L’analisi dei rischi e la verifica dei margini di sicurezza (safety assessment) sono decisivi, anche nei sistemi tecnologicamente più avanzati.
I sistemi e le infrastrutture di trasporto complessi, come le ferrovie, l’aviazione civile, le grandi navi, sono sempre soggetti ad una tensione fra due obiettivi: il miglioramento delle prestazioni da un lato e le esigenze della sicurezza dall’altro.
Questa tensione riguarda sia i contesti tecnologicamente meno avanzati, come la linea Bari-Barletta, sia quelli con le tecnologie più moderne.
La storia degli incidenti ferroviari, purtroppo, ce lo ha ricordato più volte.
Il caso del Pendolino di Piacenza
Quasi vent’anni fa, il 12 gennaio 1997, il treno Eurostar 9415 Milano-Roma deragliò prima di entrare nella stazione di Piacenza, provocando 8 morti e 29 feriti. A bordo viaggiava anche il Presidente emerito della Repubblica Francesco Cossiga, rimasto illeso solo perché si trovava nella carrozza ristorante.
Sebbene vi fossero stati altri gravi incidenti, l’evento fu percepito come uno spartiacque nella storia della sicurezza ferroviaria, perché ad essere colpito era il treno denominato Pendolino, un simbolo del progresso tecnologico, già predisposto per le linee ad alta velocità che andavano costruendosi.
Le indagini sull’incidente attribuirono la responsabilità del deragliamento ai due macchinisti che avevano impegnato il ponte e la curva precedente l’ingresso in stazione ad una velocità superiore a 160Km/h, laddove i limiti di velocità erano di 105Km/h.
A lungo si discusse anche del possibile stato di ebrezza dei due macchinisti, come causa scatenante dell’errore. Dai dettagli dell’indagine emerse tuttavia che alcuni anni prima dell’evento era intervenuta una modifica infrastrutturale, in assenza della quale probabilmente l’incidente non si sarebbe verificato.
Il sistema di sicurezza
Il Pendolino era equipaggiato con il sistema di sicurezza più avanzato per il tempo, denominato Ripetizione Segnali. La Ripetizione Segnali a sua volta ‘dialogava’ con un sistema di sicurezza presente sulla linea denominato Blocco Elettrico Automatico a Correnti Codificate[1] che trasmetteva al macchinista in cabina delle informazioni sullo stato della linea e dei segnali sul tratto che stava percorrendo, intervenendo con degli allarmi in caso di pericolo.
I diversi tipi di allarme erano identificati con dei codici: per esempio il codice 75 indicava che il successivo segnale sarebbe stato ‘rosso’ e che bisognava prepararsi ad arrestare la marcia del treno, mentre il codice 180 indicava che il successivo segnale sarebbe stato ‘giallo’ e che bisognava predisporre una riduzione della velocità.
Quando gli allarmi indicavano una condizione restrittiva, ad esempio il passaggio da un verde ad un giallo, oppure il passaggio da un giallo al rosso, al macchinista veniva richiesto di premere un tasto per tacitare l’allarme, mostrando così di essere al corrente della necessità di rallentare o di arrestarsi.
In origine, nel tratto di linea precedente all’entrata nella stazione di Piacenza, era stato predisposto il codice 180, che imponeva al macchinista una riduzione di velocità, sollecitata da un allarme. Successivamente ci si accorse che percorrendo quel tratto ad una velocità leggermente più elevata e ritardando i tempi della frenata necessaria, si sarebbero potuti ottenere dei risparmi di tempo significativi. Questo comportamento era però impedito proprio dalla presenza del codice 180, che attivava l’alert acustico e imponeva al macchinista la riduzione di velocità anticipata.
In effetti la normativa di esercizio imponeva la presenza di questo tipo di codice in tutti i punti della linea in cui i limiti di velocità indicavano una riduzione superiore ai 60Km/h. Proprio come nel tratto in oggetto, in cui si passava da un limite di 200Km/h ad uno di 140Km/h. Per aggirare questo vincolo, i limiti di velocità previsti del tratto immediatamente precedente furono abbassati a 195Km/h, ottenendo così uno scarto di velocità inferiore ai 60Km/h e la possibilità di effettuare la modifica impiantistica, che avrebbe eliminato il codice 180.
I risparmi di tempo potenzialmente ottenuti con questa modifica potevano arrivare fino ad un minuto e mezzo e consentivano notevoli vantaggi in termini di efficienza, soprattutto se c’era la necessità di recuperare ritardi rispetto all’orario ufficiale. Va però chiarito che nella nuova condizionel’onere di attuare la giusta riduzione di velocità era interamente demandato ai macchinisti, senza l’ausilio degli allarmi forniti dalla Ripetizione Segnali.
Nella filosofia progettuale delle Ferrovie, l’intervento non costituiva un mutamento delle condizioni di sicurezza ed era compatibile con la normativa esistente, perché il macchinista era comunque tenuto a rispettare i limiti di velocità esistenti sui diversi tratti della linea, che erano stati studiati per garantire la compatibilità fra le prestazioni del treno e le caratteristiche strutturali del binario.
Di fatto però, lo si era privato di un supporto tecnologico in un punto specifico della linea, laddove lo stesso supporto era presente con continuità in altre parti della linea. Per ottenere dei benefici in termini di efficienza, si erano quindi erosi in modo significativo i margini di sicurezza.
Purtroppo, analizzando a posteriori la tragedia, senza mettere in discussione la responsabilità dei due macchinisti alla guida, si può facilmente osservare che gli effetti della modifica sui margini di sicurezza preesistenti non erano stati adeguatamente valutati.
Il ruolo del safety assessment
L’episodio di Piacenza evidenzia come anche i treni e le linee ferroviarie dotate di tecnologia moderna (in questo caso era la più avanzata per l’epoca) non sono al riparo da incidenti.
In altre parole, l’esposizione a potenziali incidenti esiste sempre e non è imputabile unicamente a una situazione di arretratezza tecnologica, come quella osservata nella tratta pugliese in cui è avvenuto l’incidente il 12 luglio.
È bene ricordare, infatti, che i cambiamenti tecnologici offrono opportunità sia per il miglioramento delle prestazioni che per il miglioramento della sicurezza, ma non garantiscono che l’equilibrio fra questi due obiettivi sia sempre mantenuto.
Ecco che diventa fondamentale l’analisi dei rischi e la verifica dei margini di sicurezza, il cosiddetto safety assessment.
Queste valutazioni sono un’esigenza costante in modo particolare quando si interviene con modifiche che possono alterare questo equilibrio. I dispositivi tecnologici, la loro configurazione, l’aggiornamento delle procedure di esercizio e la formazione del personale sono tutti fattori che contribuiscono a mantenerlo. Essi sono interdipendenti e devono essere costantemente verificati, tenendo conto degli effetti che possono produrre in ogni specifico contesto in cui sono operanti.
[1] Non esisteva ancora il più moderno Sistema di Controllo Marcia Treno (SCMT), che negli ultimi anni è stato installato in larghe porzioni della rete ferroviaria italiana.
Luca Save
Luca Save è un esperto di Sicurezza e Fattori Umani presso la società di consulenza e ricerca Deep Blue (www.dblue.it).
Ha 16 anni di esperienza nello studio di sistemi safety critical, quali il trasporto ferroviario, l’aviazione ed il controllo del traffico aereo. Si è specializzato nello studio dell’errore umano e delle metodologie per la gestione della sicurezza.
Ha analizzato gli incidenti ferroviari di Crevalcore (7 Gennaio 2005) e Casalecchio di Reno (30 Settembre 2003), lavorando come Consulente Tecnico D’Ufficio per la Procura della Repubblica di Bologna, nell’ambito del team di consulenti guidato dal Prof. Antonio Rizzo dell’Università degli studi di Siena.