Il progetto "Anno 2000"

INDICE

1. Generalità *

1.1. Scopo e contenuto del documento *

1.2. L’organizzazione dell’azienda *

2. Il problema dell’anno 2000: natura e conseguenze *

3. Il progetto "Anno 2000" *

3.1. Gli obiettivi *

3.2. Il gruppo di progetto *

3.3. La valutazione esterna del progetto *

3.4. Gli standard e le metodologie *

3.4.1. Conformità e predisposizione *

3.4.2. Il piano di contenimento *

3.4.3. Altre caratteristiche metodologiche *

3.5. Le fasi dell’attività di certificazione *

3.5.1. L’inventario *

3.5.2. La valutazione *

3.5.3. L’adeguamento *

3.5.4. Il collaudo *

3.5.5. La diffusione sul territorio *

3.6. Le interazioni con terzi *

3.6.1. Gli interlocutori istituzionali *

3.6.2. I clienti *

3.6.3. Le società elettriche estere *

3.6.4. I produttori nazionali *

3.6.5. I fornitori *

3.6.6. I flussi di dati da e verso l’esterno *

4. Lo stato di avanzamento del progetto *

4.1. L’erogazione del servizio elettrico *

4.2. La rete di telecomunicazioni *

4.3. L’informatica gestionale *

4.4. La gestione nucleare *

5. Il piano di contenimento *

5.1. Avvertenza *

5.2. La metodologia *

5.2.1. Analisi dei rischi operativi *

5.2.2. Analisi degli scenari *

5.2.3. Preparazione generale *

5.2.4. Piano operativo *

5.3. I principali risultati *

5.3.1. Gli scenari *

5.3.2. Le azioni di contenimento generali *

5.3.3. Le azioni di contenimento specifiche *

Generalità

Scopo e contenuto del documento

Questo documento intende fornire informazione alla pubblica opinione ed alle istituzioni in merito alle azioni che l’Enel sta attuando per minimizzare i rischi derivanti dal cosiddetto "problema dell’anno 2000" o "millennium bug".

Il documento è strutturato come segue:

cenni sul "problema dell’anno 2000";
impostazione del progetto "Anno 2000";
stato di avanzamento del progetto.

Il documento sarà soggetto ad aggiornamenti periodici, finalizzati a documentare puntualmente lo stato di avanzamento delle attività ed ogni altra informazione degna di nota.

Chi desideri ricevere automaticamente gli aggiornamenti del documento può "registrarsi" inviando una richiesta, via e-mail, all’indirizzo GdPAnno2000@enel.it .

L’organizzazione dell’azienda

L’Enel sta attualmente attraversando una complessa riorganizzazione societaria che verrà qui brevemente delineata per una miglior comprensione di quanto verrà successivamente esposto a proposito del progetto "Anno 2000".

L’Enel è stata fino ad un passato recente una unica società, al suo interno articolata in

una Corporate;
tre Divisioni operative (Produzione, Trasmissione e Distribuzione), responsabili delle fasi primarie del servizio elettrico;
sei Strutture di Servizio Tecnico/Gestionale (Sistemi informatici, Telecomunicazioni, Ingegneria, Immobiliare e servizi, Ricerca, Gestione Nucleare), che forniscono servizi specializzati alle Divisioni operative.

In ottemperanza al decreto legislativo 16 marzo 1999, n. 79 di attuazione della direttiva 96/92/CE, recante norme comuni per il mercato interno dell’energia elettrica ("decreto Bersani"), l’ENEL sta attuando una modifica del proprio assetto societario. In particolare, l’art. 13 del decreto prevede che l’ENEL costituisca società separate, coordinate dalla capogruppo Enel S.p.A., per l’esercizio delle seguenti attività:

la produzione di energia elettrica;
la distribuzione di energia elettrica e la vendita ai clienti vincolati;
la vendita ai clienti idonei;
l’esercizio dei diritti di proprietà della rete di trasmissione nazionale, comprensiva delle linee di trasporto e delle stazioni di trasformazione dell’energia elettrica e le connesse attività di manutenzione e sviluppo della stessa rete di trasmissione nazionale;
lo smantellamento delle centrali elettronucleari dismesse, la chiusura del ciclo del combustibile e le attività connesse e conseguenti.

In ottemperanza a quanto disposto dall’ultimo capoverso, l’Enel ha costituito la So.G.I.N. S.p.A. (Società Gestione Impianti Nucleari) alla quale dovrà conferire i beni e le attività relative allo smantellamento degli impianti. Le azioni di tale società saranno assegnate al Ministero del Tesoro. Fino alla data del conferimento di beni e rapporti giuridici alla So.G.I.N. l’Enel può transitoriamente continuare l’esercizio delle attività citate.

Inoltre, in ottemperanza a quanto disposto dall’art. 3, l’Enel ha costituito il Gestore della Rete di Trasmissione Nazionale S.p.A. per l’attività di trasmissione e dispacciamento dell’energia elettrica; la gestione della rete unificata della rete di trasmissione nazionale; la gestione dei flussi di energia, dei dispositivi di interconnessione e dei servizi ausiliari necessari. Le azioni della società saranno assegnate al Ministero del Tesoro in data da determinarsi con successivo decreto. Fino a tale data l’Enel rimane responsabile del corretto funzionamento della rete di trasmissione nazionale e delle attività di dispacciamento.

Sono inoltre in fase di costituzione altre società, sempre in base a quanto disposto dall’art. 13.

Informazioni di maggior dettaglio sull’organizzazione dell’Enel e sugli aggiornamenti relativi possono essere trovate nel sito Internet aziendale www.enel.it .

Il problema dell’anno 2000: natura e conseguenze

Il cosiddetto "problema dell’anno 2000", o "millennium bug", deriva da una varietà di scelte tecniche nella gestione della data effettuate in passato dagli sviluppatori di software, caratterizzate dalla conseguenza di non gestire correttamente le date successive al 31/12/1999 (o, a volte, date precedenti).

La più rilevante tra queste scelte è quella dell’uso di due sole cifre per la rappresentazione dell’anno, ma ve ne sono altre pericolose quali l’uso di uno stesso algoritmo per la gestione della bisestilità nel 1900 e nel 2000 (ma il 2000 è bisestile mentre il 1900 non lo era), o l’uso di valori particolari nel campo data con significato convenzionale (ad es. 9/9/99 con il significato di "end of file").

Le conseguenze di ciò sono imprevedibili, come è caratteristico dell’errore software, variando dal blocco del sistema all’introduzione di errori nelle banche dati, alla produzione di risultati scorretti nelle elaborazioni.

Ciò che è caratteristico di questo problema è che gli errori possono manifestarsi in qualsiasi dispositivo dotato di logica elettronica di controllo, il che rende il progetto di manutenzione, in sé banale, il più vasto e trasversale mai sostenuto dall’industria informatica.

Il problema interessa principalmente sei aree: il sistema informatico centrale; i networks e i personal computer; i rapporti con i terzi; i microprocessori ed i calendari interni; il grado di adeguamento dei partners commerciali; il funzionamento macroeconomico, cioè del sistema economico che circonda le imprese.

L’impatto economico di questo problema è stato quantificato in diversi modi. Al primo gradino si trovano i costi diretti per la soluzione del problema, che in molti casi conducono a ritardare investimenti informatici. L’impatto su produzione, produttività e inflazione, invece, non è ancora molto chiaro. I costi sostenuti per l’aggiornamento dei sistemi informativi, infatti, in molti casi possono condurre a incrementi della produttività, fermo restando che la soluzione del problema ha sicuramente distolto investimenti da nuovi progetti a più alto valore aggiunto.

Se gli effetti economici delle azioni per risolvere il problema non sono facilmente definibili, il costo diretto mondiale della sua soluzione è stato quantificato dalla Software Productivity Research, che parla di 1.600 miliardi di dollari, comprendenti tutto, anche i microchip inseriti nei più svariati dispositivi, i costi legali per le cause derivanti dall’anno 2000, le riparazioni delle banche dati e quant’altro. Il Gartner Group, attivo nella consulenza sulle tecnologie informatiche, ha stimato in 600 miliardi di dollari i costi globali possibili, soltanto per l’adeguamento dei sistemi informativi.

Lo stesso gruppo ha indicato i settori che nei Paesi industrializzati sono più esposti al verificarsi di inconvenienti di rilievo. Si tratta di agricoltura, settore petrolifero, settore alimentare, servizi pubblici, sanità, scuola, trasporti, energia e acqua. Le banche europee, con assicurazioni e servizi finanziari, hanno invece un basso grado di rischio, grazie anche alla recente esperienza fatta con la nascita dell’Euro.

Nonostante l’attenzione su questo tema a livello mondiale sia in crescita, un recente rapporto dell’OCSE sottolinea che i rischi informatici dell’anno 2000 continuano ad essere sottostimati, in quanto in molti Paesi solo recentemente si è iniziato a prendere provvedimenti su scala nazionale, e che più in generale la mancanza di preparazione in settori come la Sanità, le piccole imprese e alcune parti delle Pubbliche Amministrazioni, soprattutto locali, solleva particolari preoccupazioni.

Il progetto "Anno 2000"

Gli obiettivi

Gli obiettivi del progetto "Anno 2000" dell’Enel sono:

garantire la sicurezza dei clienti, del personale dell’Enel, dell’ambiente, degli impianti;
garantire la continuità del servizio elettrico;
evitare danni economici;
contribuire ad una corretta informazione dell’opinione pubblica sul problema dell’anno 2000.

Il gruppo di progetto

Il progetto "Anno 2000", seppure caratterizzato da dimensioni assolutamente inusuali, si compone essenzialmente di attività di manutenzione ordinaria (integrate da un piano di contenimento). E’ stato pertanto deciso, sin dalle fasi iniziali del progetto, di incaricare dello svolgimento di tali attività le strutture dell’azienda nel rispetto delle loro normali competenze.

Nel 1998 sono stati conseguentemente avviati nove progetti, uno per ciascuna delle strutture (tre Divisioni e sei Strutture di Servizio) che all’epoca costituivano l’Enel. Ciascun progetto si è articolato all’interno della struttura per raggiungere tutti i diversi ambiti operativi presenti in essa.

I nove coordinatori di progetto sono stati a loro volta riuniti in un comitato, finalizzato al coordinamento delle attività delle strutture ed alla condivisione delle esperienze, nonché ad interagire con i terzi interessati. Alla guida del comitato, in qualità di responsabile del progetto a livello di gruppo Enel, il vertice aziendale ha designato il Direttore della struttura Sistemi Informatici.

Nel 1999, con la costituzione del Gestore della Rete di Trasmissione Nazionale, le competenze nell’ambito del progetto sono state ridefinite seguendo i criteri di separazione funzionale e patrimoniale di attività e beni di Gestore Rete ed Enel. Alla data il Gestore Rete ha affiancato le altre strutture nella partecipazione ai lavori del comitato e nella gestione delle attività di progetto.

La costituzione, ancora in corso, di altre società non ha invece avuto fino ad ora effetto sull’organizzazione del gruppo di progetto. Nel seguito, per semplicità espositiva, i riferimenti alla struttura dell’Enel saranno ancora basati sulle sole dieci unità citate (Divisioni, Strutture di Servizio, Gestore Rete).

La valutazione esterna del progetto

Il progetto "Anno 2000" è stato oggetto di una azione di auditing, svolta dalla funzione competente di Corporate, iniziata nel luglio 1998. Vengono condotte dalla stessa funzione azioni di follow-up scaglionate nel tempo.

L’Enel ha inoltre affidato un incarico di verifica ad una entità esterna, il CESI (Centro Elettrotecnico Sperimentale Italiano S.p.A.), che ha definito:

le metodologie di adeguamento dei sistemi e degli apparati;
le metodologie per l’esecuzione dei collaudi;
le metodologie per la redazione del piano di contenimento;
le metodologie per la documentazione delle attività svolte, finalizzata al controllo del progetto e ad una sua successiva rendicontazione.

Il CESI effettua inoltre una verifica sulla qualità delle attività svolte e della documentazione prodotta.

Nell’ambito delle attività attualmente in corso per la privatizzazione dell’Enel, infine, il progetto "Anno 2000" è stato sottoposto ad una "due diligence" da parte dei Global Coordinator e degli Advisor tecnici incaricati.

Gli standard e le metodologie

Conformità e predisposizione

La definizione di "conformità all’anno 2000" adottata dall’Enel è quella definita dal BSI (British Standard Institution Committee), che è quella più diffusa tra le maggiori aziende e costituisce uno standard de facto. La definizione, che è contenuta nel documento PD2000-1:1998 del BSI-DISC, è riportata nella nota a pié di pagina .

E’ opportuno ricordare che la definizione di conformità del BSI è molto stringente e che qualsiasi sistema concretamente realizzabile può conformarvisi solo nell’ambito delle specifiche funzionali in base alle quali è stato realizzato (ad esempio, "nessun valore della data corrente" va inteso nel senso di "nessuna data nella quale il sistema si potrà concepibilmente trovare ad operare").

E’ anche opportuno che il concetto di "conformità all’anno 2000" venga affiancato con il concetto complementare di "predisposizione all’anno 2000" (2000 readiness): un sistema non conforme viene detto "predisposto all’anno 2000" o "ready" se le sue difformità hanno impatto trascurabile sulla funzionalità e sulle prestazioni. Questa condizione è in realtà abbastanza frequente. Per diversi sistemi, caratterizzati da una limitata gestione delle date, si può affermare che le cosiddette "misure di contenimento" sono sufficienti ad assicurare un funzionamento esente da difetti. Tra le misure di contenimento più comunemente incontrate citiamo:

la retrodatazione dell’orologio interno del sistema (tipicamente viene prescelto un anno bisestile, quale il 1980 o il 1996, a seconda della vita residua prevedibile per il sistema; l’uso dell’anno 1972, se applicabile, garantisce anche la corretta individuazione del giorno della settimana);
la regolazione manuale dell’orologio interno una volta superata la data critica del 31/12/1999.

Il piano di contenimento

Le azioni miranti alla verifica o al conseguimento della conformità o della readiness di un sistema hanno lo scopo di diminuirne il rischio di malfunzionamento. E’ però necessario considerare che, data la complessità del progetto ed il numero delle interazioni interne ed esterne, nessuno può garantire che tale rischio venga annullato per tutti i sistemi.

Il piano di contenimento ha per oggetto la individuazione, pianificazione, progettazione di dettaglio delle azioni miranti all’eliminazione del rischio residuo oppure, ove questo non sia possibile, alla mitigazione del danno, delle azioni cioè da intraprendere per circoscrivere gli effetti negativi dei malfunzionamenti che si dovessero comunque manifestare, nonché dei malfunzionamenti di fonte esterna (fornitori, etc.).

La metodologia di redazione del piano di contenimento adottata dall’Enel è basata su quella proposta dal NERC (North-American Electricity Reliability Council), con adattamenti alla realtà operativa dell’Enel. Il piano si compone delle seguenti fasi:

analisi dei rischi operativi;
analisi degli scenari;
preparazione generale;
piano operativo.

Altre caratteristiche metodologiche

Altri aspetti metodologici del piano che meritano di esser citati sono i seguenti:

la predisposizione periodica di una reportistica sintetica unificata, che consente al comitato guida di tenere sotto controllo l’avanzamento delle attività;
la convocazione di riunioni periodiche, tanto a livello di comitato guida quanto a livello di progetti di struttura;
l’informazione al personale non coinvolto direttamente nel progetto.

Le fasi dell’attività di certificazione

Le fasi in cui il processo di certificazione si articola sono brevemente descritte appresso. Va sottolineato che si tratta di una impostazione assolutamente "classica", del tutto conforme cioè a quanto viene raccomandato nella letteratura specializzata ed a quanto vien fatto in aziende di dimensioni comparabili.

Le fasi indicate non vengono portate avanti in modo rigidamente seriale. Anche se, a livello di singolo sistema, le fasi si susseguono necessariamente nell’ordine indicato, a livello globale esse vengono in effetti portate avanti in modo parzialmente parallelo (es.: la valutazione inizia dopo l’inizio dell’inventario, ma prima del termine di questo).

L’inventario

L’inventario consiste nell’identificazione dei sistemi potenzialmente vulnerabili e delle loro principali caratteristiche (fornitore; numerosità sul territorio).

Assai importante ai fini degli obiettivi del progetto è l’individuazione della criticità del sistema, che si basa sulla valutazione della misura in cui il malfunzionamento del sistema potrebbe costituire minaccia alla sicurezza dei clienti, degli operatori, dell’ambiente, degli impianti, minaccia alla continuità di servizio, minaccia al business. La criticità di un sistema condiziona la priorità assegnata al sistema nelle fasi successive.

Viene anche individuata l’unità responsabile della certificazione del sistema, che viene fatta coincidere con l’unità responsabile del suo ordinario esercizio.

Sono stati presi in esame in particolare:

i sistemi comunque caratterizzati dal contenere logica di controllo (embedded systems), quali i sistemi di controllo del sistema elettrico ("dispacciamento"), i sistemi di controllo di processo, i sistemi di telecontrollo e telegestione, i sistemi di protezione e di automazione, i sistemi di controllo ambientale, i sistemi di sicurezza, gli impianti tecnologici di edificio, etc.;
i sistemi di telecomunicazione;
i sistemi di calcolo gestionale e scientifico, a livello di hardware/firmware, software di base e di ambiente, software applicativo.

La valutazione

La valutazione (termine con il quale traduciamo l’inglese "assessment") consiste nell’individuazione delle azioni che dovranno essere svolte nel seguito del progetto sul sistema considerato. E’ un’attività complessa, che comporta la raccolta di informazioni diversificate (dichiarazioni di conformità del fornitore, o meno; risultanze del collaudo del sistema, che per i sistemi critici viene effettuato anche in presenza di dichiarazioni positive da parte del fornitore; caratteristiche funzionali del sistema e sue interfacce), e che si conclude con il riconoscimento della conformità del sistema o, all’opposto, delle azioni da svolgere.

Le azioni possibili sono anch’esse diversificate, variando tra la sostituzione del sistema, il suo adeguamento, in alcuni casi il suo abbandono; è anche possibile che vengano definite strategie di contenimento come precedentemente descritto (es. retrodatazione). La scelta tra queste alternative, allorché più d’una è tecnicamente possibile, dipende dall’esame congiunto di fattori quali la strategicità del sistema, la sua prevedibile vita residua, la complessità gestionale della soluzione ed il suo costo.

L’adeguamento

L’adeguamento del sistema avviene, sulla base di quanto definito nelle fasi precedenti, secondo una schedulazione temporale che si basa in modo essenziale sulla diversa criticità dei sistemi interessati.

Il collaudo

I sistemi adeguati vengono collaudati per verificare il buon esito delle attività svolte.

La complessità di questa fase dipende in particolare dal numero di interfacce che il sistema presenta, in quanto la presenza di interfacce complesse comporta a volte la progettazione ed esecuzione di un collaudo integrato di una rete di sistemi interconnessi. Per l’ambiente dell’informatica gestionale, ad esempio, che è composto di procedure fittamente interconnesse, è stato necessario predisporre un vero e proprio clone parziale dell’ambiente di esercizio, completamente isolato da questo.

La diffusione sul territorio

Nel caso di sistemi presenti in Enel in molteplici esemplari uguali, le attività di adeguamento e collaudo vengono inizialmente svolte in laboratorio. Una volta verificata l’adeguatezza della soluzione, l’adeguamento viene replicato su tutti gli esemplari distribuiti sul territorio.

Per i sistemi caratterizzati da numerosità elevata questa fase può comportare un onere gestionale considerevole.

Le interazioni con terzi

In questa sezione sono documentate le iniziative attuate e quelle in atto nei confronti dei terzi.

Gli interlocutori istituzionali

L’Enel intrattiene rapporti sull’argomento con diversi interlocutori, tra i quali:

il "Comitato anno 2000" presso la Presidenza del Consiglio dei Ministri, che ha richiesto ufficialmente all’Enel di partecipare alle attività della sua sottocommissione "Settore energia e sistema produttivo"; sulla base delle indicazioni del Comitato, l’Enel fornisce informazioni alle Prefetture;
la sottocommissione DG III – Industria della Commissione Europea;
alcuni grandi Comuni;
associazioni di categoria (Confindustria, ABI, etc.);
organismi internazionali (UNIPEDE/Eurelectric, UCTE);
altre entità (Ambasciata USA, U.S. Navy).

I clienti

Il presente documento, come precedentemente indicato, intende fornire ai clienti ed alle istituzioni informazioni dettagliate sulle iniziative in atto.

E’ allo studio l’utilizzo della fattura elettrica alla clientela diffusa quale veicolo per portare l’informativa sul problema dell’anno 2000 ad una larghissima platea di cittadini. A questo fine l’Enel partecipa al gruppo di lavoro "Comunicazione al pubblico" nell’ambito del Comitato Anno 2000 presso la Presidenza del Consiglio dei Ministri.

E’ anche attivo sul sito Internet aziendale www.enel.it un riferimento ad una pagina informativa sullo stesso tema.

Le società elettriche estere

In ambito internazionale l’UCTE (Union pour la Coordination du Transport de l’Electricité, organismo di coordinamento tra i gestori di reti elettriche europee) ha avviato da tempo l’analisi dell’impatto causato dal "problema dell’anno 2000" sulla continuità d’esercizio dei sistemi elettrici interconnessi.

Sono state deliberate raccomandazioni specifiche d’esercizio per mitigare i rischi connessi al cambio di data che l’ENEL ha recepito, elaborando, di concerto con le società elettriche dei paesi confinanti, degli appositi piani di dispacciamento.

I produttori nazionali

E’ stato riconosciuto che il 95% dei produttori nazionali di energia elettrica (produttori locali; produttori indipendenti; municipalizzate) non sono in grado di indurre significativi disturbi sulla rete Enel e sulla continuità del servizio elettrico anche nel caso in cui dovessero improvvisamente cessare la loro produzione.

Sono stati comunque avviati contatti con i produttori nazionali di energia elettrica. Tali contatti, che vengono attuati tramite le associazioni di categoria (UNAPACE, Federelettrica) e, per i maggiori produttori, con contatti diretti, hanno due obiettivi:

concordare appropriati codici di condotta per la gestione delle interconnessioni elettriche nei periodi critici;
valutare il grado di adeguamento dei maggiori produttori indipendenti all’anno 2000, allo scopo di stimare il rischio residuo di turbativa sulla rete elettrica.

I fornitori

Sono stati interpellati i fornitori dei sistemi, precedentemente acquisiti dall’Enel, per i quali è stata avviata l’attività di certificazione, al fine di riceverne una dichiarazione sulle caratteristiche di conformità dei sistemi stessi. Allo stesso modo sono stati interpellati i fornitori dei servizi potenzialmente vulnerabili al problema dell’anno 2000. Le risposte ricevute sono state prese in esame nel corso del processo di valutazione.

Agli stessi fornitori verrà inoltre chiesto di garantire la disponibilità di personale nei periodi critici, per l’effettuazione di ogni intervento che si dovesse rendere necessario.

Per quel che riguarda invece le forniture di materie prime e servizi di rilevante importanza è in corso l’invio ai fornitori di questionari miranti a valutarne il grado di affidabilità. Le risposte verranno utilizzate, ove necessario, nella predisposizione dei piani di contenimento.

I flussi di dati da e verso l’esterno

l’Enel ha deciso di attenersi alla politica di non modificare, a meno che non sia indispensabile, i formati utilizzati nello scambio dei dati con entità esterne. A questo scopo vengono implementate e documentate tecniche di windowing, con particolar riferimento al "parametro di windowing" .

Tutte le controparti coinvolte in tale scambio vengono comunque interpellate per verificare la loro accettazione dei principi esposti.

Lo stato di avanzamento del progetto

In questo capitolo vengono esposti dati di sintesi sull’avanzamento del progetto. Le aree aziendali considerate sono le seguenti:

l’erogazione del servizio elettrico;
la rete di telecomunicazioni;
l’informatica gestionale;
la gestione nucleare.

Per ciascuna area sono indicati, in particolare:

le tipologie principali dei sistemi che vengono certificati nel quadro del progetto;
le modalità prevalenti di intervento decise per ciascuna tipologia di sistema;
lo stato di avanzamento delle attività di certificazione e di diffusione sul territorio dei sistemi certificati.

Le definizioni ed i termini usati sono quelli definiti al capitolo 3, qui brevemente riepilogati:

conforme: tale da rispettare la definizione del BSI di cui al punto 3.4.1; la conformità viene dichiarata al termine di un processo di certificazione, e rappresenta uno degli stati finali del processo di certificazione;
"ready", o predisposto: vedi ancora punto 3.4.1; brevemente, non conforme ma comunque tale da non indurre significativi malfunzionamenti correlati all’anno 2000; rappresenta il secondo possibile stato finale del processo di certificazione;
retrodatazione: una delle misure in grado di rendere "ready" un sistema; la retrodatazione non sempre è applicabile e dunque il ricorso ad essa è pianificato ed attuato solo a valle di una appropriata verifica tecnica oltreché di una analisi costo/benefici;
esente: detto di un sistema che non effettui alcun trattamento di data, e nel quale dunque il "bug" non ha modo di verificarsi; l’opposto di "esente" è "vulnerabile";
laddove si parla di "termine delle attività" la frase va intesa a seconda dei casi come "raggiungimento certificato della conformità" o "raggiungimento certificato della readiness".

L’erogazione del servizio elettrico

L’erogazione del servizio elettrico risulta dall’attività congiunta della Divisione Produzione, della Divisione Trasmissione e della Divisione Distribuzione, che rappresentano le tre fasi/processi del sistema elettrico, nonché del Gestore della Rete di Trasmissione Nazionale. Le principali tipologie di sistemi che vengono certificate in tale ambito sono le seguenti:

i sistemi di telecontrollo della distribuzione, che consentono, a partire dai centri operativi di Direzione Distribuzione e di Esercizio, l’operatività remota sugli impianti di trasformazione da alta a media tensione distribuiti sul territorio (monitoraggio degli impianti, acquisizione segnali, telecomando degli interruttori). L’adeguamento dei sistemi è stato effettuato nel mese di maggio ed il relativo collaudo nel mese di giugno. Nel mese di luglio è stata completata la diffusione sul territorio presso le Direzioni e gli Esercizi Territoriali;
i sistemi di protezione delle reti di distribuzione AT e MT, situati nelle cabine primarie. Tutti i sistemi potenzialmente vulnerabili sono stati certificati conformi. L’attività è stata completata nel mese di luglio;
i sistemi telefonici di risposta automatica (ACD), che rispondono automaticamente all’utenza durante i guasti e smistano le chiamate agli operatori in turno o al telesportello. E’ stato verificato che i sistemi erano fin dall’inizio "ready" (si verificavano malfunzionamenti limitati, senza impatto sui livelli di servizio); sono stati resi conformi (tramite aggiornamento del software e collaudo) o retrodatati nel mese di luglio;
i GMC (Gruppi di Misura e Controllo per gli utenti a tariffa multioraria). Si tratta di circa 12.000 sistemi, installati presso i clienti di maggiori dimensioni. Questi sistemi sono stati certificati conformi, anche attraverso prove, nello scorso mese di giugno;
i sistemi installati nelle stazioni elettriche della trasmissione, quali i dispositivi di controllo locale, protezione e comando. Solo una parte di questi sistemi effettua trattamento di data; sono stati certificati conformi, anche attraverso prove, con termine delle attività a marzo. Meno rilevanti ai fini del servizio sono gli apparati registratori o di monitoraggio, il cui adeguamento e collaudo è terminato nel mese di giugno;
i sistemi per la teleconduzione delle stazioni elettriche AT ed AAT, articolati su 13 posti di teleconduzione. E’ stato verificato che i sistemi erano già "ready" (si verificavano solo alcune non-conformità nella reportistica); sono stati comunque resi pienamente conformi, con termine delle attività di adeguamento e collaudo a giugno;
i sistemi per la supervisione e controllo del sistema elettrico, costituiti dal Centro Nazionale di Controllo e dagli 8 Centri di Ripartizione sul territorio. Sono state svolte attività di adeguamento, completate in giugno; sono poi seguite attività di collaudo, svolte su un sistema di test costituito dal Centro Nazionale di Controllo e da un Centro di ripartizione, che si sono positivamente concluse all’inizio di agosto;
i sistemi per il controllo di processo presenti nelle centrali elettriche: si tratta di un insieme numeroso e differenziato di apparati, in particolare sistemi di supervisione e controllo, sistemi di teleconduzione e telecontrollo, sistemi ausiliari. Le modalità d’intervento consistono nell’adeguamento e nella retrodatazione in misura all’incirca uguale, in dipendenza da motivi tecnico-economici e di esercizio (l’adeguamento prevale tra i sistemi aventi rilevanza ai fini del processo produttivo, la retrodatazione tra i sistemi facenti parte di ausiliari secondari e per i quali la funzione data risulta marginale). La conclusione delle attività, comprensive del collaudo, è prevista entro settembre.

In sintesi, e con la limitata eccezione citata di alcune centrali elettriche, per tutti i sistemi di massima criticità (il cui malfunzionamento può cioè comportare minaccia alla continuità del servizio e/o minaccia alla sicurezza dei clienti, degli operatori, dell’ambiente e degli impianti) il processo di certificazione è terminato.

La rete di telecomunicazioni

L’Enel usufruisce di una vasta rete privata di telecomunicazioni, nata per garantire una maggiore affidabilità dei servizi di telecomunicazione occorrenti per il controllo e l’esercizio della rete elettrica. La rete è attualmente gestita in outsourcing da WIND.

Le principali aree funzionali di questa rete sono le seguenti:

la rete di supporto al telecontrollo ed alla telegestione degli impianti elettrici, che è esente dal "problema anno 2000" (è basata su tecnologie analogiche o comunque non vulnerabili);
la rete della telefonia operativa mobile, anch’essa esente dal problema per gli stessi motivi;
la rete della telefonia operativa fissa; parte dei suoi autocommutatori sono esenti dal problema o conformi, per la parte rimanente è stata decisa ed attuata nel mese di aprile la retrodatazione;
la rete IP Intranet, che collega tutte le sedi aziendali ed è completamente conforme;
la rete di Trasmissione Dati X.25 e Frame Relay; parte dei suoi nodi sono conformi, per la parte rimanente è stata decisa ed attuata nel mese di aprile la retrodatazione;
la rete della telefonia gestionale, per i cui centralini privati (PABX) non conformi è in corso una attività di adeguamento che si concluderà entro ottobre.

L’informatica gestionale

La continuità del servizio elettrico, in senso stretto, non dipende dal corretto funzionamento dei sistemi di informatica gestionale. L’importanza di tali sistemi ai fini del business, peraltro, è quella tipica di una azienda evoluta ed eventuali malfunzionamenti possono arrecare danni economici e d’immagine.

Nell’informatica gestionale dell’Enel si distinguono tre tipologie principali di sistemi:

i sistemi centrali, che includono l’hardware, il software di base ed il software di ambiente dei centri di elaborazione dati. Gli interventi consistono nell’adeguamento di parte dell’hardware e nell’innalzamento di versione di tutto il software (passando al sistema operativo IBM OS/390 e ad un corredo software di versione adeguata); tutte queste attività sono terminate a metà di aprile;
i sistemi distribuiti, che includono l’hardware, il software di base ed il software di ambiente delle reti locali. Gli interventi consistono nella sostituzione di una parte limitata dei PC e nell’adeguamento del corredo software; l’hardware di connessione alle LAN è stato verificato conforme. La predisposizione dei corredi software adeguati ed il loro collaudo centralizzato sono terminati nel mese di giugno; la fase di diffusione sul territorio è attualmente in corso e si prevede termini entro ottobre;
il software applicativo gestionale. Delle circa 560 procedure censite, 260 erano state sviluppate fin dall’origine secondo criteri di conformità all’anno 2000; di altre 80 è stato deciso l’abbandono; per le rimanenti l’intervento consiste nella revisione, condotta in generale in occasione di altri interventi di manutenzione. Alla data tale attività di revisione, comprensiva di collaudo e passaggio in esercizio, è terminata per oltre il 90% delle procedure che la richiedevano.

E’ stato inoltre avviato nel mese di maggio un collaudo integrato dell’intero sistema, con la partecipazione degli utilizzatori delle procedure applicative, allocando a tale scopo partizioni separate dei sistemi centrali (per un’occupazione complessiva di spazio su disco pari a 1.500 Gigabyte) e ricreando in esse un completo ambiente gestionale la cui data è impostata nell’anno 2000. La maggior parte delle attività di collaudo terminerà alla fine di settembre, ma l’ambiente verrà mantenuto attivo fino al termine del progetto.

La gestione nucleare

Gli impianti nucleari italiani non sono in produzione sin dal 1987 e sono in fase di "decommissioning" con diversi stati d’avanzamento. Data la situazione di non esercizio degli impianti la criticità è molto limitata, giacché i sistemi automatizzati hanno esclusivamente compiti di rilevamento e misura.

Nell’ambito del progetto "Anno 2000" particolare attenzione è stata posta sui dispositivi legati alla sicurezza nucleare ed alla radioprotezione. Tali dispositivi, per la maggior parte, non richiedono interventi di adeguamento poiché già conformi o presentanti malfunzionamenti irrilevanti (stato di "ready").

Le attività di adeguamento e collaudo in atto risultano in linea con la pianificazione prevista, che terminerà con la sostituzione di alcuni apparati entro il mese di ottobre.

Il piano di contenimento

Avvertenza

Nella predisposizione dei piani di contenimento sono formulate previsioni di malfunzionamento dei sistemi puramente ipotetiche, al solo scopo di focalizzarne le implicazioni e quindi consentire di operare per diminuire l'impatto derivante dall’eventuale verificarsi di tale tipo di eventi. La formulazione di tali ipotesi non deve quindi essere interpretata come una conferma della possibilità di accadimento degli eventi ipotizzati, ma solo come una documentazione dell’affidabilità del processo di prevenzione in atto, che non vuole trascurare alcun rischio.

La metodologia

La metodologia seguita nella predisposizione del piano di contenimento dell’Enel, basata su quella proposta dal NERC (North American Electric Reliability Council), si basa sui seguenti punti:

analisi dei rischi operativi;
analisi degli scenari;
preparazione generale;
piano operativo.

Il piano viene sviluppato in corrispondenza a ciascuna delle principali strutture dell’Enel (Divisioni, Strutture di Servizio, Gestore Rete di Trasmissione Nazionale); i piani vengono poi coordinati. All’interno di ciascuna struttura, inoltre, il piano viene articolato in un livello centrale (analisi, linee guida, piano operativo centrale, regole di monitoraggio) e in un livello territoriale (completamento dell’analisi, piano operativo territoriale).

Il piano viene mantenuto costantemente aggiornato per adattarsi, ove necessario, alle variazioni dei dati e delle ipotesi sui quali è basato (stima delle probabilità di eventi dannosi, informazioni sullo stato di adeguamento e sul piano di contenimento dei business partners, etc.).

Analisi dei rischi operativi

Lo scopo è quello di identificare e valutare le fonti di rischio interne ed esterne all’Enel.

I rischi vengono individuati in corrispondenza ai principali processi di ciascuna unità, e vengono valutati (secondo scale convenzionali standardizzate) come il risultato del prodotto tra probabilità di malfunzionamento ed impatto del malfunzionamento; vengono individuate le possibili azioni correttive.

Analisi degli scenari

Lo scopo è quello di definire scenari di diversa probabilità ed impatto. Sono considerate due famiglie di scenari, quelli "più probabili" e quelli "peggiori credibili".

A partire dai malfunzionamenti più gravi e mediante aggregazioni, vengono definiti scenari dei due tipi; vengono precisati i contorni temporali, la gravità, i sintomi, le conseguenze dei disservizi; vengono individuate le possibili azioni correttive, specifiche dei singoli rischi o globali.

Preparazione generale

Lo scopo è quello di completare l’analisi delle azioni di contenimento e predisporne l’esecuzione.

Vengono individuate azioni di contenimento generali, non specifiche dei singoli scenari, e viene predisposta l’esecuzione di tutte le azioni individuate individuandone la responsabilità, il periodo di attuazione, le risorse, le regole di controllo.

Piano operativo

Lo scopo è quello di pianificare e controllare l’esecuzione delle azioni di contenimento.

Il piano particolarizza a livello di dettaglio le indicazioni generali derivate dalle fasi precedenti.

I principali risultati

Vengono qui indicati i principali risultati dell’attività svolta, a livello globale e non suddivisi per singola struttura.

Gli scenari

Lo scenario più probabile prevede che la continuità del servizio elettrico sia completamente o quasi completamente preservata. Questo scenario risulta dall’integrazione di scenari di maggior dettaglio quali: malfunzionamenti isolati, di gravità differenziata, in diversi sistemi elettrici ed informatici dell’azienda, non tali però da soverchiare le capacità di adattamento e reazione proprie del sistema; buona stabilità dei principali servizi acquisiti dall’esterno; limitata o nessuna difficoltà nel campo dell’approvvigionamento di combustibili.

Il peggiore scenario credibile ipotizza che, in conseguenza di eventi quali quelli già indicati ma caratterizzati da maggior numero e gravità, si possano verificare interruzioni del servizio di fornitura di energia elettrica per limitati periodi di tempo ed in limitate aree geografiche.

Le azioni di contenimento generali

Le azioni di natura generale che sono state identificate e che saranno attuate sono le seguenti:

la predisposizione di una struttura di gestione della crisi, basata su unità di crisi situate nelle principali sedi dell’azienda, che assicuri il coordinamento tra le unità dell’Enel e la raccolta e lo smistamento delle informazioni, e funga da "focal point" nei rapporti verso l’esterno;
l’individuazione e l’approntamento degli strumenti, preferibilmente ridondanti, adatti a garantire la possibilità della comunicazione tra tutti gli attori del piano di contenimento;
la verifica ed il collaudo di tutte le principali procedure già disponibili per la gestione dell’emergenza; si ritiene infatti indispensabile che ogni intervento necessario sia attuato dalle strutture a ciò preposte nel corso della normale gestione, e non da strutture straordinarie la cui affidabilità non sarebbe garantita;
la sensibilizzazione di tutto il personale e l’addestramento di quello coinvolto nell’attuazione del piano e nell’utilizzo di apparecchiature vulnerabili critiche;
il presidio generalizzato degli impianti nei periodi critici della transizione, con rafforzamento dei turni e delle reperibilità; l’adozione di misure logistiche (mezzi di trasporto, etc.) per il personale in servizio;
la verifica della disponibilità del personale di manutenzione dei fornitori;
in collaborazione con organismi internazionali, l’utilizzo di una procedura di "early warning" per l’osservazione degli effetti del cambio della data in Oceania ed Estremo Oriente.

Le azioni di contenimento specifiche

Vengono qui citate le principali azioni individuate dalle singole unità per affrontare i rischi tipici del proprio business.

E’ necessario ribadire che tali azioni si affiancano alle molteplici e complesse procedure di emergenza che, nell’esercizio quotidiano, sono finalizzate a preservare la continuità del servizio elettrico.

Le principali azioni sono:

l’adozione di ipotesi cautelative nella previsione del fabbisogno per il periodo critico, che prevedano deviazioni anche consistenti dalla consueta dinamica delle curve di carico;
l’ottemperanza alle raccomandazioni UCTE (Union pour la Coordination du Transport de l’Electricité), che prevedono l’esercizio della rete AT al massimo di livello di interconnessione con l’estero ed interarea; la minimizzazione degli scambi con l’estero (al fine di garantire la riserva di potenza di transito sulle linee, con massima capacità di soccorso); la minimizzazione degli scambi interarea; il periodo di massima attenzione entro cui far valere le raccomandazioni stesse dalle 18.00 del 31/12/99 alle 6.00 del 1/1/00, oltre al giorno 3/1/00 (primo giorno lavorativo dopo il Capodanno);
l’adozione di un programma della produzione degli impianti di generazione che preveda ampia disponibilità degli impianti ed uniforme distribuzione degli stessi sul territorio nazionale, ampio margine di riserva operativa a livello nazionale e territoriale, ampi margini di riserva di regolazione primaria e secondaria;
la revisione dei piani di difesa già esistenti finalizzati a far fronte ad eventuali emergenze o disservizi gravi (piano d’alleggerimento automatico e manuale del carico; piano di riaccensione della rete);
la revisione e riattivazione del piano PESSE (Piano di Emergenza per la Sicurezza del Servizio Elettrico), già utilizzato in passato dall’Enel al fine di razionalizzare la distribuzione dell’energia nel caso di deficit di potenza sulla rete di trasmissione;
l’esecuzione di backup in tutti i sistemi computerizzati nelle ultime ore del 1999 (dunque in anticipo rispetto alla schedulazione ordinaria);
la disponibilità dell’intero sistema informatico nei giorni 1 e 2 gennaio, finalizzata a consentire collaudi di procedure online e modifiche nel calendario delle elaborazioni con verifiche dettagliate dei risultati; la produzione di stampe riepilogative critiche negli ultimi giorni del 1999 (es. lista dei reperibili).