Rischio, connettere progetto e gestione

L’ingegneria del rischio, nelle gallerie stradali, vista con la lente di un “design olistico” che lega Risk Based Design (RBD) e Operational Risk Management (ORM)

di LUCA STANTERO | CEO RDE Risk Design Engineering

Blocking the emergency core cooling system over this period and permitting operation for a prolonged period with a vital safety system unavailable are indicative of an absence of safety culture” (citazione da un rapporto  dell’International Atomic Energy Agency, IAEA, sull’incidente di Chernobyl del 26 aprile 1986).

L’esperienza insegna che una via certa all’insorgere dei disastri è quella di trascurare rischi effettivi nel momento in cui tutti sono convinti che non succederà nulla, perché “fino ad oggi” non è mai successo nulla di rilevante. In virtù della mancanza di una cultura del rischio, possono nascere e materializzarsi pericoli e potenziali perdite che, inaspettatamente, potrebbero degenerare in un’escalation verso conseguenze disastrose (unlucky chain of events). 

Un design di sistemi ingegneristici complessi con prestazioni ottimizzate affidabile e avverso al rischio prevede la gestione delle incertezze. L’ approccio convenzionale consiste nell’aggiungere margini di sicurezza a un design ottenuto tramite ottimizzazione deterministica: progettazioni ingegneristiche più sicure richiedono invece definizioni appropriate di costi e funzioni di vincolo che considerino il rischio associato a comportamenti indesiderati del sistema, in presenza di incertezze.

Fondamenta di risk design

La società sta cambiando sempre più velocemente e i tunnel sono sistemi complessi in cui le prestazioni sono influenzate dai molti soggetti e sistemi interessati. Queste condizioni suggeriscono che la gestione della sicurezza debba essere proattiva e basata su una prospettiva di sistema che si appoggia su teorie tecnico-sociali. 

La progettazione basata sul rischio implica una maggiore conoscenza dei processi e degli elementi che determinano le incertezze e offre la possibilità di ottimizzare il design riallocando le risorse nei punti più vulnerabili, quelli che determinano maggiori rischi. La progettazione basata sul rischio delle gallerie stradali è stata stimolata dall’emanazione del D. Lgs 264/06 che contiene una metodologia completa di analisi di rischio tale da consentire non solo valutazioni generiche sui livelli di sicurezza, funzionali all’approvazione dei progetti, ma anche di pervenire a un design ottimizzato. 

L’analisi quantitativa, basata sull’albero degli eventi e sull’analisi delle incertezze consente di tener conto delle prestazioni dei sistemi di sicurezza e della variabilità delle stesse in funzione degli scenari considerati, compresi quelli degradati. La progettazione della sicurezza basata sul rischio, inoltre, non può che essere vista in stretta connessione con la gestione operativa del rischio, ovvero sul controllo continuo dei processi nelle fasi di esercizio della galleria. 

L’anello di congiunzione tra il Risk Based Design (RBD) e l’Operational Risk Management (ORM) per una galleria stradale è rappresentato dalle procedure operative e dai piani di monitoraggio dell’opera.

Approccio sistemico

Gli strumenti della progettazione basata sul rischio sono i dati di base, i metodi e i modelli di calcolo del rischio che caratterizzano in modo complessivo l’esercizio dell’infrastruttura.

Gli strumenti della gestione del rischio sono invece i dati istantanei, gli indici di rischio derivanti dal monitoraggio in tempo reale e le procedure da attuare in funzione degli scostamenti degli indici dai valori di riferimento. I due ambiti (RBD e ORM) in passato erano gestiti unicamente andando a valutare singolarmente il contributo di ciascun sistema o misura di sicurezza: per esempio l’impianto di ventilazione veniva progettato con un certo criterio senza valutarne il contributo in termini di riduzione del rischio, mentre in fase di gestione si definiva un numero di ventilatori non funzionanti tali da determinare un degrado del sistema. 

L’impiego di un unico indicatore, il rischio, che consente di quantificare e valutare in modo sintetico e globale la sicurezza della galleria sposta il ragionamento sul sistema nel suo complesso.

Ciò non significa che non debbano più essere considerati i singoli elementi, ma che si ha un indicatore in più in grado di contribuire a sviluppare valutazioni più rapide ed efficaci.

Possiamo identificare due effetti legati al monitoraggio del rischio:

• Un effetto a breve termine, che genera un’allerta tale da richiedere un intervento rapido per prevenire situazioni a elevata incertezza (per esempio in caso di condizioni meteo e di traffico eccezionali);

• Un effetto a lungo termine, che consente di valutare l’effettiva pericolosità di condizioni note e/o programmate quali gli esodi estivo o i lavori di manutenzione straordinaria.

Se l’operatore di Chernobyl avesse potuto contare, oltre che sullo stato dei singoli sottosistemi, su un indicatore in grado di fornire informazioni sull’effettiva pericolosità della condizione, forse non avrebbe bypassato i sistemi di sicurezza, vitali per cercare di risolvere la situazione.

L’approccio deterministico al dimensionamento dei sistemi, che può portare a inutili sovradimensionamenti come a risparmi ingiustificati e pericolosi, andrebbe impiegato con le dovute ipotesi per le sole stime preliminari. 

La gestione basata sulle condizioni minime di esercizio, che pur essendo necessarie non sono sufficienti per gestire situazioni complesse da cui possono derivare costi gestionali ingiustificati per presidi di sicurezza o sottovalutazione dei problemi in caso di condizioni meteo o di traffico fuori progetto, dovrebbe essere integrata con un indicatore di rischio. 

L’approccio basato sul rischio si sta facendo strada tra i gestori che hanno capito che è necessaria una gestione sistemica,  che avrà bisogno di nuovi strumenti e tempi di attuazione, ma che porterà indubbi vantaggi in termini di gestione mirata a fornire maggiore sicurezza per gli utenti, a parità di costi sostenuti.