolo ma fondamentale cambiamento di mentalità: cominciare a considerare che la vita umana è il valore supremo, che la vita dipende dall'affidabilità e sicurezza della tecnologia, e quindi la sicurezza merita un budget specifico (oggi per lo più negato). Se si entra in questo ordine di idee forse si potranno poi trovare anche metodi per suddividere il carico di responsabilità che grava sugli impianti ad elevata esigenza di affidabilità e sicurezza.


In tema di Affidabilita` e Sicurezza dei sistemi e del software si veda anche:


[004.AA.TDF.1/2002 - 12.01.2002]