Presso la stazione di Zollikofen BE, il 2 giugno 2022 si è verificata una collisione a una velocità di circa 70 km/h tra un treno loc della BLS Cargo AG composto da unità multiple, e la coda di un treno merci in partenza formato in gran parte da veicoli speciali destinati al lavoro sui binari.
Si è ben presto saputo che il treno loc stava circolando con il sistema di controllo del treno disattivato. Questo spiegherebbe il perché il macchinista abbia superato i segnali disposti su avvertimento/arresto ad alta velocità e non abbia reagito. Fortunatamente, il macchinista ha riportato solo lievi ferite.
Controllo dei treni
Fino alla metà degli anni 2010, il sistema di protezione dei treni "Signum-Integra" (con funzione di avvertimento e arresto), lo ZUB (con funzione di monitoraggio della curva di frenata/velocità) e l'ETCS (con funzione di monitoraggio della velocità e dei segnali nel Level 1 e monitoraggio completo nel Level 2) potevano essere isolati separatamente.
Da quando il sistema "Signum-Integra" è stato messo fuori servizio e l'Eurobalise Transmission Module ETM ha rilevato la funzione di avvertimento/arresto, la disattivazione dello ZUB ha automaticamente l'effetto di inibire le funzioni di avvertimento/arresto del controllo di marcia del treno. La corsa non è pertanto monitorata da alcun dispositivo di sicurezza e il macchinista non è più informato circa la presenza di segnali di avvertimento/arresto.
Da decenni, le prescrizioni sulla circolazione dei treni PCT stabiliscono che quando il "Signum-Integra" viene disattivato, alla prima occasione bisogna richiedere la presenza di un ulteriore macchinista o di un aiuto macchinista in cabina. Finché nella cabina di guida non è presente un altro macchinista o un aiuto macchinista, la velocità massima consentita con un sistema di protezione del treno difettoso è di 80 km/h e Il veicolo può circolare al massimo per 12 ore.
Attuale regolamentazione nelle prescrizioni operative
Nel 2014, nelle «prescrizioni operative del traffico» è stata introdotta una nuova disposizione, in base alla quale "la responsabilità di garantire che un veicolo con un sistema di protezione del treno o di controllo della sicurezza in avaria non venga utilizzato per più di 12 ore complessive spetta ai relativi centri di controllo delle ferrovie".
Questa prescrizione viene quindi interpretata in modo tale che il tempo di guida effettivo di un veicolo difettoso alla testa del treno possa essere di 12 ore prima che vengano presi dei provvedimenti.
Non vi è espressamente specificato che siano i centri di controllo delle ferrovie interessate a dover mettere a disposizione un secondo macchinista, come previsto dalle PCT. In pratica, raramente si è previsto l’intervento di un secondo macchinista su un treno i cui dispositivi di sicurezza si erano rivelati difettosi e questi veicoli spesso continuavano a circolare ancora per diversi giorni, dato che si applicava un tempo massimo di circolazione cumulativo di 12 ore.
Aumento dei rischi
Poiché l'affidabilità dello ZUB / ETM non raggiunge quella dei vecchi dispositivi Signum-Integra, sempre più di frequente si deve circolare senza dispositivi di sicurezza funzionanti. Questa minore affidabilità è spesso legata all'aggiunta di alcuni componenti elettronici - inesistenti nelle apparecchiature più vecchie del Signum-Integra - che rendono il sistema nel suo insieme più fallibile. I moderni veicoli dotati “solo” di ETCS sono quindi ancora più suscettibili di guasti; dopo aver disattivato i componenti ETCS, di norma non è più attivo alcun sistema di sicurezza. Le ridondanze reciproche, come in passato con ZUB e Integra, sono del tutto assenti.
Queste circostanze, insieme al traffico sempre più intenso, aumentano il rischio di irregolarità nell’esercizio ferroviario. Tanto più che con i veicoli ETCS-only, nemmeno i segnali di arresto possono frenare un treno, come mostra il caso di Zollikofen.
I rischi sono noti da tempo
Dopo l'incidente verificatosi a Zurigo Oerlikon il 24 ottobre 2003 in cui era deceduta una persona e vi erano stati 45 feriti, inizialmente si sospettava un malfunzionamento dello ZUB sulla locomotiva. Appena 72 ore dopo l'incidente, l'allora responsabile di FFS Traffico viaggiatori, Paul Blumenthal, aveva annunciato che tutti i veicoli con lo ZUB disattivato dovevano essere messi fuori servizio al massimo dopo 4 ore. "Se non è disponibile un accompagnatore, è vietato proseguire la corsa (cancellazione del treno)!"
In occasione di una discussione tecnica tra il responsabile della sicurezza delle FFS e le parti sociali dopo l'incidente di Rafz del 20 febbraio 2015, il VSLF ha richiamato l'attenzione per iscritto sui pericoli derivanti dalla circolazione con i dispositivi di controllo dei treni disattivati: "Osservazioni sui dispositivi di sicurezza, input del VSLF: Con lo ZUB disattivato, anche l'ETM è fuori servizio e né l'avvertimento né l'arresto si attivano quando i segnali sono dotati di eurobalise. Di conseguenza, il treno non viene più monitorato. La sostituzione dei tradizionali magneti per binari con le eurobalise non fa che aumentare il rischio. Attualmente è consentito un tempo di circolazione fino a 12 ore, ciò che può corrispondere a diversi giorni di guida.
La durata delle corse dopo la disattivazione dello ZUB (e di conseguenza dell'ETM) deve essere limitata alla circolazione fino al successivo centro di manutenzione, questo nell'interesse della sicurezza".
Il Servizio d'inchiesta svizzero sulla sicurezza (SISI) ha pubblicato un rapporto sommario su un incidente avvenuto il 29 novembre 2017, in cui una locomotiva ha più volte lasciato il centro di manutenzione con lo ZUB difettoso. Un macchinista, che per motivi di sicurezza inizialmente si era rifiutato di prendere in consegna questa locomotiva, è stato messo sotto pressione dalla direzione delle locomotive con l’argomentazione "che non vi erano altre locomotive disponibili e che avrebbe comunque dovuto prendere in consegna la locomotiva con il sistema di controllo del treno difettoso, in quanto non era ancora scaduto il termine massimo di 12 ore che si applica in caso di simili guasti. Altrimenti il treno sarebbe stato cancellato". Durante il servizio, il macchinista ha superato due segnali disposti su fermata, fortunatamente senza conseguenze per l’esercizio.
Questi punti dimostrano che:
- Le diverse unità delle FFS preposte alla sicurezza e alle prescrizioni sembrano essere consapevoli del crescente potenziale di rischio connesso con il mancato funzionamento di alcuni dispositivi di sicurezza.
- In pratica, non era stato richiesto l’intervento di un secondo macchinista come previsto dalle PCT, in quanto questo non era specificato nei regolamenti/processi interni dell'azienda.
- L’Ufficio federale dei trasporti (UFT), in qualità di autorità di vigilanza, doveva essere a conoscenza della situazione, non da ultimo alla luce del rapporto sommario del Servizio d'inchiesta svizzero sulla sicurezza (SISI) e delle segnalazioni da parte del VSLF.
Nuove direttive dopo la collisione di Zollikofen BE
Dopo la collisione di Zollikofen, il reparto Produzione Traffico viaggiatori Qualità, Sicurezza, Ambiente PP-QSA delle FFS ha verificato le prescrizioni d'esercizio e ha riscontrato che: «L'attuale interpretazione delle norme esistenti non è corretta. Le prescrizioni vanno formulate in modo più preciso, ciò che potrà comportare un loro adeguamento, in modo che il comma 300.9 10.3 non venga più interpretato erroneamente e la necessità della presenza immediata di un macchinista supplementare in cabina di guida non sia subordinata alle risorse di personale effettivamente disponibili”.
Azione immediata: La limitazione a Vmax 80 km/h può essere applicata solo fino al successivo deposito di PP-BP-ZFR, dove può intervenire un secondo macchinista. La mancanza di personale di locomotiva in un deposito non è un motivo per continuare a far circolare il treno con un solo macchinista a Vmax 80 km/h. ..."
Non si tratta di una semplice precisazione delle prescrizioni già in vigore, bensì di una nuova direttiva e di un cambiamento completo di filosofia, con la chiara disposizione che in futuro è vietato proseguire la guida da un deposito con un dispositivo di controllo dei treni difettoso. Questo rende pertanto la regola delle 12 ore cumulative obsoleta.
Questo fa sorgere le seguenti domande:
- Come mai ci si accorge solo dopo un incidente che una prescrizione non viene applicata correttamente?
- Perché il senso non è indicato in modo preciso o almeno in termini generali nella rispettiva prescrizione?
- C'è una discrepanza tra la definizione, la causa e il senso di una prescrizione e l'impatto che questa dovrebbe avere sulla sua applicazione pratica?
- Perché i diretti responsabili non sono a conoscenza del fatto che la prescrizione è stata applicata e impartita in modo errato per anni, pur essendone stati informati?
- Quali sono le cause che portano a un'interpretazione o a un'applicazione errata di una prescrizione che in realtà è chiara? Una prescrizione può essere applicata in modo scorretto?
Conflitti nelle prescrizioni
Nelle PCT, la disposizione di base dell’UFT sui dispositivi dei sistemi di controllo dei treni disattivati è illogica, si presta a diverse interpretazioni e viene ripresa in modo differente dalle prescrizioni delle varie ferrovie. Presso FFS Traffico viaggiatori, per esempio, un treno con un dispositivo di sicurezza difettoso può circolare solo da Zurigo HB fino ad Altstetten, in quanto è ad Altstetten che c’è la sede del deposito. Un treno FFS Cargo International può invece viaggiare da Basilea a Domodossola, in quanto tra queste due località non ci sono depositi. La regola originaria delle 12 ore non sembra avere senso dal punto di vista della sicurezza; se la si prendesse sul serio, al massimo si potrebbe giustificare una corsa fino al centro di manutenzione.
Il fatto che ogni azienda di trasporto ferroviario definisca le proprie disposizioni esecutive interne porta a prescrizioni e procedure diverse, anche se tutte operano sulla stessa rete ferroviaria. L'attuale precisazione delle prescrizioni da parte di PP-QSA lo dimostra chiaramente. Il fatto che il personale di locomotiva non venga nemmeno informato di questo cambio di paradigma, sebbene questa informazione sia di enorme importanza per il personale esecutivo che deve assumersi la piena responsabilità, si inserisce in questo quadro.
Questa mancanza di coordinamento alimenta il sospetto che dietro questa incoerenza ci sia un'intenzione e non una svista. In effetti, questa prescrizione contorta, che può essere interpretata in più sensi, può essere spacciata all'esterno come una misura di sicurezza, mentre all'interno l'attenzione si concentra sugli interessi dell'esercizio, ossia sul fatto di prevenire la cancellazione dei treni per mancanza di personale e di veicoli di riserva. Se il macchinista cede alle pressioni e poi si verifica un incidente, la prescrizione automaticamente viene di nuovo interpretata in modo rigoroso e la responsabilità automaticamente viene scaricata sul macchinista.
Problemi di coordinamento
Per l'obiettivo di un esercizio ferroviario sicuro è controproducente il fatto che molti attori diversi attivi nei dipartimenti, nelle ferrovie e nei reparti di sicurezza e qualità si occupino degli stessi problemi, tuttavia senza competenze e direttive chiare. A differenza della semplificazione che porta a una maggiore sicurezza, questo aumenta la complessità delle direttive, la mancanza di un concetto e, non da ultimo, i costi.
Il fatto che in Svizzera, anche per dei dispositivi importanti come i sistemi di controllo della marcia dei treni sui veicoli, si consentano diverse disposizioni di attuazione che corrispondono più o meno alle esigenze delle società che gestiscono la rete, non porta all'obiettivo di sicurezza che tutti vogliono raggiungere. Queste diverse regole e modalità di procedere, tuttavia, sono possibili quando le prescrizioni di base dell'autorità di vigilanza forniscono solo delle condizioni quadro approssimative.
E nonostante tutti gli organi responsabili e i relativi settori, oggi è ancora possibile – se non addirittura sempre più probabile - che una locomotiva del 2016, dotata dei più recenti moduli di sicurezza ETCS, sia autorizzata a circolare nel complesso e sorvegliatissimo nodo ferroviario di Berna senza alcun controllo dei treni e con un solo macchinista.
Questo non rispecchia la nostra concezione di sicurezza dell’anno 2022, come abbiamo già criticato nella nostra lettera alle FFS nel 2015.
VSLF No. 723, 15 agosto 2022 HG
Anita Rutz / 13.08.2022
Vedi: Info / Progetti / ETCS
