Ho incontrato diversi esempi di sistemi che sono stati attentamente progettati per svolgere un lavoro, ma non ho considerato alcuni degli ambienti e dei contesti in cui il sistema avrebbe dovuto operare. Non sto criticando i progettisti per non aver fatto un’analisi accurata perché non puoi considerare ogni possibile contesto. Tuttavia, sto sbagliando i progettisti per aver deciso di tagliare gli angoli per rendere le cose più semplici – questi erano angoli che non avrebbero dovuto essere tagliati. Di conseguenza, i progettisti hanno imposto vincoli alle persone che gestiscono i sistemi e hanno distorto la loro comprensione di ciò che stava accadendo.
Il primo esempio è l’incidente Air France 447 del 2009. L’aereo è decollato da Rio de Janeiro in Brasile, diretto a Parigi, trasportando 228 passeggeri e membri dell’equipaggio. Non saremo mai certi di cosa sia andato storto, ma ecco il resoconto più plausibile che ho trovato. Mentre l’aeroplano si arrampicava attraverso le nuvole, i cristalli di ghiaccio si formavano sui tubi di Pitot, impedendo all’aeroplano di determinare la sua velocità. Di conseguenza, l’autopilota si è spento.
L’aereo era un Airbus 330, che utilizza l’ultima tecnologia intelligente. I costruttori avevano portato gli equipaggi a credere che fosse impossibile arrestare l’aereo. L’aereo era troppo intelligente e non avrebbe permesso ai piloti di intraprendere azioni non sicure che avrebbero potuto causare uno stallo. E questo era vero finché i sensori funzionavano.
Tuttavia, con l’autopilota disattivato, tutte le scommesse erano disattivate. Ora l’aereo potrebbe entrare in una stalla. Sfortunatamente, il pilota che pilotava apparentemente non lo sapeva (o non gli era mai stato detto). Così ha continuato a salire ripidamente, sentendo un falso senso di invulnerabilità. L’aereo stava infatti salendo così ripidamente, e la sua velocità era così ridotta, che era su una traiettoria per fermarsi.
A un certo punto, i tubi di Pitot sembrano non essere stati congelati, anche se l’autopilota non è tornato. Ora l’aereo percepiva la velocità e identificava la condizione di quasi stallo. Di conseguenza, si è verificato un avviso di stallo. Questo avvertimento acustico confuse il pilot pilot che pensava che l’aeroplano non fosse installabile. Ha continuato a salire.
E poi l’avviso di stallo è andato via !! Perché è andato via? Una speculazione è che la velocità era troppo lenta. Nessuno si aspettava che un aereo di linea volasse così lentamente. L’unica volta che la velocità sarebbe stata così lenta sarebbe stata quando l’aereo stava rullando sul terreno. Non si desidera che gli avvisi di stallo si spengano quando l’aereo è a terra. Quindi una linea di speculazione è che i progettisti avevano imposto un minimo – se la velocità fosse inferiore a questo minimo, gli avvisi di stallo sarebbero stati inibiti. Ed è quello che è successo ad Air France 447. L’avviso di stallo è cessato a causa della bassa velocità. Il pilota volante si è sentito sollevato dal fatto che l’avviso di stallo si è spento e ha preso questo come un buon segno invece di un segno molto inquietante.
Poi un pilota più esperto entrò nella cabina e si rese conto che la configurazione del volo era estremamente pericolosa. Sembra che abbia preso il controllo e ha abbassato il muso per aumentare la velocità. Di conseguenza, gli avvisi di stallo sono tornati! Questo è successo perché la velocità era aumentata oltre il minimo. Ora i piloti erano completamente confusi. Mettere il muso verso il basso (per sfuggire alle condizioni di stallo) li stava facendo urlare dal sistema, ma continuare a salire era assurdo. Mentre cercavano di capire cosa stava succedendo, l’aereo si fermò e cadde nell’oceano. Passarono diversi anni prima che l’aereo fosse localizzato e il registratore di dati di volo potesse essere recuperato.
Nessuno aveva immaginato che un aereo di linea potesse volare così lentamente. Di conseguenza, l’avvertimento di stallo, inteso ad aiutare i piloti a prevenire il pericolo, in realtà li ha aiutati a ucciderli.
Il secondo esempio viene dal libro Horse Soldiers del 2009, sulle forze speciali statunitensi in Afghanistan poco dopo gli attacchi dell’11 settembre. I soldati dovevano essere portati in volo dall’Uzbekistan per collegarsi con guerrieri tribali afgani che combattevano i talebani. I piloti dell’elicottero hanno affrontato diversi problemi nell’esecuzione di questa missione. Uno era il terreno, le montagne che si ergevano in salita fino a 20.000 piedi. I piloti statunitensi erano abituati a volare a 3.000 piedi – a loro, 10.000 piedi sembravano il massimo, ma in Afghanistan, 10.000 piedi erano a bassa quota per alcune delle colline / montagne che dovevano affrontare. Un secondo problema era che i voli dovevano essere condotti di notte, per ragioni di sicurezza; i piloti in realtà preferivano volare oscurati (senza luci all’interno o all’esterno dell’aereo) piuttosto che diventare un bersaglio. Un terzo problema era il tempo – a volte non riuscivano a spaccare il fondo dello strato di nubi che era una sorta di massa di sabbia e neve, sospeso a mezz’aria. Un quarto problema era che la magrezza dell’aria a quell’altitudine (che rendeva difficili le operazioni dell’elicottero) portava all’ipossia – il debito dell’ossigeno. L’elicottero aveva un sistema di respirazione a bordo, con maschere alimentate da bombole di ossigeno, ma sfortunatamente ci fu un’interruzione in quel sistema. Durante il primo volo il pilota principale scoprì il problema mentre osservava il suo copilota e altri che agivano in modo irrazionale. Così ha spento l’aria per tutti a bordo tranne se stesso. Riuscì ad atterrare in sicurezza, ma la complicata disposizione dell’elicottero impedì al personale di manutenzione di riparare la perdita, quindi divenne parte della sfida.
Per questo saggio, la sfida più rilevante era fare un pisolino sulla terra, per eludere il rilevamento – a volte 20 piedi sopra il suolo, spostando un 160 mph, a un’altitudine che a volte raggiungeva 12.000 piedi. Di notte. Fortunatamente, l’elicottero aveva un radar multimodale (MMR) che forniva una capacità di controllo inaspettata che mostrava se l’aereo poteva eliminare qualsiasi affioramento roccioso che potesse trovarsi sul suo percorso. L’MMR ha mostrato al pilota se c’era abbastanza potenza, portanza e velocità per superare la collina successiva. Grazie a Dio per l’MMR.
Tranne il sistema è stato progettato per spegnere oltre 5.000 piedi! La teoria era che sarebbe stato chiaro navigare ad altitudini superiori a 5.000. Allora perché tenerlo in esecuzione, drenare il potere? I progettisti non avevano pensato di volare sulla terraferma nel nord dell’Afghanistan.
Mentre i piloti passavano su ogni cresta, l’MMR si accendeva e spegneva, con messaggi di errore su BAD DATA. Per peggiorare le cose, una volta spento l’MMR ci sono voluti alcuni minuti per riavviarlo. Parla di volare cieco.
Quindi, abbiamo qui un secondo esempio di fallimento dell’immaginazione. Perché mantenere il sistema MMR in esecuzione sopra i 5.000 piedi? Nessun motivo, se stai volando fuori da una base aerea in Georgia (lo stato americano, non il paese). Un sacco di motivi se attraversi l’Uzbekistan nel nord dell’Afghanistan di notte.
Un terzo esempio, molto meno drammatico, è lo sforzo dei progettisti di display per i sistemi di previsioni meteorologiche per “lisciare” i dati e mostrare le linee di tendenza invece di tutto il rumore di letture diverse. I meteorologi novizi apprezzano questi display levigati che li aiutano a vedere le tendenze generali. Tuttavia, i meteorologi esperti non amano il livellamento. Vogliono vedere tutto il rumore, la turbolenza, le condizioni instabili. È lì che sta accadendo il tempo. I meteorologi esperti sanno tenere d’occhio le zone instabili e rumorose per capire come si stanno formando i sistemi meteorologici.
Questi tre esempi illustrano le decisioni di progettazione che devono essere sembrate ragionevoli nel soddisfare le specifiche e i requisiti ufficiali, decisioni che ora sembrano deplorevoli. Come affermato sopra, non sostengo per cercare di identificare ogni tipo di contingenza che potrebbe essere affrontata. Ci sono troppe complicazioni potenziali e complessità contestuali. Invece, penso che dovremmo essere più cauti nel ridurre le capacità dei decisori di adattarsi a sfide inaspettate e inimmaginabili. Ciò significa che non arrestiamo i segnali di allarme per velocità lente, ma troviamo un altro modo per inibire l’avviso fastidioso mentre l’aereo è a terra. Significa che non chiudiamo i sistemi radar essenziali al di sopra di un’altitudine nominale “sicura”. Significa che non eliminiamo un segnale importante come la rumorosità dei dati solo perché sembra così disordinato. Ciò significa che cerchiamo di offrire agli operatori di sistema, ai responsabili delle decisioni, maggiori capacità e chiarezza anziché opzioni di preclusione. Rendere il lavoro più semplice nelle normali operazioni può renderlo impossibile in condizioni anormali.