Due o tre cose che so sulla sicurezza

La tragedia del volo che si è schiantato per scelta deliberata di uno dei piloti porta molti a domandarsi se i voli siano sicuri. A questa domanda non so rispondere, però qualcosa sulla sicurezza la so e voglio scriverla qui.

Intanto, forse ovvio ma meglio essere chiari, non esiste la sicurezza assoluta. Questo non solo perché qualcosa può sempre succedere, ma perché la sicurezza è un processo e non un prodotto. Cioè la sicurezza è il risultato di una serie di azioni in sede di progettazione di un oggetto, un software o una procedura, che proseguono poi nella fase di messa in esercizio. La ruota della macchina deve essere sicura quando esce dallo stabilimento e viene data al nuovo proprietario, ma poi va cambiata ogni volta che si raggiunge una certa soglia di chilometri o passa un certo numero di anni perché altrimenti smetterebbe di essere sicura, senza colpa alcuna di chi l’ha progettata, costruita e montata.

Oltre a questo, la sicurezza non è assoluta perché viene misurata rispetto ad una serie di minacce, che vanno prima comprese e poi, come si dice in gergo, mitigate. L’antifurto dell’auto è efficace perché assume che il ladro non prenda la macchina con una gru e se la porti via, nel qual caso certamente il blocca pedali non sarebbe utile.

Inoltre, l’antifurto dell’auto è utile perché opera in un certo contesto che è dato dalla minore sicurezza delle auto vicino che l’antifurto non lo hanno. Si chiama antifurto, ma si dovrebbe chiamare “sistema per ridurre la probabilità che l’auto venga rubatan sperando che le altre macchine non ce l’abbiano”.

La sicurezza opera sempre all’interno di uno scenario che, più viene generalizzato ed astratto e più fa riferimento a convenzioni culturali e sociali. Nel caso dei sistemi di bordo di un aereo, l’approccio che viene seguito da Boeing ed Airbus (i due principali costruttori di aereomobili) è diverso perché operano in contesti culturali diversi: per Boeing è sempre il pilota ad avere l’ultima parola, per Airbus è il computer di bordo che comanda. Tanto che esistono Airbus in cui la cabina di guida non ha finestrini per la vista dell’esterno, mentre i Boeing li hanno tutti.

Nel caso specifico della porta che blocca l’accesso alla cabina di pilotaggio dell’aereo, il sistema ha finora funzionato benissimo, perché da dopo l’11 Settembre 2001 non abbiamo più avuto nessun dirottamento. Il sistema è anche costruito brillantemente, perché permette al pilota che è all’interno di avere sempre l’ultima parola su chi può entrare in cabina e, nel caso sia incosciente e non in grado di prendere una decisione, consente a chi è fuori e conosce il codice di accesso di entrare.

Però, come ho detto, come tutti i sistemi di sicurezza opera con delle assunzioni. Qui, l’assunzione è che il pilota voglia vivere. Se questo non è, diventa possibile usare il sistema per prendere il controllo dell’aereo. Questo rischio può essere mitigato, stabilendo che quando esce un pilota entri un assistente di volo. Si tratta di una mitigazione del rischio e non di una soluzione del problema, perché anche una soluzione di questo tipo è esposta a dei rischi. Ad esempio: il pilota che è in cabina potrebbe sopraffare l’assistente di volo (cosa più possibile se poi l’assistente è una donna), oppure il pilota e l’assistente di volo potrebbero operare in combutta, oppure nel tempo in cui la porta della cabina è aperta potrebbe comunque infilarsi un terrorista (questo, a dire il vero, è gestito dal fatto che quando la porta della cabina viene aperta si dovrebbe bloccare il corridoio antistante con il carrello portavivande con i freni inseriti, un ostacolo difficilmente superabile in poco tempo) (nota: fare queste ipotesi è il tipico esercizio che fa chi si occupa di sicurezza informatica, cioè immagina come le cose potrebbero andare volutamente male per scelta di qualcuno e come quindi evitare di dargliela vinta facile).

L’assunzione che si è applicata nella realizzazione di questo sistema è che il pilota voglia vivere e che sia in grado di esercitare con giudizio la sua funzione di comandante dell’aereo. Questa assunzione è tanto ovvia quanto, come tutte le cose ovvie, difficile da gestire se non è più vera.

Infatti, nel caso in cui il pilota sia uscito di senno l’unica autorità che può controllare almeno l’apertura del portello della cabina di pilotaggio è la torre di controllo, nessuno a bordo potrebbe essere considerato affidabile, non ricattabile e in grado di prendere una decisione sensata. Solo che per consentire di bypassare il sistema bisognerebbe costruire un sistema molto complesso. Bisognerebbe infatti stabilire chi e come, dalla torre di controllo, può decidere di forzare l’apertura della porta, essere sicuri che sia l’ordine dato che quello trasmesso all’aeroplano fossero non alterabili da nessuno (non vogliamo terroristi che mandino comandi di apertura porta) e che si possa evitare che il pilota suicidario, vistosi scoperto, faccia precipitare l’aereo il prima possibile. Nessuna di queste cose è banale da fare e, se si deve applicare a tutti gli aerei e a tutte le torri di controllo del mondo è quasi impossibile; inoltre lascerebbe scoperto il caso in cui l’aereo si trova a sorvolare zone in cui non c’è contatto con la torre di controllo, come gli oceani.

Aggiungo infine che circa un anno fa un esperto di sicurezza informatica raccontò, omettendo i particolari, di come fosse facile avendo uno smartphone con un opportuno software installato sopra, inviare messaggi confusionari a vari componenti del computer di bordo, sia allo scopo di confonderlo che di guidarlo surrettiziamente. Sembra che poi i vari costruttori abbiano preso delle precauzioni, ma questo dimostra che se costruisci una porta blindata per evitare l’accesso in un locale, poi un malintenzionato cercherà sempre di passare dalla finestra, ovvero cercherà un altro punto debole.

Conclusione, è molto meglio avere sistemi di sicurezza indipendenti, ovvero costruiti su assunzioni diverse e che si basano su procedure diverse. Ad esempio, un controllo pscicologico dei piloti per capire in che condizioni sono è un ottimo sistema di mitigazione del rischio di suicidio. Sempre mitigazione, però.

Pubblicato il 27 marzo 2015, in Fatti nostri con tag , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: