Resilience Engineering
Per Resilience Engineering (RE) (letteralmente ingegneria della resilienza), si intende il campo di studio multidisciplinare che si occupa di sicurezza nei sistemi complessi. Per sistemi complessi si intendono i sistemi socio tecnici che presentano un grande numero di elementi interdipendenti, la cui interazione reciproca può portare a risultati imprevisti e potenzialmente dannosi dal punto di vista economico, umano e sociale. Sono esempi di questo tipo di sistemi moltissime organizzazioni economiche e politiche, quali il sistema aeronautico, il sistema finanziario, la rete elettrica e il sistema di produzione dell'energia (particolarmente studiato è il campo del nucleare), il sistema di trasporto navale e quello militare.
Le principali discipline che portano il proprio contributo a questo ambito di studio sono la psicologia, la sociologia, l'ingegneria, l'ergonomia, le "safety science".
Definizione
[modifica | modifica wikitesto]La resilienza viene definita dalla Resilience Engineering come la capacità di un sistema di mantenere e riguadagnare uno stato di equilibrio dinamico che permetta il suo funzionamento dopo un incidente o sotto uno stress prolungato[1]. Questa prima definizione è stata poi aggiornata e ampliata per dare maggiore risalto all'aspetto di anticipazione e prevenzione del rischio, quale parte fondamentale della proprietà di resilenza di un sistema. Secondo questa nuova definizione la resilienza è la capacità intrinseca di un sistema di modificare il proprio funzionamento prima, durante e in seguito ad un cambiamento o ad un perturbazione, in modo da poter continuare le operazioni necessarie sia in condizioni previste che in condizioni impreviste [2].
Nella visione tradizionale (safety I), la sicurezza è definita come una condizione che minimizza il numero di esiti negativi. Un'assunzione di questa visione della sicurezza è che sia possibile capire il funzionamento di un sistema analizzandone le sue parti; una seconda assunzione di questo approccio è che sia possibile distinguere le cause di un incidente dalle cause di una performance "normale". L'obiettivo dei sistemi di gestione della sicurezza è quindi quello di ridurre il numero di incidenti riducendone le cause.
L'approccio alla sicurezza che caratterizza la RE, detto Safety II, assume che non sia possibile capire completamente il sistema. Questo approccio non si focalizza unicamente sugli eventi avversi, ma analizza anche le situazioni lavorative quotidiane in cui le cose vanno bene. La sicurezza viene così definita in positivo come una situazione di funzionamento quotidiano efficace, anziché in modo negativo come l'assenza di incidenti. [3].
Questo approccio viene considerato come un nuovo modo per pensare alla sicurezza. A differenza dei classici approcci di risk analysis e gestione del rischio che si basano sulla analisi delle cause adottando un approccio lineare di causa-effetto, la RE adotta una prospettiva che fa riferimento alla Teoria della complessità e mira a rivedere i modelli di analisi per creare processi che siano flessibili e robusti[4]. Come affermato da Perrow, gli incidenti o errori sono intrinseci e connaturati ai sistemi complessi basati su interconnessioni strette[5], ma i malfunzionamenti e gli incidenti non differiscono dal normale funzionamento del sistema, poiché la variabilità nel funzionamento delle sue parti è ineliminabile; ciò che differisce tra un incidente e un funzionamento normale sono le interazioni tra le parti di un sistema: la stessa azione, ad esempio, può portare ad un incidente o meno a seconda della contemporanea presenza di altri fattori concomitanti. È quindi inutile cercare l'azione insicura o la falla nel sistema, in quanto rischia di offuscare il complessivo sistema di relazioni tra gli elementi.
In definitiva quindi, per la RE il risk management non è finalizzato alla riduzione delle fonti di rischio, ma al potenziamento della capacità di ridurre la variabilità della performance sia in condizioni attese che inattese.
Risonanza funzionale
[modifica | modifica wikitesto]La Risonanza funzionale è una caratteristica di un sistema complesso che spiega come gravi conseguenze possano derivare da piccole variazioni nella performance delle sue parti o delle condizioni ambientali in cui esso opera.
La teoria della risonanza funzionale si basa sul principio della risonanza stocastica. Questa è il fenomeno che si manifesta in sistemi non lineari dove un debole segnale può essere amplificato e ottimizzato mediante il contributo del rumore. La performance di ogni parte del sistema viene vista come un segnale variabile, ovvero non sempre portato a termine esattamente nello stesso modo, anche se il funzionamento del sistema nel suo insieme risulta "normale". Ad esempio, guidare l'automobile da casa al lavoro ogni giorno viene fatto seguendo un percorso leggermente diverso (variazioni di traiettoria) o impiegando tempi diversi (variazioni di traffico e/o di velocità), ma il risultato finale è (quasi sempre) raggiungere la destinazione in tempo per timbrare il cartellino. La performance delle singole componenti del sistema può essere leggermente diversa, ma questa variabilità viene tenuta sotto controllo e non innesca una risonanza funzionale.
Quando invece, le piccole variazioni delle singole parti si sovrappongono, possono portare a notevoli conseguenze. Ad esempio, la partenza potrebbe essere leggermente ritardata per via di un problema di salute del guidatore (variazione nella performance dell'essere umano), l'automobile potrebbe avere un guasto alla batteria che richiede un intervento (variazione della performance della tecnologia) e infine potrebbe esserci un traffico maggiore del solito causato da un incidente (variazione ambientale). Queste variazioni, se accadono singolarmente, non costituiscono di per sé una causa sufficiente ad arrivare in ritardo al lavoro, ma quando si presentano tutte contemporaneamente entrano in risonanza funzionale e provocano un risultato negativo (arrivare in ritardo). Il risultato di questi elementi in interazione non è la semplice somma dei singoli effetti, ma questi possono influenzarsi e amplificarsi a vicenda provocando reazioni non lineari.
Maggiore è la complessità di un sistema, maggiore è il numero delle possibili risonanze funzionali, di conseguenza, maggiore è la difficoltà di prevederle e anticiparle.
In un sistema complesso, la relazione tra fattori che contribuiscono alla risonanza e output della stessa è non lineare; questo significa semplicemente che il risultato non è direttamente proporzionale all'input e potrebbe essere immediato (o molto veloce) e inatteso.
Da questo approccio derivano alcuni principi:
- Successo e fallimento (performance normale e incidente) sono equivalenti in quanto essi derivano dalla stessa variabilità delle funzioni o parti del sistema. Lo stesso comportamento può portare ad un incidente o ad un esito accettabile (senza problemi) a seconda delle interazioni che esso ha con le altre parti del sistema. Per questo stesso motivo non ha senso ricercare le cause di un incidente in un solo elemento (spesso viene ricercato nel fattore umano), ma è più utile analizzare il sistema nel suo insieme.
- La variabilità di un sistema e delle sue parti non può essere ridotta a zero, ma vi sarà sempre un certo grado di variabilità, come una sorta di ineliminabile rumore di fondo.
- Il comportamento e il risultato del sistema emerge da una relazione non lineare tra le variabilità della performance delle sue singole parti. Questo significa che l'esito di una certa attività non può essere previsto analizzando solo una parte del sistema e che non può essere imputabile ad un unico elemento.
- Un incidente avviene quando la variabilità delle funzioni del sistema oltrepassa un certo limite di sicurezza a causa della risonanza funzionale delle sue parti.[6]
Caratteristiche di un sistema resiliente
[modifica | modifica wikitesto]La resilienza è una proprietà emergente del sistema, in quanto conseguente dall'interazione tra le sue parti.
Un sistema è considerato resiliente se presenta alcune caratteristiche o capacità:
- Anticipazione: capacità di prevenire i pericoli e modificare il proprio funzionamento per adattarsi ai cambiamenti;
- Monitoraggio: controllo e supervisione della performance del sistema e del suo stato operativo alla ricerca di possibili segnali deboli;
- Reazione: capacità di rispondere immediatamente ai cambiamenti per regolare il funzionamento ed evitare danni maggiori;
- Apprendimento: capacità di imparare dagli eventi passati per aumentare il livello di sicurezza.[7]
Note
[modifica | modifica wikitesto]- ^ Hollnagel, E., D. Woods, and N. Leveson (eds). 2006. Resilience Engineering: Concepts and Precepts. Aldershot, UK: Ashgate Publishing Limited.
- ^ Hollnagel, E. Pariès, J. Woods, D. D. & Wreathall, J. (Eds) (2011). Resilience Engineering Perspectives Volume 3: Resilience Engineering in Practice. Farnham, UK: Ashgate Publishing Limited.
- ^ Hollnagel, E. (2014). Safety-I and Safety-II: The Past and Future of Safety Management. Farnham, UK: Ashgate.
- ^ http://www.resilience-engineering-association.org/
- ^ Perrow, C. 1999. Normal Accidents. Princeton, NJ, USA: Princeton University Press
- ^ Hollnagel, E., Hounsgaard, J., & Colligan, L. (2014). FRAM-the Functional Resonance Analysis Method: A Handbook for the Practical Use of the Method. Centre for Quality, Region of Southern Denmark.
- ^ http://erikhollnagel.com/ideas/resilience-engineering.html
Bibliografia
[modifica | modifica wikitesto]- Dekker, Sydney. (2011). Drift into failure. Farnham, UK: Ashgate Publishing Limited.
Altri progetti
[modifica | modifica wikitesto]- Wikimedia Commons contiene immagini o altri file su resilience engineering