Del rischio, della 31000/45001 e dell’incertezza

Discuto oggi di un argomento particolare per chi svolge la nostra professione: “Il rischio”. Fino a qualche tempo fa il termine “rischio” e “valutazione del rischio” era cosa apparentemente consolidata, conosciuta, praticata.

Tutta la moderna tecnologia, da quella militare più di frontiera all’individuazione dei requisiti di sicurezza per una pressopiegratrice, presupponeva una preliminare “valutazione del rischio”.

Una “valutazione del rischio” positivista, capace di pesare o di stimare con precisione i parametri in gioco, è da sempre stato il paradigma dal quale partire.

conosco la probabilità di accadimento

conosco il danno potenziale

ERGO

conosco il rischio

Tutto bene, quindi.

Abbiamo la coperta che ci protegge dalle intemperie.

Tutte le intemperie.

Uno strumento invulnerabile e cognitivamente abbastanza comprensibile.

Poi arrivò Nassim Nicholas Taleb

E poi, ancora, Gerd Gigerenzer

E poi Charles Perrow

E poi molti altri, a seconda della traiettoria di studio di ciascuno di noi.

E l’enorme coperta invulnerabile che pensavo di possedere divenne una copertina di Linus.

Arrivò infatti il colpo di grazia, dato alle mie personali certezze, dalla ISO 31000 (il rischio è “l’effetto dell’incertezza sugli obiettivi”) e dalla ISO 45001 (il rischio è “l’effetto dell’incertezza”).

Che diamine vuol dire “effetto dell’incertezza sugli obiettivi” e come si incastra questa nuova prospettiva con tutto il background precedente?

In effetti Gigerenzer già nel 2002 aveva avvertito[1]: “[…] chiamo rischio un’incertezza quando è possibile esprimerla numericamente, come probabilità o frequenza, sulla base di certi dati empirici; il numero in questione non è necessariamente fisso, ma può essere aggiornato alla luce dell’esperienza. Quando, mancando dati empirici, è invece impossibile o sconsigliabile assegnare dei valori numerici alle alternative possibili, uso invece di “rischio” il termine incertezza […]”. Questo passaggio, dal significato un po’ oscuro con gli strumenti che avevo all’epoca, mi tornò utile in seguito.

Molto utile.

L’incertezza non è quindi il rischio, lo diviene quando si ha la capacità di dare un valore numerico ai parametri in gioco. E non sempre accade, in effetti.

Pensandoci bene, quasi mai.

L’idea di conoscere la probabilità di accadimento su base frequentista è un’illusione, probabilmente. Un effetto ottico, di parallasse, al quale danno credito gli analisti di rischio industriale e chi costruisce analisi affidabilistiche basate su alberi di guasto.

Pochi altri, per fortuna.

Nel mio girovagare “per dare un senso a ciò che senso non ha”, per citare il Kom, mi imbattei successivamente in un articolo illuminante di Andy Stirling[2] (molto citato) nel quale, finalmente, si forniva un quadro di insieme che collegava la conoscenza delle probabilità di accadimento, delle conseguenze, l’incertezza, il rischio.

E molto altro.

La sintesi la riporto nella figura seguente.

La comfort zone nella quale mi sono cullato per quasi due decenni era sono una parte del quadro complessivo di insieme ed era solo quella del rischio propriamente detto.

Poi c’è l’area dell’incertezza, nella quale non sia possiedono le conoscenze in tema di probabilità di accadimento di un dato evento.

E l’area dell’ambiguità, nella quale non si riesce a definire la/le conseguenza/e di uno specifico fattore.

E infine l’area dell’ignoranza, dove probabilità e danni sono ignoti.

Molto altro ci sarebbe da dire, magari ci ritornerò.

Riprendendo i concetti esposti da N.N. Taleb nel suo “Cigno Nero”, ho vissuto in Mediocristan per molto tempo ma è da un po’ che mi sto avventurando nell’Estremistan.

Vedremo che accadrà.

[1] Gigerenzer G. (2002). Quando i numeri ingannano. Imparare a vivere con l’incertezza. Raffaello Cortina, 34

[2] Stirling, A. (2003). Risk, uncertainty and precaution: some instrumental implications from the social sciences. Negotiating environmental change, 33-76

Share

11 SETTEMBRE 2001, TEOREMA DI BAYES E AFFIDABILITÀ DEI SISTEMI

Vorrei commemorare l’11 settembre di quest’anno in modo un po’ particolare, mettendo insieme gli argomenti citati nel titolo in un post che definirei “ostico”. I miei tre lettori sono tuttavia abituati a ben altro… armiamoci quindi di pazienza e partiamo.

Preliminarmente facciamo una breve digressione.

Su Manhattan, prima dell’11 settembre 2001, solo due volte degli aeromobili colpirono grattacieli. In un caso, peraltro, l’impatto ebbe luogo coinvolgendo gli ultimi piani dell’Empire State Building. Si annota che gli aeroplani cominciarono a sorvolare New York a partire dalla metà degli anni ’30 (circa 25000 giorni fino al 2001).

Detto in altri termini, la probabilità giornaliera non condizionata di un impatto accidentale di un aeroplano (Accidental Plane Crash, APC) su un grattacielo di Manhattan, prima dell’11 settembre, era valutabile non inferiore a [1]:

P(APC) = 2/25000 = 0,00008 = 0,008%

Prima dell’11 settembre 2001, peraltro, la stima di un attacco aereo sulla città con le modalità immaginate da Al Qaida era, verosimilmente, molto bassa. Bassa al limite della credibilità certo, ma comunque leggermente superiore all’ipotesi accidentale. La chiameremo Terrorist Plane Attack (TPA) e si può quantificare, in prima ipotesi, pari ad un evento ogni 20000 giorni. Si ha, quindi:

P(TPA) = 1/20000 = 0,00005 = 0,005%

Stimiamo, infine, quale sia la probabilità di un incidente aereo su un grattacielo (Plane Crash, PC) nell’ipotesi di un piano terroristico che preveda proprio questa eventualità (TPA). Ovviamente unitaria, giusto? In termini statistici verrà quindi detto che la probabilità di PC dato TPA sarà uguale a:

P(PC|TPA) = 100% = 1

Il problema che ci poniamo, giunti a questo punto, è però oppostoAssunti i dati precedenti, qual era la probabilità che esistesse un piano di attacco terroristico una volta avvenuto il primo impatto sulle Twin Tower? Qual era, cioè, la probabilità di TPA dato PC [2]?

Il teorema di Bayes ci viene in aiuto e ci dice che, successivamente al primo impatto sulla torre NORD, la probabilità giornaliera, stimata inizialmente allo 0,005%, collassa e si trasforma nel ben più cospicuo 38,5%. Infatti [3]:

Tale risultato non fornisce, tuttavia, la prova incontrovertibile fosse in atto un attacco terroristico. Intendiamoci, circa 40% rende sicuramente credibile lo scenario TPA ma non lo trasforma in certezza statistica.

Gli aerei in gioco l’11 settembre, però, furono due e non uno soltanto. Dopo il primo attacco abbiamo detto che:

P(TPA) = 0,005%   diventa   P(TPA) = 38,5%

Con il secondo schianto la possibilità diventa certezza statistica. Facendo fare al teorema di Bayes un ulteriore giro di valzer, si ottiene infatti:

La reale percezione di attacco terroristico che avemmo dopo il secondo impatto sulla torre SUD risulta, quindi, perfettamente allineata con quanto il teorema di Bayes prevede.

Come si vede, il teorema di Bayes è uno strumento potentissimo che consente di discriminare ciò che è credibile da eventi solo astrattamente possibili.

Questo strumento, mi riferisco al teorema di Bayes, si rivela efficientissimmo anche (forse soprattutto) in ambito affidabilistico/tecnologico poiché i dati di tasso di guasto degli apparecchi presenti nelle più diffuse banche dati sono non condizionati.

Constato tuttavia come sia ancora molto poco praticata la contestualizzazione bayesiana in ambito affidabilistico (operazione che, in ambito medico, è invece molto studiata).

Concludo dicendo che sarebbe sempre importante aggiornare i dati in senso bayesiano. Ciò consentirebbe di  inquadrarli in base alle conoscenze che si possiedono in relazione all’evento che si vuole modellare.

[1] L’esempio presentato così come le probabilità calcolate sono tratte da: Silver N. (2013). Il segnale e il rumore. Arte e scienza della previsione. Fandango Ed.

[2]  In ambito sanitario l’equivalenza è molto più comprensibile e si può risolvere con una domanda: “Poiché tutti i malati di vaiolo hanno il viso con macchie rosse diffuse, un bimbo che ha macchie rosse diffuse sul viso è ammalato di vaiolo?”

[3] Facendo le assunzioni di Nate Silver, e cioè che APC e TPA siano eventi tra loro indipendenti e che , si può concludere che 

UPDATE DEL 15/09/2019

Un caro amico, Andrea Rotella, mi fa notare che le ipotesi APC e TPA di Nate Silver sono equivalenti  e conducono a risposte identiche.

Per rispondere a lui e cercare di risolvere la questione devio dalla visione argentea.

Riporto quindi un approccio differente che tiene conto dell’accoppiamento tra i piani d’attacco 1 e 2 (nell’ipotesi TPA), a cui assegno una correlazione 0,9 (potrebbe pure essere unitaria), e della totale indipendenza della frequenza nel caso accidentale (caso APC): in quest’ultimo caso la frequenza n+1, dato l’incidente n, sarà sempre uguale e pari 0,00008 [1/giorni].

Devo ancora chiarirmi alcune cose, non tutto è ancora completamente cristallino, ma il risultato di questo approccio lo riporto nella figura seguente.

Alla fine Bayes, implementando un secondo giro, risponde e dirà che:

  • l’ipotesi di due incidenti nel medesimo giorno causati da un piano d’attacco terroristico è pari al 100%;
  • l’ipotesi di due incidenti nel medesimo giorno generati dal puro caso è dello 0%.

 

Share