Il razzo di SpaceX esplode: il rischio zero non esiste

L'astronave Starship, il razzo più potente mai costruito, il superrazzone di Elon Musk, come lo avrebbe chiamato Austin Powers,  è esploso subito dopo il decollo.

Il razzo Starship non aveva persone a bordo e quattro minuti dopo il lancio, è esploso in una palla di fuoco.

Alle 9:33 del mattino ora locale i motori del booster Super Heavy si sono accesi in un'enorme nuvola di fuoco, fumo e polvere, e Starship si è alzato lentamente verso l'alto. Circa un minuto dopo, il razzo ha attraversato un periodo di massima pressione aerodinamica, uno dei momenti cruciali per il lancio di qualsiasi razzo. Poco dopo, ha iniziato a cadere prima di esplodere in una palla di fuoco alta sopra il Golfo del Messico.

Il piano di volo prevedeva che l'astronave Starship raggiungesse un'altitudine più alta di circa 150 miglia prima di sguazzare nell'Oceano Pacifico vicino alle Hawaii circa 90 minuti dopo. E resta da vedere come l'esito del volo di giovedì potrebbe influenzare il programma della NASA, che richiede ottimisticamente che il primo atterraggio sulla luna da parte degli astronauti a bordo di Starship avvenga alla fine del 2025.

Ma il lancio ha insegnato a SpaceX lezioni importanti mentre guarda al futuro. Sono stati raccolti dati e informazioni utili per il progetto.

Prima del lancio, che non aveva persone a bordo e mirava a convalidare se il design del sistema missilistico fosse solido, Elon Musk, il fondatore dell'azienda, aveva preannunciato che probabilmente sarebbero stati necessari diversi tentativi prima che Starship avesse successo.

A conferma delle parole di Musk, Daniel Dumbacher, direttore esecutivo dell'American Institute of Aeronautics and Astronautics ed ex funzionario di alto livello della NASA, ha poi detto dopo l'esplosione: "Può sembrare così ad alcune persone, ma non è un fallimento, è un'esperienza di apprendimento".

Secondo i tecnici di SpaceX il lancio ha raggiunto una serie di importanti traguardi, con il razzo che ha volato per quattro minuti e si è liberato dalla piattaforma di lancio, il breve volo ha prodotto rampe di dati per gli ingegneri per capire come si è comportato il veicolo.

Ricordiamo che la NASA si affida a SpaceX per costruire una versione di Starship per trasportare due astronauti dall'orbita lunare alla superficie della luna, ottimisticamente fissata per la fine del 2025.

Non esiste il "rischio zero"

Anche questa esperienza ci insegna che il rischio zero non può esistere.

Ci sono sempre troppe variabili che sono fuori da un possibile controllo. E a un rischio zero corrisponderebbe un costo infinito.

La gestione del rischio non è progettata per eliminare tutti i rischi.

La gestione dei rischi è una scienza vera e propria, basata su principi, teorie, algoritmi e formule matematiche in cui la variabile costi è sempre presente. Una scienza in cui si tiene conto sia dei singoli rischi, e quindi dei cosiddetti incidenti isolati, ma anche delle possibili concatenazioni, quelle situazioni in cui le interconnessioni possono arrivare a creare una "tempesta perfetta".

Per sua stessa natura alcuni rischi possono avere una bassa probabilità di verificarsi o un basso impatto, quindi non sarebbe consigliabile dal punto di vista economico spendere risorse eliminando questi rischi.

Una scienza che ovviamente si appoggia anche alle esperienze pregresse e in cui ogni salto di discontinuità comporta, ovviamente, la gestione di elementi imprevedibili, tra cui i cosiddetti "cigni neri".

Uno degli esempi più citati è quello dello studio degli aerei, e tra questi lo sviluppo da parte di Boeing del 787 Dreamliner.

In estrema sintesi, per questo aereo, Boeing ha introdotto nuovi materiali strutturali - compositi piuttosto che alluminio - per rendere la cellula più leggera, e per farlo, ha richiesto ai suoi fornitori di primo livello di assumersi una responsabilità senza precedenti per la progettazione, l'ingegneria e l'integrazione dei sottoassiemi e ha sostituito i controlli idraulici utilizzati nelle precedenti generazioni di aeromobili con controlli elettronici che richiedevano grandi batterie al litio per il backup. Nello sviluppo il segnale più chiaro che è emerso è quello di un nuovo rischio, le anomalie non coerenti con le previsioni. Sembra ovvio, ma la maggior parte delle anomalie sono difficili da riconoscere in fase preventiva. Il risultato è stato che Boeing ha subito sette ritardi importanti e inaspettati nello sviluppo del 787, con voli commerciali che iniziano tre anni e mezzo più tardi di quanto originariamente previsto. I ritardi hanno aggiunto più di 10 miliardi di dollari di costi di sviluppo e hanno costretto Boeing ad acquistare un importante fornitore per prevenire la sua insolvenza. Dopo il lancio del 787, le sue batterie al litio a bordo hanno preso fuoco durante una serie di voli, il che ha portato le autorità a mettere a terra tutti gli aerei per diversi mesi. La società ha detto a Reuters: "Abbiamo apportato troppi cambiamenti allo stesso tempo - nuove tecnologie, nuovi strumenti di progettazione e un cambiamento nella catena di approvvigionamento - e quindi superiamo la nostra capacità di gestirlo in modo efficace".

Il rischio zero non può probabilisticamente esistere.

E la cosa che ognuno dovrebbe sapere è che "i costi" in genere per abbassare "un rischio alto" sono in genere molto più limitati che quelli per ridurre ulteriormente un "rischio basso". Quindi più si vuole avvicinare il rischio a zero più i costi aumentano, fino ad arrivare al valore infinito per il rischio zero. Quindi l'impossibile.

Pensiamo alle ferrovie. Abbiamo più di 20.000 km di ferrovie in Italia, più di quaranta milioni di metri di binari, intervallati da saldature, giunti, scambi, appoggiati su milioni di traversine, sottoposti a passaggi di circa 60.000 mezzi. Solo nel 2022 ci sono stati circa 90.000 corse dei Frecciarossa, circa 40.000 corse dei Intercity/Intercity Notte. Proviamo quindi a pensare le complessità che fanno aprte di questo sistema e delle diverse tipologie di rischio: da quello idrogeologico non solo dei punti di appoggio ma anche dei versanti coinvolti, a quello meccanico di ogni particolare di ogni carro, veicolo, ... Questa complessità ci fa comprendere perchè il livello dell'ingegneria ferroviara sia uno dei più avanzati al mondo, uno dei primi ad avre dovuto  procedurizzare e certificare ogni passaggio costruttivo, di gestione e controllo, uno di quelli a più alto tasso di innovazione e, malgrado questo, non sia possibile arrivare a un livello di rischio zero, e che ogni riduzione anche millesimale del rischio porti a un'esplosione di costi che poi il cittadino e l'utente deve sostenere.

Peraltro il rischio non è un dato statico, ma varia nel tempo, perchè collegato alle variabili esterne, ma anche a quelle interne.

Una struttura che invecchia peggiora nel tempo quei coefficienti, quei fattori che poi determinano i coefficenti di rischio. Il cambio di un controllore è un cambio delle variabilli e può generare un cambio del livello di rischio. La variazioni delle condizioni al contorno, come la temperatura, il vento, l'umidità, il livello di traffico o la tipologia di traffico, possono portare a un cambiamento del livello di rischio.

C'è chi fa i conti con queste variabili e cambiamenti tutti i giorni.

Le assicurazioni per esempio, che basano la loro redditività sulla capacità di calcolo di un rischio di ogni operazione, dovendo gestire un equilibrio in cui se si accetta un rischio troppo elevato è pericoloso per il futuro della società, se si accettano rischi troppo limitati si esce dal mercato. E qui la necessità di saper adeguare il premio in funzione del rischio, e quindi di alcune variabili che sono collegate a fattori interni ed esterni. Per l'RAC per esempio l'età del guidatore e la sua "storia" in termini di incidenti.

In ingegneria gli stessi valori prestazionali adottati per caratterizzare alcuni materiali, come il calcestruzzo e l'acciaio, sono valori statistici, valori che hanno una certa probabilità di essere raggiunti. Ne consegue che il loro uso comporta già di per se un rischio. Portare i loro valori a probabilità 100%, quindi ridurre al 0% il rischio che il valore non sia raggiunto è impossibile.

Al tempo stesso i modelli di calcolo si basano su concetti probabilistici. Progettare un ponte a rischio zero, come ha evidenziato in una mia intervista il progettista Hugo Corres Peiretti è impossibile.

L'importanza della ridondanza, non solo dei controlli

Dovendo operare in un concetto di riduzione dei rischi è sempre importante considerare il concetto di ridondanza.

In alcuni ambiti dell'ingegneria, in particolare dell'ingegneria nucleare e chimica, sono concetti applicati da tempo. Oggi sono praticamente adottati in tutti gli ambiti dell'ingegneria e non esiste opera strategica che non preveda controlli ridondanti. Piuttosto il problema lo abbiamo nelle piccole opere, quelle private, ma non ne parlerò qui.

La ridondanza va però applicata anche a livello strategico.

Faccio un esempio. Se la rete infrastrutturale viaria e ferroviaria italiana è incentrata su due nodi ineludibili, Bologna e Firenze, è anche ineludibile che basta un incidente su uno di questi due nodi per creare un danno di tipo sociale, industriale ed economico enorme.

E se le cosiddette ridondanze a questi nodi sono l'asse ferroviario o il sistema viario che passsa attraverso l'Umbria, non posso che osservare che siano molto deboli. Basta passare con l'auto attraverso il vallico di Verghereto e i vicini ponti in stato di continua manutenzione.

Il concetto di inappliccabilità di "rischio zero" deve essere acquisito quindi anche dalla politica, da chi fa le scelte strategiche sulle nostre infrastrutture, da chi "parla" a seguito di un incidente come quello che è accaduto ieri a Firenze.

E deve essere acquisito da chi fa le leggi, e da chi le interpreta nelle aree dei tribunali, perchè non sempre il compelvole di un disastro è il progettista o il controllore, ma chi ha stanziato, o non stanziato, i budget collegati al livello di rischio accettabile.

E forse il problema è proprio quello di definire i livelli di rischio accettabile.

Fonti: Harvard Businees Revieew (LINK)