Tra la fine di marzo e l’inizio di aprile, i due disastri aerei che hanno interessato velivoli Boeing 737 MAX in Indonesia e poi in Etiopia, in entrambi i casi causando la morte dell’equipaggio e di tutti i passeggeri, hanno occupato le prime pagine di tutti i giornali per settimane.
Gradualmente, in una parabola che ha portato praticamente tutti gli organismi regolatori dell’aeronautica a bandire il modello 737 MAX 8 (e, infine, la stessa Boeing a ordinarne il ritiro temporaneo dall’uso commerciale), si è scoperto che la responsabilità di entrambi gli incidenti è probabilmente da imputare a un errore di un software chiamato MCAS – un sistema anti-stallo pensato per correggere la traiettoria del velivolo nel caso di un eccessiva rapidità dell’angolo d’ascensione, che invece ha sospinto a più riprese il muso dei due aerei verso il basso nonostante il tentativo dei piloti di correggerne l’inclinazione. Il software MCAS, è emerso, era estremamente difficile da disattivare, e in entrambi i casi si è riattivato autonomamente dopo che i piloti, essendosi resi conto del malfunzionamento, erano passati al controllo manuale. Non solo, ma questo software faceva affidamento su un solo set di sensori, diversamente dalla normale prassi con questo tipo di meccanismi di guida automatica dei velivoli, che tendono ad affidarsi a un sistema di input ridondante, con due sensori identici sui due lati dell’aereo – di modo che, se uno dei due sensori dovesse dare una lettura errata, i piloti possano correggere il comportamento del software sulla base dell’altro.
Analisi successive hanno mostrato che il problema nasceva ancora a monte, nel design stesso del nuovo modello di 737. La Boeing, trovatasi in difficoltà quando la rivale Airbus ha trovato il modo di montare sui propri aerei motori più grandi e quindi più efficienti, ha tentato di fare lo stesso; la fusoliera del vecchio 737 era però tale che non era possibile montare il nuovo motore nella stessa posizione dell’originale. Lo spostamento del motore rispetto all’ala ha cambiato completamente il bilanciamento del nuovo velivolo, che avrebbe dovuto probabilmente essere classificato come un modello completamente diverso dal 737 originale. Naturalmente, questo avrebbe richiesto che i piloti del nuovo modello ricevessero un addestramento apposito, invece di affidarsi ancora a quello che avevano ricevuto per la guida del vecchio 737.
Questo non è accaduto; la Boeing, consapevole che classificare il 737 MAX come un tipo interamente nuovo di velivolo avrebbe rallentato di molto i tempi necessari a ottenere le certificazioni per farlo volare, e che fornire un nuovo addestramento ai piloti già in grado di guidare i 737 avrebbe rappresentato un costo ingente per le compagnie aeree sue clienti, ha deciso di vendere il nuovo aereo come una variante del vecchio, sostenendo che gli aggiornamenti nell’addestramento necessari fossero solo minimi, e cercando di risolvere i problemi di bilanciamento con l’aiuto del nuovo software. Il risultato è sotto gli occhi di tutti.
Disamine tecniche più dettagliate sono state offerte da un gran numero di fonti, e critiche sono state sollevate anche all’indirizzo della FAA, l’organismo regolatore per l’aeronautica negli Stati Uniti, che ha permesso agli ingegneri Boeing di autocertificare la messa in sicurezza del nuovo velivolo. Ancora oggi nuovi dettagli continuano a emergere, incluso il fatto che prima ancora dei due incidenti vari piloti avessero riportato problemi analoghi con il software MCAS, e rilevato l’insufficienza dell’addestramento ricevuto e la radicale differenza tra il 737 MAX e il vecchio modello, senza ricevere supporto dalle compagnie aeree.
Quel che trovo particolarmente interessante, e particolarmente inquietante, però, non è nessuno di questi dettagli – per quanto essi siano tutti profondamente diagnostici del modo in cui la priorità assegnata ormai di routine al guadagno e alla competitività commerciale sia arrivata a intaccare quelli che avrebbero dovuto essere i principi di base di qualsiasi industria. Si tratta invece della soluzione che Boeing sembra tuttora star proponendo al problema – invece di accettare che il 737 MAX ha problemi di bilanciamento, e risolvere questi problemi rivedendo il design dell’aereo, la compagnia americana ha annunciato che offrirà aggiornamenti correttivi per il software.
Può
sembrare un’associazione improbabile, ma la prima volta che ho letto che la
strategia annunciata dalla Boeing sarebbe stata questa, il mio pensiero è corso
immediatamente a una conversazione recente avvenuta durante una cena tra amici,
in cui si parlava di videogiochi. In particolare, si discuteva dell’ultimo
capitolo della serie di videogiochi di strategia Civilization.
La prima versione del gioco rilasciata per il pubblico era, a detta dell’amico
che l’aveva comprata immediatamente, “a malapena giocabile”; la successiva
espansione l’aveva resa “ai livelli del capitolo precedente”; la versione
finale, l’amico in questione suggeriva, sarebbe stata “il gioco come avrebbe
dovuto essere”. È interessante notare che tutto questo non fosse presentato
come una critica – e neppure il fatto che il giocatore debba pagare per
l’acquisto di ogni aggiornamento. Da videogiocatrice ricorrente, sono anche io
ben informata del fatto che questa sia ormai una prassi tipica; il gioco rilasciato inizialmente non è
esattamente finito, ma chi lo produce tiene conto degli errori, dei bug e delle
difficoltà incontrate dai giocatori che lo hanno comprato per correggere gli
aggiornamenti successivi in maniera più mirata.
Non si tratta di un modello applicabile solamente ai videogiochi: chiunque abbia imprecato contro un aggiornamento di Windows troppo lento che gli impediva di lavorare sa che lo stesso succede coi sistemi operativi dei nostri computer. Il modo in cui Boeing ha gestito il software pensato per correggere i problemi di bilanciamento del 737 MAX è esattamente lo stesso. La compagnia ha rivelato che, prima ancora del disastro di Air Ethiopia che ha fatto precipitare la situazione, stava lavorando a un aggiornamento del software MCAS. La differenza, cruciale, è che un videogioco che contiene un bug può essere irritante; un software per il pilotaggio di un aereo che non si comporta come dovrebbe può causare un incidente mortale.
Aggiornamenti pensati per correggere comportamenti indesiderati di un software hanno un nome ben preciso: si chiamano patches. Collegando nella mia mente la nostra discussione sui videogiochi con il comportamento della Boeing intorno al software difettoso dei suoi 737 MAX, mi è venuto da pensare che la traduzione letterale di patch, in italiano, è toppa. Letteralmente, quando una compagnia rilascia un software incompleto, o non perfettamente funzionante, o che sa già dover essere soggetto a ulteriori correzioni, e poi vende il pacchetto di correzioni separatamente al suo cliente o al suo utente, in un secondo momento e talvolta per un prezzo aggiuntivo, quella compagnia sta mettendo una toppa su un buco di cui era al corrente fin dall’inizio.
In altre parole, sta vendendo un prodotto incompiuto o difettoso, con l’aspettativa di vendere separatamente un rattoppo per il difetto incluso nella versione originale, invece che risolvere il difetto a monte e vendere un prodotto che non ha bisogno di correzione. Il motivo è molto semplice: la seconda strategia sarebbe molto meno profittevole – nel caso che la patch non sia a pagamento, il ritardo necessario a correggere tutti i problemi prima della commercializzazione del prodotto causerebbe comunque una perdita di profitto, e uno svantaggio rispetto a eventuali competitori; se la patch ha a sua volta un costo, la compagnia è in grado di aggiungere un profitto ulteriore per rimediare ai difetti del suo prodotto originale. È una strategia che è diventata sempre più preponderante con l’inclusione di elementi di software in moltissime industrie, e che si fonda inevitabilmente sui principi di una società capitalistica che richiede di produrre sempre più in fretta e di incentivare il cliente a comprare in continuazione aggiornamenti e nuovi modelli.
La strategia della toppa è perlomeno moralmente grigia quando si tratta di industrie che hanno poste in gioco relativamente basse, come quella dell’intrattenimento videoludico. È certamente possibile sostenere che ci sia un elemento di scorrettezza nel far comprare al giocatore, talvolta per prezzi piuttosto alti, un prodotto consapevolmente fallato o non completo, per poi fargli pagare gli aggiustamenti successivi. In altri casi, come quello dei sistemi operativi, che devono lavorare in un ambiente in flusso – nuovi virus, per esempio, appaiono costantemente – un elemento di aggiornamento continuo è in certa misura inevitabile, ma è anche stato usato come pretesto per non risolvere a monte problemi di software che possono essere corretti in un secondo momento.
Ma i due disastri aerei che hanno coinvolto Boeing 737 MAX hanno dimostrato che questa strategia, quando viene applicata a industrie con un alto coefficiente di rischio come quella aerea (e un domani, per esempio, quella delle automobili a guida automatica), può portare a conseguenze molto reali, e a volte tragiche. Mettere in commercio un videogioco incompleto può essere deprecabile; mettere in commercio un aereo con un sistema di pilotaggio incompleto è pericoloso.
In una società capitalistica in cui il profitto viene messo prima di qualsiasi altra cosa, l’utilizzo della cultura della toppa è una conseguenza quasi inevitabile. In un’industria come quella aereonautica, la sicurezza dei velivoli è a sua volta un fattore fondamentale anche per il profitto – se i passeggeri non si fidano della sicurezza di un velivolo si rifiuteranno di usarlo; le compagnie aeree, per conseguenza, si rifiuteranno di comprarlo. Consapevole di questo, Boeing ha rassicurato i suoi clienti della sicurezza dei 737 MAX e messo in cantiere la patch per il sistema MCAS il più in fretta possibile. Ora, nel tentativo di mettere una toppa d’altro genere sulle conseguenze disastrose del suo azzardo, sta proponendo, di fatto, una nuova patch. Mentre le indagini proseguono sulla mancanza di controlli appropriati e su come sia stato possibile che le vulnerabilità del velivolo non siano state messe in evidenza prima di queste tragiche conseguenze, rimane da sperare che gli organismi di controllo impongano regole più severe sull’uso di patch e aggiornamenti, e sul rilascio di software che ne sono bisognosi.
Al di là del disastro aereo, abbandonare, o perlomeno limitare, la cultura della toppa in tutti gli ambiti dovrebbe essere qualcosa che, come utenti, clienti, persone che devono vivere in un mondo che fa uso sempre più ampio di software, è nostro diritto richiedere. I due incidenti aerei che hanno coinvolto 737 MAX non hanno fatto altro che metterla in evidenza. Lasciata proliferare senza controllo, questa cultura ha invaso industrie a cui non avrebbe mai dovuto avvicinarsi. Forse è il momento di cominciare a denunciarla, e a combatterla, più spesso.
Immagine di Peter Griffin (dettaglio) da publicdomainpictures.net
Nata in Sicilia, ha studiato a Roma e Pisa e vive a Cardiff, in Galles, dove lavora a un dottorato in Storia Antica e insegna latino. Autrice di prosa e teatro, è pubblicata in Italia da Einaudi Editore.