La Sicurezza nei Sistemi Tranviari
Renzo Emili
L'articolo 89 del D.P.R. n° 783 del 11 Luglio 1980 in materia di responsabilità dell'esercizio di una tranvia in concessione per trasporto pubblico, tuttora vigente, stabilisce quanto segue:
Le aziende esercenti ferrovie in concessione devono avere un direttore od un responsabile dell'esercizio. Per le aziende di maggiori dimensioni, ovvero esercenti servizi di trasporto di diversa natura, la M.C.T.C. o gli organi regionali, nell'ambito delle rispettive attribuzioni, anche in assenza di specifica proposta dell'azienda esercente, possono disporre la nomina di piu' direttori o responsabili dell'esercizio, ciascuno dei quali risponde per linee o gruppi di linee costituenti complessi omogenei, ovvero distinte per natura del servizio di trasporto. Nei limiti stabiliti ai fini della sicurezza dalla M.C.T.C., puo' essere consentito che la stessa persona assolva le funzioni di direttore o responsabile dell'esercizio per linee esercitate da aziende diverse. Gli amministratori delle aziende di cui al primo comma che non provvedono entro i termini ultimativi stabiliti dalla M.C.T.C. o dai competenti organi regionali, secondo le rispettive attribuzioni, alla nomina del direttore o del responsabile dell'esercizio sono puniti con l'ammenda da L. 330.000 a L. 1.000.000. Quando gli amministratori non provvedono entro i successivi termini ultimativi alla nomina del direttore o del responsabile dell'esercizio, la M.C.T.C. o i competenti organi delle regioni o degli enti locali territoriali, secondo le rispettive attribuzioni, dispongono per la decadenza della concessione.
Le aziende esercenti ferrovie in concessione devono avere un direttore od un responsabile dell'esercizio. Per le aziende di maggiori dimensioni, ovvero esercenti servizi di trasporto di diversa natura, la M.C.T.C. o gli organi regionali, nell'ambito delle rispettive attribuzioni, anche in assenza di specifica proposta dell'azienda esercente, possono disporre la nomina di piu' direttori o responsabili dell'esercizio, ciascuno dei quali risponde per linee o gruppi di linee costituenti complessi omogenei, ovvero distinte per natura del servizio di trasporto. Nei limiti stabiliti ai fini della sicurezza dalla M.C.T.C., puo' essere consentito che la stessa persona assolva le funzioni di direttore o responsabile dell'esercizio per linee esercitate da aziende diverse. Gli amministratori delle aziende di cui al primo comma che non provvedono entro i termini ultimativi stabiliti dalla M.C.T.C. o dai competenti organi regionali, secondo le rispettive attribuzioni, alla nomina del direttore o del responsabile dell'esercizio sono puniti con l'ammenda da L. 330.000 a L. 1.000.000. Quando gli amministratori non provvedono entro i successivi termini ultimativi alla nomina del direttore o del responsabile dell'esercizio, la M.C.T.C. o i competenti organi delle regioni o degli enti locali territoriali, secondo le rispettive attribuzioni, dispongono per la decadenza della concessione.
I rapporti tra il direttore di esercizio nominato dall'azienda esercente e le autorità ministeriali è sintetizzabile con lo schema riportato in fig.1
Fig. 1
Ai fini dei collaudi e controlli di sicurezza il Decreto del Ministero delle Infrastrutture e dei Trasporti del 29 settembre 2003 (Gazzetta Ufficiale N. 280 del 2 Dicembre 2003) individuava le funzioni e compiti degli Uffici Speciali per i Trasporti ad Impianti Fissi (USTIF).
Pulsante er il collegamento con : DECRETO 29 settembre 2003
Individuazione delle funzioni e compiti degli uffici speciali per
i trasporti ad impianti fissi (USTIF)
Individuazione delle funzioni e compiti degli uffici speciali per
i trasporti ad impianti fissi (USTIF)
In particolare l'art.7 (comma e) del citato D.M. stabilisce che: gli USTIF rilasciano il nullaosta ai fini della sicurezza, ai sensi dell'art. 102, secondo comma, del decreto del Presidente della Repubblica n. 753 del 1980, per l'approvazione del regolamento di esercizio dell'impianto, predisposto dal direttore o dal responsabile dell'esercizio.
In conseguenza del sopracitato art.7 del D.M. del 29/9/2003 il REGOLAMENTO DI ESERCIZIO assume una posizione di assoluto rilievo ai fini della sicurezza di esercizio e di quanto consegue in caso di incidenti.
Stabilito quanto sopra esposto circa il rispetto del Regolamento di Esercizio nella gestione del servizio di trasporto dei sistemi metro-tranviari, si deve altresì registrare in generale l'evoluzione del concetto di sicurezza in materia di progettazione, costruzione e gestione dei sistemi e che interessa anche quelli adibiti al trasporto di persone. Un'evoluzione intervenuta essenzialmente per l'impulso offerto dalla giurisprudenza del Regno Unito fin dal 1949 e negli anni successivi. Infatti, soprattutto a seguito di sentenze per cause di lavoro, veniva ad affermarsi nel Regno Unito il principio dei "ragionevoli costi necessari ad assicurare un ragionevole livello di sicurezza", riassumibile nella seguente espressione: "la fornitura e manutenzione di impianti e sistemi di lavoro siano, per quanto ragionevolmente praticabili, sicuri e senza rischi per la salute".
Questo concetto è riassunto dal termine ALARP, desunto dalle iniziali dell'espressione
"As Low As is Reasonably Practicable". Frase che esprime l'indirizzo di richiedere requisiti tali da rendere i rischi ridotti a un livello tanto basso quanto economicamente ragionevole.
Il grafico in fig.2 esplicita il concetto di ALARP come punto di incontro di due curve asintotiche, una rapresentantiva del livello dei rischi connessi ad una predeterminata attività o progetto e l'altra rappresentativa dei costi necessari per ridurre tendenzialmente gli stessi rischi verso un valore minimo.
In conseguenza del sopracitato art.7 del D.M. del 29/9/2003 il REGOLAMENTO DI ESERCIZIO assume una posizione di assoluto rilievo ai fini della sicurezza di esercizio e di quanto consegue in caso di incidenti.
Stabilito quanto sopra esposto circa il rispetto del Regolamento di Esercizio nella gestione del servizio di trasporto dei sistemi metro-tranviari, si deve altresì registrare in generale l'evoluzione del concetto di sicurezza in materia di progettazione, costruzione e gestione dei sistemi e che interessa anche quelli adibiti al trasporto di persone. Un'evoluzione intervenuta essenzialmente per l'impulso offerto dalla giurisprudenza del Regno Unito fin dal 1949 e negli anni successivi. Infatti, soprattutto a seguito di sentenze per cause di lavoro, veniva ad affermarsi nel Regno Unito il principio dei "ragionevoli costi necessari ad assicurare un ragionevole livello di sicurezza", riassumibile nella seguente espressione: "la fornitura e manutenzione di impianti e sistemi di lavoro siano, per quanto ragionevolmente praticabili, sicuri e senza rischi per la salute".
Questo concetto è riassunto dal termine ALARP, desunto dalle iniziali dell'espressione
"As Low As is Reasonably Practicable". Frase che esprime l'indirizzo di richiedere requisiti tali da rendere i rischi ridotti a un livello tanto basso quanto economicamente ragionevole.
Il grafico in fig.2 esplicita il concetto di ALARP come punto di incontro di due curve asintotiche, una rapresentantiva del livello dei rischi connessi ad una predeterminata attività o progetto e l'altra rappresentativa dei costi necessari per ridurre tendenzialmente gli stessi rischi verso un valore minimo.
Fig. 2
Tutto quanto sopra premesso, questa impostazione in materia di sicurezza dei sistemi si proporrebbe in definitiva di determinare le condizioni costruttive e/o gestionali affinchè il rischio connesso al loro utilizzo sia classificabile "ALARP" (cioè contenuto nell'intorno del punto d'incontro delle curve di cui alla fig.2) e quindi ragionevolmente praticabile.
A tale proposito ha fatto scuola una sentenza della giurisprudenza britannica che fu emessa nel caso specifico di una causa di lavoro "Edwards contro National Coal Board nel 1949". In quella circostanza la sentenza fu che il rischio deve essere significativo in relazione al sacrificio (in termini di denaro, tempo o difficoltà) necessario per evitarlo e che pertanto i rischi devono essere evitati a meno che per farlo non vi sia una sproporzione grossolana tra costi e benefici.
Di conseguenza sulla base della citata giurisprudenza sembrerebbe che la determinazione del punto ALARP non possa scaturire da una semplice analisi costi-benefici, ma è necessario invece un processo tecnico/contabile iterativo di ponderazione al fine di favorire l'attuazione del miglioramento della sicurezza, contabilizzando però costi accettabili.
A tale proposito ha fatto scuola una sentenza della giurisprudenza britannica che fu emessa nel caso specifico di una causa di lavoro "Edwards contro National Coal Board nel 1949". In quella circostanza la sentenza fu che il rischio deve essere significativo in relazione al sacrificio (in termini di denaro, tempo o difficoltà) necessario per evitarlo e che pertanto i rischi devono essere evitati a meno che per farlo non vi sia una sproporzione grossolana tra costi e benefici.
Di conseguenza sulla base della citata giurisprudenza sembrerebbe che la determinazione del punto ALARP non possa scaturire da una semplice analisi costi-benefici, ma è necessario invece un processo tecnico/contabile iterativo di ponderazione al fine di favorire l'attuazione del miglioramento della sicurezza, contabilizzando però costi accettabili.
Tuttavia, su tutta questa materia non sembra sussistere un consenso univoco e condiviso anche circa i fattori precisi e più appropriati da prendere in considerazione per la determinazione del punto ALARP. Si possono comunque evidenziare alcuni casi pratici e normative nel frattempo emesse a livello internazionale, suscettibili di indicare le linee di indirizzo della materia stessa.
Ad esempio, nel caso della gestione di un sistema metro-tranviario, in fig.3 sono riportati i livelli ritenuti praticamente accettabili in Germania in termini di rischio individuale (cfr. Fig.5 e Fig.8).
Ad esempio, nel caso della gestione di un sistema metro-tranviario, in fig.3 sono riportati i livelli ritenuti praticamente accettabili in Germania in termini di rischio individuale (cfr. Fig.5 e Fig.8).
Fig. 3
Un altro parametro considerato nella problematica della sicurezza, il cosiddetto "livello di sicurezza", accreditabile a un sistema, internazionalmente denominato "SIL" (Safety Integrity Level). Definito come il livello di riduzione del rischio garantito da una Safety Instrumented Function "SIF" (consistente in una serie di apparecchiature destinate a ridurre il rischio causato da un pericolo specifico come ad esempio un circuito di sicurezza avente lo scopo di portare automaticamente un processo industriale in uno stato sicuro quando vengono violate determinate condizioni, oppure consentire a un processo di avanzare in modo sicuro quando le condizioni specificate lo consentono "funzioni permissive", come anche intraprendere azioni per mitigare le conseguenze di un pericolo industriale).
Nella gestione della Sicurezza Funzionale in campo industriale di processo il SIL è suddiviso, in modo qualitativo, in 4 classi ed è sostanzialmente regolamentato dalle seguenti norme:
-CENELEC EN 50126, (2000) Railway Applications- The Specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) ;
-CENELEC EN 50129, (2003) Railway Applications- Communications, signalling and processing systems- Safety related Electronic Systems for Signalling ;
-IEC 61508-1 (2002). International Standard- Functional safety of electrical/electronic/programmable electronic safety-related systems, Part 1: General requirements.
-EN IEC 62061, utilizzata per valutare possibili misure di sicurezza per ridurre i rischi. La norma specifica il modo in cui viene definito il livello SIL (Safety Integrity Level) rappresentivo del livello di integrità delle funzioni di sicurezza (integrità intesa come capacità del sistema di sicurezza di non essere alterato o modificato in modo non autorizzato o indesiderato) .
Il SIL è distinto in quattro livelli: Il “SIL 4” corrisponde al livello più alto di integrità della sicurezza, mentre “SIL 1” corrisponde al livello più basso:
-Il livello 4, il livello più alto, si applica ai sistemi che garantiscono le funzioni più critiche;
-Il livello 3, può essere applicato ai posti o punti della linea che assicurano funzioni di sicurezza;
-Il livello 2, si applica ai sistemi che assicurano funzioni di controllo che, ad esempio, possono essere utilizzate in situazioni degradate per aumentare una condizione di sicurezza;
-Il livello 1, si applica ai sistemi utilizzati nei casi particolari di aiuto o manutenzione.
Lo standard IEC 61511 elenca i metodi di assegnazione del "SIL", i più comuni dei quali sono:
Matrici di Rischio (metodo qualitativo)
Grafici di Rischio (metodo qualitativo)
Layers of protection analysis (LOPA) (metodo quantitativo).
In letteratura tecnica esistono alcune linee-guida di riferimento sulle metodologie da applicare per assegnare i livelli "SIL", tra cui quella dell'agenzia governativa britannica Health and Safety Executive.
Al solo titolo di esempio dimostrativo della metodologia per la determinazione del SIL di un dato sistema, dopo aver creato un piano per la sicurezza conforme alla norma EN IEC 62061, è possibile seguire la procedura indicata in fig.4 che individua 7 passi ad iniziare dalla valutazione e riduzione del rischio.
Nella gestione della Sicurezza Funzionale in campo industriale di processo il SIL è suddiviso, in modo qualitativo, in 4 classi ed è sostanzialmente regolamentato dalle seguenti norme:
-CENELEC EN 50126, (2000) Railway Applications- The Specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) ;
-CENELEC EN 50129, (2003) Railway Applications- Communications, signalling and processing systems- Safety related Electronic Systems for Signalling ;
-IEC 61508-1 (2002). International Standard- Functional safety of electrical/electronic/programmable electronic safety-related systems, Part 1: General requirements.
-EN IEC 62061, utilizzata per valutare possibili misure di sicurezza per ridurre i rischi. La norma specifica il modo in cui viene definito il livello SIL (Safety Integrity Level) rappresentivo del livello di integrità delle funzioni di sicurezza (integrità intesa come capacità del sistema di sicurezza di non essere alterato o modificato in modo non autorizzato o indesiderato) .
Il SIL è distinto in quattro livelli: Il “SIL 4” corrisponde al livello più alto di integrità della sicurezza, mentre “SIL 1” corrisponde al livello più basso:
-Il livello 4, il livello più alto, si applica ai sistemi che garantiscono le funzioni più critiche;
-Il livello 3, può essere applicato ai posti o punti della linea che assicurano funzioni di sicurezza;
-Il livello 2, si applica ai sistemi che assicurano funzioni di controllo che, ad esempio, possono essere utilizzate in situazioni degradate per aumentare una condizione di sicurezza;
-Il livello 1, si applica ai sistemi utilizzati nei casi particolari di aiuto o manutenzione.
Lo standard IEC 61511 elenca i metodi di assegnazione del "SIL", i più comuni dei quali sono:
Matrici di Rischio (metodo qualitativo)
Grafici di Rischio (metodo qualitativo)
Layers of protection analysis (LOPA) (metodo quantitativo).
In letteratura tecnica esistono alcune linee-guida di riferimento sulle metodologie da applicare per assegnare i livelli "SIL", tra cui quella dell'agenzia governativa britannica Health and Safety Executive.
Al solo titolo di esempio dimostrativo della metodologia per la determinazione del SIL di un dato sistema, dopo aver creato un piano per la sicurezza conforme alla norma EN IEC 62061, è possibile seguire la procedura indicata in fig.4 che individua 7 passi ad iniziare dalla valutazione e riduzione del rischio.
Fig.4
Fig.5
Pulsante di collegamento con D.Lgs n.264/2006
Tasto di collegamento a: REGOLAMENTO (UE)
N. 445/2011 DELLA COMMISSIONE del 10 maggio 2011:
N. 445/2011 DELLA COMMISSIONE del 10 maggio 2011:
Fig.7- Schema della procedura estesa (D.M.28/10/2005: Allegato III-Punto 3.4)
Fig.8- Valore atteso di rischio annuo per passeggero per km (D.M.28/10/2005: Allegato III-Punto 4.2)
Fig.9- Livelli di accettabilità del rischio cumulato (D.M.28/10/2005: Allegato III-Punto 4.3)
Bottone collegamento con: Decreto Ministero delle Infrastrutture e dei Trasporti del 28/10/2005 "Sicurezza nelle gallerie ferroviarie"
Bottone collegamento con: Decreto Ministero dell'Interno del 21/10/2015 "Approvazione della regola tecnica di prevenzione degli incendi progettazione, costruzione ed esercizio delle metroplitane"
Queste tipologie di procedure ed il conseguente processo di ponderazione contabile dovrebbe portare infine ad individuare l'area ALARP rappresentabile negli schemi indicati in fig. 5 [Rischio Atteso Individuale "IR", derivante dal valore normalizzanto rispetto alla popolazione esposta in un anno e per chilometro percorso in un tempo prefissato (es. un anno), unità di misura: fatalità/passeggero*km-anno] e fig 6 [Rischio cumulativo "CR": inteso come la combinazione aggregata dei rischi derivanti dalla probabilità dell’esposizione a più fatalità per km di percorso in un tempo prefissato (es. un anno), unità di misura: Numero di fatalità /km-anno].
Fig.6-Qui il rischio è rappresentato come distribuzione delle probabilità di superamento di predeterminate soglie di tipologie di fatalità per anno (asse delle ordinate) rispetto al numero di fatalità (asse delle ascisse) che eventualmente possono verificarsi.
In alcuni casi specifici, come ad esempio le gallerie stradali, il Legislatore italiano ha definito la metodologia di analisi di rischio da utilizzare per “misurare il livello di rischio di una galleria” al fine di confrontarlo con i limiti definiti dal Legislatore stesso. A tale proposito nell’allegato 3 del D.Lgs n. 264/2006 sono stabiliti i requisiti che deve rispettare la metodologia di analisi di rischio quantitativa ed analitica al fine di risultare idonea per determinare il livello di rischio proprio delle gallerie presenti sulla rete stradale italiana come prestabilito dalla Direttiva 2004/54/CE.
In conclusione, come già sopra accennato, la stima dei rischi è un processo iterativo che può essere necessario ripetere più volte. Le stime dei rischi e del SIL vengono eseguite sostanzialmente per ogni pericolo in cui il rischio debba essere ridotto mediante misure di tecnica della sicurezza.
La stima dei rischi, secondo quanto previsto dalla Norma EN 62061, viene effettuata prendendo in considerazione i seguenti punti:
-Gravità della lesione;
-Frequenza e/o durata dell'esposizione al pericolo;
-Probabilità del verificarsi di un evento potenzialmente pericoloso;
-Possibilità di evitare o limitare i danni.
Questo processo implica conoscenze specifiche della materia tecnica trattata, una metodologia analitica ben definita ed identificata come idonea ai livelli nazionali ed internazionali per determinare il livello di rischio.
La stima dei rischi, secondo quanto previsto dalla Norma EN 62061, viene effettuata prendendo in considerazione i seguenti punti:
-Gravità della lesione;
-Frequenza e/o durata dell'esposizione al pericolo;
-Probabilità del verificarsi di un evento potenzialmente pericoloso;
-Possibilità di evitare o limitare i danni.
Questo processo implica conoscenze specifiche della materia tecnica trattata, una metodologia analitica ben definita ed identificata come idonea ai livelli nazionali ed internazionali per determinare il livello di rischio.
Nel sistema ferroviario l’attenzione all’analisi dei rischi associati alla manutenzione, la loro valutazione e la valutazione e predisposizione di misure di controllo e mitigazione del rischio, è stata introdotta in maniera formale dal Regolamento UE 445/2011 che definisce i requisiti cui deve rispondere il Responsabile della Gestione della Manutenzione (SRM o con l’acronimo inglese ECM) relativamente ad un sistema di certificazione dei soggetti responsabili della manutenzione di carri merci e che modifica il regolamento (CE) n. 653/2007.
Questa puntualizzazione, unitamente alla nuova norma ISO 9001.2015 ed ai diversi Regolamenti europei (402/2013, 1078/2012), Direttive europee (2008/110, 2016/798) e Decreti nazionali (ANSF 4/2012) nel frattempo emessi, ha fatto sì che i più importanti attori del settore ferroviario impostassero la loro attività manutentiva iniziando a tenere presenti i principi dell’analisi dei rischi.
Infatti, l'analisi dei rischi è anche alla base del Decreto del Ministero delle Infrastrutture e dei Trasporti del 28 ottobre 2005 che riguarda la sicurezza nelle gallerie ferroviarie di lunghezza superiore a 1000 m (fatto salvo quanto specificato nell'Allegato II per gallerie da 500 m a 1000 m), con esclusione di metropolitane e stazioni/fermate ferroviarie in sotterraneo a loro volta regolamentate dallo specifico Decreto del Ministero dell'Interno del 21 ottobre 2015 avente per oggetto: "Approvazione della regola tecnica di prevenzione incendi per la progettazione, costruzione ed esercizio delle metropolitane".
In questo citato D.M. 28/10/2005 e relativi Allegati ed Annessi è complessivamente richiesta e definita una procedura di calcolo e analisi del rischio specifica per le Gallerie Ferroviarie, ma che in definitiva definisce, più generalmente, il percorso fisico/statistico/matematico a cui eventualmente riferirsi per valutare i rischi connessi ad altre tipologie sistemistiche.
In particolare nell'Allegato III del D.M. 28 ottobre 2005 è precisato che l'analisi del rischio deve fare riferimento alla scomposizione del sistema treno-galleria nei sottosistemi componenti infrastruttura, materiale rotabile e procedure operative (rif.:documento UIC-Codex 779-9 "Safety in Railway tunnels").
L'analisi di rischio deve valutare i diversi rischi in galleria, tenendo conto di tutti gli elementi inerenti alle sue peculiarità progettuali, alle condizioni e al tipo di traffico (modello di circolazione), alle frequenze di circolazione delle diverse tipologie di traffico (passeggeri o merci), alle caratteristiche della infrastruttura e dei rotabili.
L'analisi di rischio ha lo scopo iniziale di valutare le probabilità di accadimento di eventi accidentali preventivamente identificati unitamente alla valutazione di un indicatore della gravità delle conseguenze connesse all'evolversi degli stessi eventi.
La procedura di Analisi del Rischio si basa sull'applicazione critica di metodi probabilistici consolidati per la valutazione del rischio di eventi complessi che utilizzano le usuali tecniche ad "Albero degli Eventi" ed ad "Albero delle Cause", combinati a studi di Scenario per la valutazione delle conseguenze associate a ciascun possibile esito finale.
Le informazioni di riferimento per costruire i dati di ingresso della procedura hanno come fonte di riferimento le Relazioni sullo Stato della Sicurezza delle Gallerie Ferroviarie di cui all'art.6 del D.M., eventualmente integrate da informazioni contenute in banche dati, ufficialmente accreditate, su indici di incidentalità e tassi di malfunzionamento o guasto di componenti del sistema (Anness0 C al D.M 28 ottobre 2005). In particolare per la rete gestita da Rete Ferroviaria Italiana esiste una banca dati di eventi incidentali nella quale sono riportate tutte le informazioni di dettaglio sulla cui base possono essere effettuate valutazioni statistiche per l'analisi del rischio.
I principali scenari di riferimento incidentali relativamente all'emergenza in galleria sono identificati come conseguenti all'insorgenza dei seguenti eventi critici iniziatori:
-INCENDIO (S1);
-DERAGLIAMENTO (S2);
-COLLISIONE (S3).
Con riferimento ad un'analisi di tipo probabilistico i tre scenari incidentali considerati devono essere costruiti in modo da risultare mutualmente disgiunti e dunque di costituire un gruppo completo di eventi incompatibili, in modo tale che il rischio complessivo relativo all'emergenza in galleria sia somma dei rischi relativi ai singoli scenari incidentali.
I tre scenari incidentali di riferimento potranno evolvere verso differenziate configurazioni stazionarie di fine emergenza caratterizzate da diversi livelli di danno all'uomo, il materiale, e l'infrastruttura a seconda che si verifichi il funzionamento corretto o malfunzionamento delle misure di protezione e mitigazione realizzate a livello di:
-Sottosistema INFRASTRUTTURA
-Sottosistema MATERIALE ROTABILE
-Sottosistema PROCEDURE OPERATIVE
In definitiva l'evoluzione del singolo scenario incidentale verso una conseguenza di danno massimo, minimo o intermedio arriva dalla presenza, dall'efficacia e dall'efficienza dei sistemi protettivi e mitigativi realizzati a livello di infrastruttura, materiale rotabile, procedure operative, nonchè delle misure di facilitazione di autosoccorso e soccorso. Le procedure operative sintetizzano il ruolo congiunto dei sottosistemi: manutenzione del sistema ferroviario, controllo-comando e segnalamento del sistema ferroviario, energia del sistema ferroviario, esercizio del sistema ferroviario.
La procedura può essere estesa (fig.7) anche allo studio delle cause d'innesco dei singoli eventi iniziatori caratteristici dello scenario (Incendio, Deragliamento, Collisione), sulla base delle usuali tecniche ad Albero delle Cause, al fine di identificare la probabilità di accadimento dell'evento (vedi esempio Fig.7).
Infatti, l'analisi dei rischi è anche alla base del Decreto del Ministero delle Infrastrutture e dei Trasporti del 28 ottobre 2005 che riguarda la sicurezza nelle gallerie ferroviarie di lunghezza superiore a 1000 m (fatto salvo quanto specificato nell'Allegato II per gallerie da 500 m a 1000 m), con esclusione di metropolitane e stazioni/fermate ferroviarie in sotterraneo a loro volta regolamentate dallo specifico Decreto del Ministero dell'Interno del 21 ottobre 2015 avente per oggetto: "Approvazione della regola tecnica di prevenzione incendi per la progettazione, costruzione ed esercizio delle metropolitane".
In questo citato D.M. 28/10/2005 e relativi Allegati ed Annessi è complessivamente richiesta e definita una procedura di calcolo e analisi del rischio specifica per le Gallerie Ferroviarie, ma che in definitiva definisce, più generalmente, il percorso fisico/statistico/matematico a cui eventualmente riferirsi per valutare i rischi connessi ad altre tipologie sistemistiche.
In particolare nell'Allegato III del D.M. 28 ottobre 2005 è precisato che l'analisi del rischio deve fare riferimento alla scomposizione del sistema treno-galleria nei sottosistemi componenti infrastruttura, materiale rotabile e procedure operative (rif.:documento UIC-Codex 779-9 "Safety in Railway tunnels").
L'analisi di rischio deve valutare i diversi rischi in galleria, tenendo conto di tutti gli elementi inerenti alle sue peculiarità progettuali, alle condizioni e al tipo di traffico (modello di circolazione), alle frequenze di circolazione delle diverse tipologie di traffico (passeggeri o merci), alle caratteristiche della infrastruttura e dei rotabili.
L'analisi di rischio ha lo scopo iniziale di valutare le probabilità di accadimento di eventi accidentali preventivamente identificati unitamente alla valutazione di un indicatore della gravità delle conseguenze connesse all'evolversi degli stessi eventi.
La procedura di Analisi del Rischio si basa sull'applicazione critica di metodi probabilistici consolidati per la valutazione del rischio di eventi complessi che utilizzano le usuali tecniche ad "Albero degli Eventi" ed ad "Albero delle Cause", combinati a studi di Scenario per la valutazione delle conseguenze associate a ciascun possibile esito finale.
Le informazioni di riferimento per costruire i dati di ingresso della procedura hanno come fonte di riferimento le Relazioni sullo Stato della Sicurezza delle Gallerie Ferroviarie di cui all'art.6 del D.M., eventualmente integrate da informazioni contenute in banche dati, ufficialmente accreditate, su indici di incidentalità e tassi di malfunzionamento o guasto di componenti del sistema (Anness0 C al D.M 28 ottobre 2005). In particolare per la rete gestita da Rete Ferroviaria Italiana esiste una banca dati di eventi incidentali nella quale sono riportate tutte le informazioni di dettaglio sulla cui base possono essere effettuate valutazioni statistiche per l'analisi del rischio.
I principali scenari di riferimento incidentali relativamente all'emergenza in galleria sono identificati come conseguenti all'insorgenza dei seguenti eventi critici iniziatori:
-INCENDIO (S1);
-DERAGLIAMENTO (S2);
-COLLISIONE (S3).
Con riferimento ad un'analisi di tipo probabilistico i tre scenari incidentali considerati devono essere costruiti in modo da risultare mutualmente disgiunti e dunque di costituire un gruppo completo di eventi incompatibili, in modo tale che il rischio complessivo relativo all'emergenza in galleria sia somma dei rischi relativi ai singoli scenari incidentali.
I tre scenari incidentali di riferimento potranno evolvere verso differenziate configurazioni stazionarie di fine emergenza caratterizzate da diversi livelli di danno all'uomo, il materiale, e l'infrastruttura a seconda che si verifichi il funzionamento corretto o malfunzionamento delle misure di protezione e mitigazione realizzate a livello di:
-Sottosistema INFRASTRUTTURA
-Sottosistema MATERIALE ROTABILE
-Sottosistema PROCEDURE OPERATIVE
In definitiva l'evoluzione del singolo scenario incidentale verso una conseguenza di danno massimo, minimo o intermedio arriva dalla presenza, dall'efficacia e dall'efficienza dei sistemi protettivi e mitigativi realizzati a livello di infrastruttura, materiale rotabile, procedure operative, nonchè delle misure di facilitazione di autosoccorso e soccorso. Le procedure operative sintetizzano il ruolo congiunto dei sottosistemi: manutenzione del sistema ferroviario, controllo-comando e segnalamento del sistema ferroviario, energia del sistema ferroviario, esercizio del sistema ferroviario.
La procedura può essere estesa (fig.7) anche allo studio delle cause d'innesco dei singoli eventi iniziatori caratteristici dello scenario (Incendio, Deragliamento, Collisione), sulla base delle usuali tecniche ad Albero delle Cause, al fine di identificare la probabilità di accadimento dell'evento (vedi esempio Fig.7).
I risultati derivanti dall'analisi ad Albero degli Eventi forniscono la stima della distribuzione di probabilità di accadimento del livello di danno associato alle conseguenze degli scenari incidentali di riferimento.
Sulla base di tali dati si definisce una misura di livello di Rischio Atteso Totale (R), per una specifica opera e per uno specifico regime di traffico. Il Rischio Atteso Totale (R) può essere espresso come:
Sulla base di tali dati si definisce una misura di livello di Rischio Atteso Totale (R), per una specifica opera e per uno specifico regime di traffico. Il Rischio Atteso Totale (R) può essere espresso come:
Dove:
R= rischio atteso;
pi =probabilità di accadimento dell'i-esima conseguenza;
Ci =valore dell'indicatore di danno associato alla conseguenza i-esima;
n = numero di eventi conseguenza.
La misura del livello del Rischio Atteso Individuale (IR) si ottiene, normalizzando il valore del precedente indicatore rispetto alla popolazione esposta in un intervallo di tempo prefissato (un anno) e per chilometro percorso in galleria.
E' altresì ben definito un livello di Rischio Cumulato (CR) sulla base della distribuzione di probabilità cumulata del livello di danno riferita sempre ad un anno.
Il livello di rischio individuale unitamente al rischio cumulato costituiscono le grandezze di riferimento per l'accettabilità del livello di sicurezza del passeggero associato alla singola specifica galleria.
I dati complessivi ottenuti dall'Analisi di Rischio, effettuata su tutte le gallerie distribuite sulla rete ferroviaria, messi a confronto con i dati statistici dell'incidentalità e dell'altra con le aspettative di sicurezza della collettività, consentono di definire gli obiettivi di rischio in termini di soglie di rischio individuale e cumulato.
Livello di accettabilità del rischio individuale
Secondo i dati di letteratura per i rischi liberamente assunti viene registrato statisticamente un rischio individuale per anno compreso compreso tra 10-1 e 10-5, mentre per quelli involontari si va da 10-6 a 10-8.
Ipotizzando, in modo cautelativo, che ciascun utente percorra in media 1000km/anno sul sistema ferroviario, il valore di rischio individuale in galleria viene fissato in 10-9 fatalità/(passeggeri x km x anno).
Per quanto sopra esposto, il rischio individuale definisce il valore atteso di rischio annuo per passeggero per km; la soglia di attenzione è fissata a 10-11 e la soglia di inaccettabilità a 10-9.
R= rischio atteso;
pi =probabilità di accadimento dell'i-esima conseguenza;
Ci =valore dell'indicatore di danno associato alla conseguenza i-esima;
n = numero di eventi conseguenza.
La misura del livello del Rischio Atteso Individuale (IR) si ottiene, normalizzando il valore del precedente indicatore rispetto alla popolazione esposta in un intervallo di tempo prefissato (un anno) e per chilometro percorso in galleria.
E' altresì ben definito un livello di Rischio Cumulato (CR) sulla base della distribuzione di probabilità cumulata del livello di danno riferita sempre ad un anno.
Il livello di rischio individuale unitamente al rischio cumulato costituiscono le grandezze di riferimento per l'accettabilità del livello di sicurezza del passeggero associato alla singola specifica galleria.
I dati complessivi ottenuti dall'Analisi di Rischio, effettuata su tutte le gallerie distribuite sulla rete ferroviaria, messi a confronto con i dati statistici dell'incidentalità e dell'altra con le aspettative di sicurezza della collettività, consentono di definire gli obiettivi di rischio in termini di soglie di rischio individuale e cumulato.
Livello di accettabilità del rischio individuale
Secondo i dati di letteratura per i rischi liberamente assunti viene registrato statisticamente un rischio individuale per anno compreso compreso tra 10-1 e 10-5, mentre per quelli involontari si va da 10-6 a 10-8.
Ipotizzando, in modo cautelativo, che ciascun utente percorra in media 1000km/anno sul sistema ferroviario, il valore di rischio individuale in galleria viene fissato in 10-9 fatalità/(passeggeri x km x anno).
Per quanto sopra esposto, il rischio individuale definisce il valore atteso di rischio annuo per passeggero per km; la soglia di attenzione è fissata a 10-11 e la soglia di inaccettabilità a 10-9.
Qualora il rischio calcolato ricadesse in zona di attenzione è richiesto di documentare in modo esauriente la precisione e rappresentatività dei dati utilizzati nonchè l'accuratezza della procedura; nel caso di residua incertezza è richiesto di procedere con una valutazione di tipo ALARP.
Livelli di accettabilità del rischio cumulato
L'indicatore di rischio cumulato consente di valutare gli effetti dell'evoluzione degli eventi pericolosi sui passeggeri esposti.
Come criterio di accettabilità del rischio cumulato si procede ad una analisi sulla base del criterio definito come probabilità che si verifichino, in un fissato periodo di tempo (es:un anno) e per chilometro di galleria, non più di un predeterminato numero di fatalità [N/km-anno].
Al fine di identificare una soglia di accettabilità viene introdotto un criterio di limitazione sul piano P([N/km-anno]>x), N dove viene presa in considerazione la probabilità che le fatalità superino una determinata soglia.
L'indicatore di rischio cumulato consente di valutare gli effetti dell'evoluzione degli eventi pericolosi sui passeggeri esposti.
Come criterio di accettabilità del rischio cumulato si procede ad una analisi sulla base del criterio definito come probabilità che si verifichino, in un fissato periodo di tempo (es:un anno) e per chilometro di galleria, non più di un predeterminato numero di fatalità [N/km-anno].
Al fine di identificare una soglia di accettabilità viene introdotto un criterio di limitazione sul piano P([N/km-anno]>x), N dove viene presa in considerazione la probabilità che le fatalità superino una determinata soglia.
Il grafico riportato nella fig.9 riporta il criterio di accettabilità della funzione cumulata di probabilità ed indica la probabilità annua che il numero di fatalità per km sia maggiore di predeterminate soglie di riferimento.
Da solo il criterio basato sull'indicatore di rischio cumulato non può essere adottato come criterio di accettabilità nell'analisi della singola galleria; esso deve essere associato a quello individuale.
Da solo il criterio basato sull'indicatore di rischio cumulato non può essere adottato come criterio di accettabilità nell'analisi della singola galleria; esso deve essere associato a quello individuale.
CONFRONTO INERENTE LA SICUREZZA FERROVIARIA NELL'UNIONE EUROPEA RISPETTO AD ALTRE MODALITÀ DI TRASPORTO DELLE PERSONE (Rilevazioni statistiche relative al quinquennio 2008-2012)
Fonte:European Railway Agency (2014)
