Si è soliti ritenere che la progettazione di un sistema di comando debba concentrarsi esclusivamente sul corretto funzionamento della logica produttiva prevista dalla macchina non valutando quanto, invece, la corretta progettazione del sistema di comando influenzi la sicurezza finale dell’operatore. L’articolo evidenzia quanto richiede la direttiva Macchine 2006/42/CE e quanto il Fabbricante è tenuto a realizzare.
La Direttiva Macchine 2006/42/CE definisce, in Allegato I, i requisiti essenziali di sicurezza e di tutela della salute che la macchina deve soddisfare prima di essere immessa sul mercato e/o messa in servizio da parte del Fabbricante. I requisiti di sicurezza devono essere soddisfatti in tutte le fasi di vita della macchina, dunque non solo durante l’utilizzo vero e proprio, ma anche durante il trasporto, la movimentazione in azienda, la messa a punto, la manutenzione, la pulizia, lo smontaggio ed, eventualmente, lo smaltimento. In tutte le fasi di vita citate, il Fabbricante deve garantire che le persone siano esposte esclusivamente ai rischi residui, vale a dire quei rischi che non possono essere eliminati senza perdere le caratteristiche proprie della macchina. Al fine di raggiungere questo obiettivo, il Fabbricante della macchina è tenuto ad effettuare una valutazione dei rischi il cui primo passo è quello di evidenziare tutti i possibili pericoli e le correlate situazioni pericolose, legati all’uso della macchina in tutte le sue fasi di vita. Il passaggio successivo è la stima del rischio correlato alla situazione pericolosa, valutando quindi se quel rischio è sufficientemente basso oppure può essere ulteriormente ridotto arrivando, in ultima analisi, anche ad una eliminazione del pericolo. Questo processo iterativo deve essere sviluppato durante la progettazione della macchina in modo da arrivare a una modifica del progetto qualora il processo di valutazione dei rischi comporti questa necessità. Di conseguenza, le scelte progettuali effettuate devono essere il diretto risultato della valutazione dei rischi in modo da poter esporre gli operatori, che avranno a che fare con la macchina in tutte le fasi di vita sopra ricordate, solo a quel rischio residuo emerso dalla valutazione stessa.
La valutazione dei rischi ora ricordata deve coprire anche le scelte progettuali legate all’equipaggiamento del sistema di comando della macchina, in particolare per quanto attiene a quelle parti del sistema di comando legate alla sicurezza.
Nello specifico, il requisito 1.2.1 dell’Allegato I – “Sicurezza e affidabilità dei sistemi di comando” -, definisce i requisiti che deve rispettare il sistema di comando della macchina in modo da evitare l’insorgere di situazioni pericolose. A riguardo, è da ricordare che la sicurezza della macchina non deriva esclusivamente dal corretto utilizzo e posizionamento di ripari fissi e/o ripari mobili interbloccati, ma anche dalla corretta scelta di dispositivi di protezione (per esempio, barriere di sicurezza, comandi bimanuali, ecc.) e dalla idonea progettazione del sistema di comando legato alle funzioni di sicurezza della macchina (avvio, arresto, arresto di emergenza, ecc.). Pertanto, una progettazione dei sistemi di comando della macchina che sia non conforme a quanto richiede la direttiva potrebbe comportare il verificarsi di una serie di situazioni di pericolo “indirette”, dovute proprio a un guasto e/o cattivo funzionamento di tali sistemi. Per esempio, alcune valutazioni fondamentali che è necessario effettuare sono le seguenti:
- i sistemi di comando non devono subire influssi esterni legati all’ambiente di lavoro in cui opera la macchina: per esempio, se la macchina è pensata per ambiente outdoor, i sistemi di comando devono essere progettati conformemente a questo ambiente;
- i sistemi di comando devono resistere alle sollecitazioni prevedibili: per esempio, l’intervento continuativo su un particolare dispositivo di comando non deve portare lo stesso rapidamente a rottura, con possibili ulteriori pericoli per l’operatore;
- qualora il sistema di gestione e controllo della macchina presenti una condizione di avaria o guasto, non si devono mai presentare situazioni di pericolo per l’operatore: quindi vi è la necessità di tenere separate la logica di funzionamento della macchina dalla logica di sicurezza, garantendo sempre che quest’ultima sia in grado di monitorare la prima. Il punto di partenza è che la macchina non presenti mai avviamenti inattesi, mancati arresti quando richiesti (in particolare se di emergenza), modifiche ai parametri di processo che comportino situazioni di pericolo inaspettate, comportamenti imprevisti, ecc.;
- gli errori umani prevedibili, legati all’interazione uomo-macchina, non devono portare alla creazione di situazioni pericolose: per esempio, la gestione dell’operatore su di un software di gestione (più o meno complesso) non deve mai determinare condizioni pericolose per l’operatore se non dietro chiara autorizzazione da parte dell’operatore stesso in modo che sia effettivamente cosciente di quello che sta per abilitare.
Le condizioni che potremmo dover analizzare sono davvero tantissime, ma tutte rientrano più o meno nei quattro punti sopra esposti.
I requisiti esposti al punto 1.2.1 dell’Allegato I si applicano a tutte le parti del sistema di comando che, in caso di un’avaria o di un guasto, possono comportare pericoli dovuti a un comportamento non voluto o imprevisto della macchina (come sopra ricordato, un avviamento imprevisto, un mancato arresto, ecc.). I sistemi di comando da analizzare possono utilizzare varie tecnologie o combinazioni di tecnologie quali, ad esempio, meccanica, idraulica, pneumatica, elettrica o elettronica. In particolare, i sistemi elettronici di comando sono programmabili.
Le parti del sistema di comando più coinvolte da questo punto di vista sono, senza ombra di dubbio, le parti del sistema di comando legate alle funzioni di sicurezza, quali, ad esempio, gli elementi del sistema di comando dei dispositivi di interblocco e di blocco dei ripari, dei dispositivi di protezione o dei comandi di arresto d’emergenza. Un guasto a questi elementi di sicurezza comporterebbe un mancato intervento della corrispondente funzione di sicurezza e, di conseguenza, una potenziale situazione pericolosa per l’operatore: si pensi alla necessità di fermare in emergenza una macchina premendo il pulsante di emergenza; un mancato arresto della macchina esporrebbe l’operatore a potenziali pericoli conseguenti non solo al mancato arresto, ma anche al fatto che questo mancato arresto sia del tutto inaspettato da parte dell’operatore.
- esclusione o riduzione della probabilità di guasti o avarie adottando componenti affidabili e principi di sicurezza comprovati;
- utilizzo di componenti standardizzati con verifica delle funzioni di sicurezza da parte del sistema di comando ad intervalli regolari;
- ridondanza degli elementi del sistema di comando in modo da non perdere la funzione di sicurezza in caso di guasto o avaria;
- controllo automatico per il rilevamento continuo di guasti e avarie.
Questi concetti possono essere applicati anche in combinazione tra loro. Ad esempio, nella logica della ridondanza, la scelta di adottare tecnologie diverse (per esempio, elettrica e pneumatica) può essere utilizzata per evitare le avarie dovute a cause comuni.
