Elucubrazioni sulla sicurezza dell'ABS

[yoghi52]

Vorrei che questo non fosse il “solito” post sull’ABS ma vorrei che valutaste un ragionamento “oggettivo” giusto per valutare le cose con il giusto metro.
A dispetto del fatto che io possa essere considerato poco attento alla sicurezza perché non ho molta fiducia nelle protezioni e nell’ABS in realtà io sono un professionista della sicurezza. Il mio lavoro consiste nel progettare impianti e sistemi di sicurezza per le ferrovie. Io progetto quegli impianti e sistemi che servono per far accendere i semafori ferroviari (che noi definiamo segnali), per far muovere gli scambi, e in generale quei sistemi che servono per evitare che i treni si possano scontrare o sviare (deragliare).
Nel mio campo la sicurezza di un’apparecchiatura si identifica con il livello “SIL”.
Questo parametro, che va da 0 a 4 individua la probabilità che un’apparecchiatura possa guastarsi in modo pericoloso.
Da notare che nessuno può impedire ad un’apparecchiatura qualunque di guastarsi, la proprietà di un’apparecchiatura di funzionare per un lungo periodo senza guastarsi viene definita affidabilità e viene quantificata dal parametro MTBF (mean time between failure tempo medio fra i guasti). Una scarsa affidabilità alla lunga influisce anche sulla sicurezza perché costringe il sistema a funzionare in un regime degradato per periodi non trascurabili, con un livello di sicurezza inferiore (esempio pratico la frenata residua).
Il parametro SIL, invece, definisce la probabilità che un guasto possa produrre una situazione di pericolo. La valorizzazione di questo parametro va da 0 a 4.
SIL0 è il livello di sicurezza di un normale computer o apparecchiatura elettronica di uso generico. Mi spiego. Un circuitino elettronico che regola l’accensione delle luci in casa in caso di guasto può diventare indifferentemente un circuito aperto, luci sempre spente, o un circuito chiuso, luci sempre accese. Un circuitino del genere che fosse inserito sull’accensione delle luce verde di un segnale ferroviario non sarebbe accettato perché in caso di guasto potrebbe fornire un’indebita informazione di via libera al macchinista di un treno in transito.
Il massimo grado di sicurezza considerato è SIL4 ovvero 1x10-9 ,ovvero una possibilità di un guasto pericoloso ogni 1.000.000.000 di guasti.
Poiché l’elettronica commerciale non è intrinsecamente sicura, una sovratensione che raggiunga un integrato può farlo diventare un unico blocco conduttore, occorrono dei circuiti particolari detti a sicurezza intrinseca o SIL4, che fanno delle verifiche continue sulle informazioni fornite da due o più apparecchiature elettroniche, sostanzialmente dei computers, che funzionano in parallelo verificando che diano sempre informazioni concordi. Nel caso che ciò non avvenisse l’apparecchiatura di verifica sicura, detta “watch dog” (cane da guardia), deve disinserire entrambi i computers perché non può sapere quale dei due fornisca l’informazione giusta. Da qui la necessità che il “watch dog” sia intrinsecamente sicuro. Cosa succeda dopo, ovvero quali siano i sistemi per garantire il servizio dipende dall’architettura del sistema e dalla ridondanza prevista.
La sicurezza costa. Una stazione ferroviaria potrebbe essere gestita da una frazione infinitesima della potenza disponibile in un personal computer ma quest’ultimo non potrebbe garantire la sicurezza.
Nel calcolare la sicurezza necessaria per un’apparecchiatura si considerano due fattori “hazard” e “risk” ovvero “pericolo” e “rischio”. Sembrano sinonimi ma c’è una sostanziale differenza.
Il pericolo è l’evento che può provocare l’incidente il rischio descrive le conseguenze dell’incidente.
Ovvio che il rischio rappresentato dal guasto di un semaforo stradale che può determinare lo scontro di due auto con danni materiali e umani relativamente limitati è decisamente inferiore al rischio di collisione di due treni che determinerà danni materiali e umani enormemente superiori.
In base a questi parametri si determina il livello SIL richiesto per ciascun componente del sistema. In ferrovia qualunque apparecchiatura che intervenga sulla catena della sicurezza deve essere SIL4.
Analoghe considerazioni vengono fatte per gli impianti, oltre che per le apparecchiature.
Non vi starò ancora a tediare sugli accorgimenti adottati per rendere sicuri gli impianti, ma mi soffermerò solo su un piccolo particolare che è quello che mi interessa ai fini del discorso.
Il dirigente del movimento, la figura preposta ad impartire i comandi all’apparato che gestisce l’impianto, esplica il suo compito tramite l’interposizione di un banco di manovra sul quale sono posizionati manipolatori per impartire comandi e segnalazioni luminose disposte su un quadro sinottico o in prossimità dei manipolatori stessi. Avrete visto questi banchi di comando sbirciando dentro all’ufficio movimento delle stazioni, mentre aspettavate il treno.
Le segnalazioni possono essere puramente informative della situazione attuale della stazione, informazioni di allarme, o informazioni di sicurezza.
La costante che accomuna tutte queste segnalazioni, ma in particolare quelle che hanno a che fare con la sicurezza, è che devono accertare, accendendosi, la situazione di normalità affinché una situazione di guasto che ne determini indebitamente lo spegnimento, sia accomunata ad una situazione di pericolo e non viceversa. In pratica, una segnalazione di pericolo sarà sempre accesa e si spegnerà in situazioni di pericolo o di guasto della segnalazione stessa.

Alla luce di quanto detto, che per me dopo 36 anni di attività nel settore è diventato imprescindibile, esaminiamo l’apparecchiatura ABS.

Primo punto. Chi mi sa dire qual è il livello SIL del sistema ABS? (con sistema ABS intendendo tutta la catena di elementi che concorrono a realizzare la funzione quindi scheda elettronica, cavi, pompa, tubazioni, sensori). Sarà realizzato tutto in modo che in caso di guasto di una qualunque di queste parti il sistema se ne accorga?
Secondo punto. Per essere considerata un’apparecchiatura sicura tutti i guasti che possono determinare un pericolo devono portare il sistema ad una situazione di sicurezza. In ferrovia qualunque guasto deve portare ad un degrado della velocità o se necessario all’arresto del treno.
Se applicassimo i principi delle ferrovie il guasto all’ABS dovrebbe interagire con la centralina ed arrestare il motore al fine di portare al più presto il veicolo ad una condizione sicura prima che si presenti la necessità di dover utilizzare il freno. In ferrovia si applicherebbe anche la frenatura di emergenza ma sospetto che inchiodare un veicolo in mezzo ad una strada trafficata non sarebbe di incremento alla sicurezza.
La risposta a queste domande è che io, da esperto in materia, considero l’ABS SIL0 in quanto un guasto non determina alcun effetto sulla marcia del veicolo e viene segnalato soltanto dall’accensione di una lampada che può non essere vista dal pilota impegnato alla guida, può essere bruciata, la moto si potrebbe provare in pieno sole quindi potrebbe essere difficilmente visibile.
In pratica l’ABS è un’apparecchiatura che, casualmente, sorteggia qualcuno in piena corsa e gli dice “sei stato sorteggiato per rimanere con la frenata residua” sempre che tu riesca a vedere la lampada altrimenti te ne accorgerai al momento del bisogno.
Dobbiamo anche considerare che il sorteggiato si troverà con la frenata residua nel momento che farà conto sulla frenata alla quale è abituato e quindi non sarà preparato allo scenario che gli si presenta.

Torniamo ora alla “risk analisys” e alla “hazard analisys” delle quali abbiamo parlato più sopra.
Il rischio determinato dalla rottura di un ABS è ben minimo dal punto di vista dei danni materiali, una moto, e umani, uno o due motociclisti (chissenefrega dei motociclisti) che stanno sulla moto ed eventualmente uno sfigato di pedone investito se proprio vogliamo fare una strage.
Non è senz’altro il rischio derivato dal supero di un segnale al rosso da parte di un treno. Questo determina che per la casa che costruisce l’apparecchiatura non è economicamente giustificato lo sforzo per realizzare un’apparecchiatura SIL4 che oltre tutto non sarebbe acquistata perché troppo onerosa.
Ma io mi pongo una domanda: per me che ci lascio la pelle fa molta differenza fra lasciarcela da solo su un marciapiede o insieme a decine di persone su una ferrovia?

Ed infine. Sul mio ABS biologico ho possibilità di intervenire. Quando la situazione si fa più pericolosa, pioggia, fondo sdrucciolevole, ho la possibilità di decidere volontariamente di rallentare, fermarmi, stare a casa, su un guasto dell’ABS non ho alcun controllo.