Gli avvenimenti delle scorse settimane portano a chiedersi se l’ETCS Level 2 soddisfi ancora il livello di sicurezza SIL 4 (Safety Integrity Level) (centrali nucleari / posti di manovra, ecc.). Negli ultimi mesi l’ETCS Level 2 ha erroneamente trasmesso l’autorizzazione di marcia a due treni, nonostante il posto di manovra non avesse dato il via libera.
La sicurezza del sistema si basa sull’esatta localizzazione tramite il dispositivo odometrico del veicolo. L’odometria viene misurata tramite radar (che dipende dalle condizioni atmosferiche) e/o tramite misurazione della distanza; essa viene influenzata dai dati relativi al diametro delle ruote, dallo slittamento e dal corretto «cablaggio» durante la manutenzione.
Nei casi in questione, l’intera catena di sicurezza dell‘ETCS è stata interrotta a causa di un semplice errore di odometria dei veicoli. Si nutrono parecchi dubbi sul fatto che i requisiti necessari per il SIL 4 siano ancora soddisfatti.
L’ETCS per l’utente
La complessità è inoltre aggravata dalle diverse interfacce dell’hardware e del software che, ad ogni irregolarità, vengono sostituite e accompagnate da un’infinità di check-list e prescrizioni che gli utenti sono tenuti a rispettare per ridurre al minimo i rischi residui.
Nelle modalità operative Shunting ([SH]: manovra) e Staff Responsible ([SR]: primo movimento non monitorato nel sistema), dopo il relativo quietanzamento nella maschera dell’ETCS si può circolare davanti ai segnali e alle tavole segnaletiche senza alcuna sicurezza aggiuntiva.
Sul piano della sicurezza, questo non è nemmeno paragonabile alle operazioni di smistamento negli impianti classici che, con sforzi non indifferenti, attualmente si sta cercando di rendere sempre più sicuri.
Ogni decisione sbagliata e ogni scambio di binario può provocare dei danni immensi, in quanto non vi è più alcun carattere vincolante o controllo della plausibilità da parte dei segnali ottici. Tutti gli interventi non vengono più eseguiti secondo una logica dettata dalle circostanze, in quanto non più verificabile, bensì in base a dei rigidi processi operativi con un significativo potenziale di errore.
Per quanto concerne l’impatto sulla sicurezza, nell’aviazione si è molto più avanti. Dopo gli incidenti aerei con un Boeing 737 MAX 800/900, l’aeronautica si sta chiedendo in che misura un sistema di assistenza possa sostenere i piloti e quando l’assunzione di determinate funzioni da parte del computer comporti dei pericoli per la sicurezza, dal momento che una correzione dello stesso da parte del pilota è decisamente troppo complessa.
Il prezzo di questi sviluppi in cui domina una fiducia cieca nella tecnologia è l’attuale grounding di tutti i Boeing 737 MAX 800/900; la complessità dei rischi residui non consente più di effettuare delle correzioni rapide ed efficaci dei sistemi.
La ferrovia dovrebbe riflettere attentamente se proseguire o meno su questa strada. Al di là dei dubbi benefici, i costi per un potenziamento dell’ETCS L2/L3 su tutto il territorio nazionale, con l’ammodernamento dei posti di manovra ancora necessari, dei veicoli, ecc., sono semplicemente enormi.
L’ETCS contribuisce inoltre ad annientare delle capacità delle linee estremamente importanti. A causa della logica del sistema, anche le tratte in cui di recente è stato introdotto l’ETCS L1 obbligano ad adottare uno stile di guida molto difensivo. Anche in questo caso la plausibilità reale e concreta viene rimpiazzata da corse strumentali basate sulle normative o su semplici congetture. Il macchinista “safety-first” deve necessariamente agire di conseguenza, ciò che comporterà anche una perdita non indifferente di linee.
In conclusione
SmartRail consiste in un programma innovativo nel settore ferroviario svizzero e riveste un ruolo decisivo nello sviluppo dell’ETCS. Il modello aziendale si basa principalmente su delle promesse che finora non sono però state mantenute e espone le ferrovie a dei rischi incalcolabili che, già a medio termine, provocano instabilità e un aumento dei costi. Le principali stazioni ferroviarie non sono ancora state testate e la promessa interoperabilità europea finisce ai confini nazionali.
Un altro ruolo decisivo è svolto dall’Ufficio federale dei trasporti UFT che, l’anno prossimo, dovrà decidere in merito all’eventuale ampliamento dell’ETCS L2.
Staremo a vedere che atteggiamento adotterà l‘UFT per rispondere alle molteplici esigenze delle varie parti interessate del mondo politico, dell’industria e delle ITF.
E fino a quando i contribuenti saranno disposti a tollerare tutto questo.
La rivista "Schweizer-Eisenbahn-Revue" ha fatto un’osservazione appropriata a proposito degli episodi verificatisi con l‘ETCS: «Quanto più complesso è un sistema e tante più possibilità di errore ci sono. Anche la digitalizzazione non può pertanto garantire una sicurezza assoluta. Nel caso in questione, un robot GoA 4 al posto del macchinista sarebbe completamente fuori luogo.»
VSLF No. 598, 28 luglio 2019 HG/SG
Anita Rutz / 29.07.2019
