La scelta dei sistemi di protezione in grado di rilevare la presenza di persone al fine di proteggerle da parti pericolose del macchinario rientra nella logica di riduzione dei rischi associati alla macchina ed è eseguita dal fabbricante. In questo articolo si analizzano la configurazione e la messa in servizio di questi sistemi di protezione.
Prestazione degli apparecchi di protezione
Tramite il requisito essenziale di sicurezza 1.2.1 dell’allegato I, la Direttiva macchine 2006/42/CE richiede che sia garantita la sicurezza e l’affidabilità dei sistemi di comando. In definitiva non deve essere mai possibile che un’avaria nell’hardware o nel software possa portare a situazioni pericolose, che la macchina possa avviarsi in modo inatteso, che i dispositivi di protezione perdano la loro efficacia ecc. Al fine di garantire quanto richiesto dal citato requisito, il fabbricante è tenuto ad adottare i principi di progettazione delle parti del sistema di comando legate alla sicurezza, come definiti dalla norma armonizzata UNI EN ISO 13849-1. Secondo l’approccio probabilistico di questa norma, lo scopo è di realizzare un sistema di comando che possa avere un livello di affidabilità sufficiente a garantire la sicurezza dell’operatore in funzione della valutazione del rischio esistente. Di fatto, l’idea di base non è di realizzare un equipaggiamento che non si guasti mai, quanto piuttosto un equipaggiamento che abbia una probabilità di guasto sufficientemente bassa e comunque idonea al pericolo da cui ci si vuole proteggere e dunque al rischio associato. Ora, gli apparecchi di protezione fanno pienamente parte della logica di comando correlata con la sicurezza, pertanto nello studio del livello di affidabilità del sistema di comando il fabbricante è tenuto ad analizzare anche l’efficienza (e dunque la qualità costruttiva) degli stessi apparecchi di protezione. In definitiva, in quanto anche progettista del sistema di comando relativo alla sicurezza, il fabbricante della macchina deve stabilire le prescrizioni di prestazione degli apparecchi di protezione e sceglierli per conseguire la riduzione del rischio richiesta. In termini di prestazioni, la scelta degli apparecchi di protezione deve soddisfare il livello richiesto (Performance Level-PL) dalla valutazione dei rischi effettuata secondo la norma UNI EN ISO 13849-1 e dunque tali elementi devono configurarsi correttamente con le parti di comando legate alla sicurezza (per esempio, con opportuni moduli di sicurezza per le attività di controllo). La specifica tecnica CEI CLC/TS 62046 definisce tre tipi possibili di apparecchi elettrosensibili di protezione (ESPE):
- ESPE di tipo 2 (valido per barriere): utilizzano una prova periodica per rilevare guasti pericolosi;
- ESPE di tipo 3 (valido per laser scanner): sono progettati per non subire guasti pericolosi a causa di una singola avaria ma possono incorrere in guasti a causa di un accumulo di avarie;
- ESPE di tipo 4 (valido per barriere): sono progettati per non subire guasti pericolosi anche a seguito di un accumulo di avarie.
Quando si considera la durata della prova funzionale di un ESPE di tipo 2, si deve considerare che il passaggio di un corpo durante l’esecuzione della prova, non verrebbe identificato. Pertanto, se la prova può superare i 150 ms è necessario considerare un interblocco del riavvio (dunque, il riavvio dell’elemento pericoloso non può avvenire automaticamente, ma richiede l’intervento su un dispositivo di azionamento da parte dell’operatore, quale comando a pedale, doppio comando a mano, attuatore singolo ecc. a seconda del risultato della valutazione dei rischi). Per quanto concerne i tappeti sensibili, essi sono classificati secondo le indicazioni della UNI EN ISO 13849-1. Il tappeto è generalmente di categoria 1. Il modulo di controllo può essere di categoria 2, 3 o 4. La scelta della categoria deve essere concorde al livello di prestazione richiesto (PLr) come ottenuto dalla valutazione dei rischi eseguita secondo UNI EN ISO 13849-1. Anche in questo caso, per la categoria 2, e dunque in presenza di una prova funzionale che possa rilevare i guasti pericolosi, è necessario valutare la sua durata, in quanto durante l’esecuzione della prova, il tappeto è di fatto non funzionante (nel senso che non rileva alcuna pressione). Dunque, è opportuno considerare un interblocco del riavvio, anche in questo caso, quando la durata della prova supera i 150 ms. In linea di principio, quando la prestazione di sicurezza dell’apparecchio dipende da prove periodiche (per esempio, ESPE di tipo 2 oppure tappeti di categoria 2), la frequenza delle prove dovrebbe sempre essere superiore alla frequenza di esposizione al pericolo. Se per esempio la frequenza di accesso è una volta ogni 60 min, facendo una prova funzionale una volta ogni 30 minuti si ha buona probabilità che il guasto venga rilevato prima del successivo accesso (alla peggio il controllo è stato effettuato esattamente 30 minuti prima). A riguardo si può far riferimento anche a quanto riportato in allegato G alla specifica tecnica.
Neutralizzazione
Una possibile configurazione degli apparecchi di protezione è rappresentata dalla neutralizzazione (in inglese, muting). Essa rappresenta la sospensione automatica temporanea di una o più funzioni di sicurezza generata dalle parti del sistema di comando relativo alla sicurezza: durante questa sospensione l’operatore può avvicinarsi alla zona pericolosa senza essere rilevato dall’apparecchio di protezione e restando comunque in sicurezza (per esempio, per lo stato di arresto in cui si trovano gli elementi pericolosi e per l’impossibilità a riavviarli). Tuttavia, la neutralizzazione deve essere prevista solo quando è necessaria per finalità produttive e deve impedire che un operatore possa restare nell’area pericolosa, in condizione non più rilevabile, al termine della neutralizzazione. A tal proposito potrebbe rendersi necessario il posizionamento di un indicatore luminoso (lampada lampeggiante o di colorazione ben visibile) che indichi all’operatore l’attivazione della fase di neutralizzazione. La neutralizzazione deve sempre avviarsi e concludersi in maniera automatica. Questo può essere ottenuto mediante l’utilizzo di sensori di neutralizzazione posti sul percorso del materiale in avvicinamento all’apparecchio di protezione (si pensi a una barriera fotoelettrica, per esempio). Di fatto, una sequenza errata o un’errata tempistica di intervento dei sensori non devono consentire la fase di muting. La regolazione manuale della tempistica e della posizione della fase di muting o dei corrispondenti sensori deve sempre richiedere l’utilizzo di una chiave, di un codice o di un utensile.
