Cosa non ha funzionato nell’incidente ferroviario Brandizzo? Un guasto, un errore umano, mancanza di comunicazione. Gli accertamenti di questo disastro consentiranno di capire come evitare che accada nuovamente
Per chi come me si occupa di sicurezza, è veramente difficile parlare di quanto accaduto nell’incidente ferroviario Brandizzo, proprio perché quanto accaduto rappresenta una sconfitta per tutto il mondo della sicurezza, che probabilmente a distanza di 16 anni dall’incendio della Thyssen Krupp, riapre nuovamente il vaso di pandora, una sicurezza che torna ad interessarci e che pretendiamo solo di fronte a questi disastri troppo frequenti.
Non è mio compito fare l’arringa populista da politico di turno il quale chiederà a gran voce che sia fatta luce sull’accaduto e sulle responsabilità. Onestamente da tecnico mi limito a cercare di capire, imparare e dare eventualmente un contributo nelle situazioni che la professione mi metterà davanti.
L'accaduto ed i fatti raccolti
L’incidente ferroviario Brandizzo è troppo recente per poter raccontare con certezza la cronologia dei fatti accaduti. Sono in corso in questi giorni le indagini e solo dopo potremo capire meglio realmente la situazione che ha originato questa nuova strage. Quello che conosciamo in questo momento da fonti ufficiali come ANSA, è che 5 operai sono stati travolti poco prima della mezzanotte del 30 Agosto da un treno sulla linea Torino-Milano, a Brandizzo, a un chilometro dalla stazione ferroviaria.
Il treno, secondo i primi riscontri dei carabinieri, viaggiava a 100 chilometri all’ora e gli operai stavano eseguendo dei lavori di sostituzione di alcuni metri di binario vicino alla stazione quando è passato il convoglio merci. Si trattava di interventi di manutenzione da parte di una ditta appaltatrice esterna al proprietario della linea RFI.
Ore 23.47 una motrice E.464 con 11 vagoni vuoti, travolge e trascina per 500 metri i 5 manutentori.
Ore 23.49 la motrice finalmente ferma sui binari con i macchinisti sotto choc.
Ore 23.51 i macchinisti urlando avvertono la Sala Operativa RFI denunciando che non erano stati avvertiti della presenza dei manutentori.
Ore 00.05 arrivo dei soccorsi e dei carabinieri e VVF di Chivasso e constatazione del decessi dei 5 manutentori.
Le vittime e le indagini
Le cinque vittime non hanno avuto modo di mettersi in salvo a causa del rapido avvicinarsi del treno. Erano dipendenti della società Sigifer di Borgo Vercelli. La procura sta indagando anche tramite l’analisi dei filmati di videosorveglianza. presenti.
Onestamente interessa poco conoscere le vittime, si tratta sempre di 5 vite che vengono a mancare, preme solo sottolineare anche la perdita di giovanissimi lavoratori, magari alla prima occupazione importante, e con l’entusiasmo di sfruttare ogni intervento per fare esperienza e diventare un giorno un abile lavoratore in grado di insegnare ed addestrare altri giovani lavoratori. Quello che sappiamo è che i 5 lavoratori deceduti hanno fra i 22 anni di Kevin, i 34 anni di Michael, i 43 e 49 anni dei due Giuseppe ed infine di 52 di Saverio.
Ciò che forse non è molto noto è la presenza di due superstiti due colleghi dei 5 morti tutti dell’impresa Sigifer, dei quali un lavoratore ed il capo cantiere e preposto delle attività già iscritto nel registro degli indagati assieme all’addetto di RFI per lo specifico appalto.
Nelle ultime ricostruzioni emergono particolare ancora più sconfortanti. In primis il nulla osta all’inizio lavori in RFI risulta completamente gestito telefonicamente.
Tre telefonate inascoltate sarebbero state accertate dai magistrati di Ivrea: per tre volte erano stati inviati allarmi alle squadre di manutentori. Se i messaggi fossero stati ascoltati, la tragedia non sarebbe avvenuta.
Agli atti risultano tre telefonate tra uno dei due superstiti dell’incidente ferroviario Brandizzo e la dirigente di movimento a Chivasso. In questa telefonate dovrà essere accertata l’assenza del nulla osta all’inizio dei lavori di manutenzione. Le tre risposte di “non procedere con i lavori” sarebbero avvenute in 26 minuti. Non è ancora chiaro perché la squadra abbia comunque iniziato l’attività nonostante tali risposte ricevute sul passaggio del treno con indicazione di inizio lavori solo dopo la mezzanotte.
«Possiamo cominciare?» chiede Massa (coordinatore per RFI) alla dirigente movimento di Chivasso, che risponde: «State fermi. Deve ancora passare un treno, che è in ritardo. Aggiorniamoci dopo». Da Chivasso viene anche detto agli operai di decidere una fascia oraria per l’intervento :”Scegliete voi quale fascia oraria preferite” avrebbe detto Massa alla squadra, sapendo che alle 1:30 sarebbe passato il successivo treno.
La squadra di operai però, va sui binari. I cinque avrebbero ricevuto l’ok dei superiori.
Le ipotesi
L’incidente ferroviario Brandizzo, è ancora troppo recente. In questa fase si rincorrono tantissime ipotesi sull’accaduto. Un errore di comunicazione, un errore del macchinista anche lui sotto inchiesta o un errore della squadra di manutenzione che non doveva trovarsi a quell’ora in quel punto della rete ferroviaria. Su questo Polfer e Procura stanno indagando tramite ricostruzioni dei superstiti e tutti gli atti comprese le riprese video esistenti.
I 7 lavoratori presenti nell’incidente ferroviario Brandizzo al momento sul cantiere operavano con la certezza che i binari fossero sgombri non avvertendo l’arrivo in velocità del convoglio, che pertanto è velocemente giunto sul luogo uccidendo sul colpo cinque di loro e risparmiando due colleghi che erano poco fuori i binari, che al contrario hanno avvertito l’avvicinarsi del treno riuscendo ad allontanarsi a sufficienza.
A prevalere in questa fase è l’ipotesi di un errore di comunicazione tra il macchinista a bordo del treno che procedeva pensando forse di avere il percorso libero ed Rfi, che ha autorizzato agli operai a eseguire la manutenzione a quell’ora.
Non voglio neppure citare dettagli inutili relativi al certificato UNI EN 45001 che Sigifer avrebbe dovuto aver rinnovato recentemente, perché in tutta onestà non ritengo che questo sposti di un millimetro il problema di fondo che nuovamente torna ad essere a mio avviso il coordinamento di un appalto o, come in questo caso, di un cantiere con una interferenza dovuta al traffico del convoglio dove non avrebbe dovuto esserci nessun passaggio.
Basandomi sulla mia esperienza lavorativa di neo laureato nel lontano 2006, ho avuto la fortuna di lavorare per alcuni anni sui sistemi di sicurezza esistenti sia a bordo treno che a terra e su questo vorrei fare un piccolo approfondimento di seguito.
Dispositivi di sicurezza treno e terra
Tutti i sistemi inerenti la sicurezza del mondo ferroviario sottostanno a severe norme di progettazione sia per la parte software secondo la EN 50128 che per la parte hardware EN 50129. Tutti i prodotti che impattano la sicurezza dei prodotti ferroviari, devono essere certificati da enti di controllo terzi (solitamente sotto il diretto controllo di RFI) come dispositivi di livello di integrità 4 o più correttamente SIL4 (Safety Integrity Level 4) cioè il massimo previsto dalle attuali norme.
Cosa significa e come si traduce in pratica?
Riuscire a progettare, realizzare e integrare sistemi SIL4 non è assolutamente banale. Qualunque sia il guasto (hardware o software) del dispositivo di sicurezza il sistemi deve essere in grado di diagnosticarlo e di tollerarlo. In soldoni un guasto ad un sistema di sicurezza non può portare immediatamente ad un rischio per la sicurezza, ma allo stesso tempo, il sistema diagnostico deve essere in grado di riconoscere il guasto, ed allertare i soggetti preposti sull’esistenza del guasto stesso.
Capirete che un hardware di questo tipo ed il relativo software sono progettati e strutturati appositamente per riuscire ad ottenere questo arduo risultato fin dalle prime fasi di sviluppo. Le tecniche che consentono di ottenere ciò sono svariate, Fault Tree Analisys FTA, Failure Mode, Effects and Criticality Analysis FMECA tutte caratterizzate da un analisi condotta a tavolino, si pensa un guasto o un problema (e vi giuro che bisogna essere molto bravi ad immaginarli tutti) e si arriva ad individuare quale effetto quel guasto possa avere sul nostro sistema di sicurezza.
Spesso la teoria differisce dalla pratica e per questo ricordo pomeriggi passati in laboratorio a creare fault injection cioè creare sull’elettronica guasti ad hoc per verificare la corretta rilevazione del guasto da parte del sistema.
Oggi il sistema ferroviario è imbottito di tantissimi prodotti che dovrebbero garantire la sicurezza. Il più importante forse SCMT (sistema controllo marcia treno) è molto utilizzato anche nel panorama italiano. Esiste cioè un sistema di comunicazione con antenne lungo i binari, che comunicano continuamente con un sistema di ricezione presente sul treno avvisando sullo stato dei segnali semaforici che il treno troverà di lì a poco, oppure sulla massima velocità che il treno può mantenere in una certa tratta. Esistono sistemi uomo presente, che obbligano il conducente periodicamente a premere un check per comunicare al treno la sua costante vigilanza.
Cosa succede se il macchinista ha un malore o non rispetta le indicazioni semaforiche o di velocità? Beh il treno rallenta o addirittura va immediatamente in frenatura di emergenza.
Si tratta di un controllo molto potente e tecnologicamente avanzato che consente di garantire la sicurezza dei viaggiatori e del treno anche in caso di errore umano.
Anche il sistema che comanda gli scambi ferroviari tramite casse di manovra, sono a loro volta verificate costantemente da un sistema diagnostico volto a verificare che il comando di scambio di una cassa abbia effettivamente lo scambio desiderato. Questo meccanismo fino agli anni ’50 completamente manuale è ovviamente oggi completamente automatizzato e comandato da Sala Operativa.
Tutto questo ragionamento, mi porta a dire cosa? Che trovo veramente difficile che (qualora presenti, non tutta la rete ferroviaria dispone di questi sistemi SCMT) tutti questi livelli di protezione possano aver fallito a catena e contemporaneamente.
Non lo dice Lorenzo Fé ma lo dice la statistica anche contro la Legge di Murhpy. Un sistema SIL4 ha un tasso di guasto contrario alla sicurezza non inferiore a 10ˆ-8 guasti/ora, cioè un guasto critico ogni 100 milioni di ore di funzionamento, cioè 4.166.666 giorni, indicativamente 11.400 anni.
Qualcuno potrà obiettare che si tratta di statistica e che i tassi di guasto medio sono ben altri. Vero. Ma comunque il sistema in caso di guasto contrario alla sicurezza sarebbe andato in condizioni di sicurezza.
Tornando al nostro caso, il ragionamento mi porta a pensare che qualcosa non andasse nelle casse di manovra per spostare il convoglio in altro binario, o se il binario fosse stato correttamente protetto da un rosso semaforico o altra segnalazione, anche l’errore umano sarebbe stato impedito e gestito dal sistema.
Al contrario sono portato a pensare, e mi occuperò di aggiornare questo articolo a seguito delle nuove informazioni che potranno emergere sull’accaduto, che nell’incidente ferroviario Brandizzo l’errore non possa che essere solo ed esclusivamente umano. Che sia un errore di comunicazione come pare piuttosto che di livello organizzato su errori nei tempi di inizio manutenzione/passaggio del convoglio, l’attività professionale mi porta sempre più a scontrarmi con situazioni dove l’errore è quasi sempre dell’elemento più debole della catena di sicurezza, l’uomo.
Considerazioni finali e personali
Ritengo l’incidente ferroviario Brandizzo veramente un grande fallimento di tutti gli addetti ai lavori.
Altre 5 persone entrano nell’elenco degli sfortunati, ma non è corretto parlare solo di sfortuna. Il nostro livello culturale è ancora troppo lontano dal comprendere l’importanza di un qualunque dispositivo di sicurezza dal più banale riparo trasparente su un trapano, al pulsante di emergenza ai sistemi “infallibili” SIL4 in grado di prevenire anche l’errore umano.
I costruttori di macchine molte volte evitano di alzare il livello di sicurezza delle proprie macchine che altrimenti sarebbero invendibili, perché l’acquirente percepisce quel dispositivo di sicurezza aggiuntivo come “non sono mica scemo a mettere le mani lì!” eppure prima o poi qualcuno le mani lì ce le metterà anche solo per stanchezza o per disattenzione. Siamo sempre noi uomini l’anello debole, ed ho la sensazione che continueremo ad esserlo ancora.
Da tecnico non mi vorrei spingere oltre a questo, tuttavia fa veramente profonda commozione l’immagine della croce apparsa sul ferro incandescente della traversa sulla quale stavano intervenendo gli operai poco prima dell’incidente. Lascio a tutti voi l’interpretazione del significato che ciascuno vorrà dargli secondo il proprio credo e convinzione. Personalmente mi limito a riportare questa immagine molto particolare, e sperare che effettivamente qualcuno di più alto abbia provato a mandare un messaggio dove la nostra umana comunicazione ha nuovamente fallito.
La tecnologia potrà continuare a migliorare e diventare sempre più smart ed intelligente, dato che è il momento delle Intelligenze Artificiali introdotte anche nel nuovo Regolamento Macchina 2023, ma essenzialmente dovremo evolverci noi nell’essere capaci ed in grado di ottimizzarne l’uso, e soprattutto “escluderle” in maniera saggia e sapiente solo dove vi è garanzia che altre misure siano state prese in compensazione. Se questo ultimo elemento viene a mancare, l’evoluzione della tecnologia e della sua intelligenza, sarà stata inutile.
