Dalla NASA e Apollo: la checklist come cultura del rischio

Il programma Apollo ha portato l'uomo sulla luna non nonostante l'ossessione per le procedure e le checklist, ma grazie a essa. La sistematizzazione del controllo del rischio è ciò che rende possibile l'impossibile.

Il 27 gennaio 1967, un incendio nel modulo di comando dell'Apollo 1 uccise i tre astronauti Gus Grissom, Ed White e Roger Chaffee durante un test a terra. L'inchiesta successiva non trovò un singolo responsabile, ma identificò un sistema di gestione del rischio strutturalmente inadeguato: procedure incomplete, comunicazione frammentata tra i fornitori, pressioni sui tempi che avevano eroso la cultura della sicurezza. La NASA rispose con una rivoluzione organizzativa che trasformò radicalmente il modo in cui i rischi venivano identificati, documentati e gestiti. Due anni e mezzo dopo, Apollo 11 atterrava sulla luna.

La checklist è il simbolo più visibile della cultura del rischio NASA, ma il suo significato va molto oltre l'elenco di passi da seguire. La checklist è un sistema di memoria esternalizzata che rimuove la dipendenza dalla memoria umana — soggetta a stress, fatica, interruzioni — per le procedure critiche. Atul Gawande, chirurgo e autore di 'The Checklist Manifesto', ha dimostrato che l'introduzione di checklist preoperatorie negli ospedali ha ridotto la mortalità chirurgica del 47% in trial randomizzati. Non perché i chirurghi non sapessero cosa fare, ma perché in condizioni di alta pressione il cervello umano omette sistematicamente passaggi che considera ovvi. La checklist protegge dall'ovvio.

La NASA ha sviluppato anche un sistema di gestione del rischio procedurale molto più sofisticato: il Failure Mode and Effects Analysis (FMEA), un metodo sistematico per identificare tutti i possibili modi in cui un componente può guastarsi, valutare la probabilità e la gravità di ciascun guasto, e progettare ridondanze e procedure di emergenza per ciascuno scenario. Questo approccio bottom-up — che parte dai componenti elementari e costruisce una mappa del rischio dell'intero sistema — è diventato lo standard di riferimento per l'ingegneria aerospaziale, nucleare e medica. Nelle decisioni aziendali, la stessa logica si applica: non aspettare che i sistemi critici falliscano per capirne le vulnerabilità.

Una delle innovazioni organizzative più importanti della NASA post-Apollo 1 fu la creazione di canali dedicati alla segnalazione dei rischi che bypassavano la gerarchia normale. Gli ingegneri che identificavano un problema potevano — e dovevano — segnalarlo direttamente ai responsabili della sicurezza, senza passare per la catena di comando che avrebbe potuto sopprimere le segnalazioni per pressioni sui tempi o sui budget. Questa separazione tra il canale della sicurezza e il canale della performance è una delle lezioni più difficili da implementare nelle organizzazioni private, dove la stessa persona spesso gestisce entrambi gli obiettivi. La tragedia dello Shuttle Challenger nel 1986 — causata anche dalla soppressione di segnalazioni di rischio degli ingegneri da parte del management — ha dimostrato che la lezione dell'Apollo 1 non era stata assimilata completamente.