INAIL-Osservatorio della Sicurezza a cura dell'Ufficio Relazioni con il Pubblico - Dipartimento Processi Organizzativi ex-ISPESL
LE NORME PER I SISTEMI DI CONTROLLO DELLE MACCHINE
DI GIOVANNI LUCA AMICUCCI E FABIO PERA
La direttiva macchine [D.Lgs. 17/2010] prevede che le macchine commercializzate o messe in servizio siano conformi ai requisiti essenziali di sicurezza contenuti nell'All. I alla direttiva stessa (art.3, comma 3, D.Lgs. 17/2010).
Tra i requisiti di sicurezza contenuti nell'All. I, quelli che riguardano la sicurezza e l'affidabilità dei sistemi di comando si trovano al punto 1.2.1. In particolare, i sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose e, in ogni caso, essi devono essere progettati e costruiti in modo tale che: − resistano alle previste sollecitazioni di servizio e agli influssi esterni; − un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose; − errori della logica del sistema di comando non creino situazioni pericolose; − errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose. Commercializzare macchine in grado di resistere alle sollecitazioni previste è alla base della competitività produttiva. A tal fine i progettisti ricorrono in genere ad una scelta oculata dei materiali e delle tecnologie.
Agli errori umani ragionevolmente prevedibili si può ovviare con una buona progettazione. Una progettazione anche corretta, oltre che buona, permette di fare a meno degli errori della logica di comando, in modo da non dover affrontare situazioni pericolose a causa di tali errori.
A tal proposito esistono tecniche di progettazione che, se applicate, aiutano ad eliminare eventuali errori nella logica di comando.
Quanto alle avarie nell'hardware o nel software, si può far in modo che non creino situazioni pericolose ricorrendo a ridondanza e diversità dei canali del sistema di comando.
Le norme sull'affidabilità dei sistemi di comando insegnano le procedure da seguire per decidere in quali casi, su base probabilistica e sulla base delle caratteristiche richieste al sistema di comando, sia sufficiente un unico canale logico per realizzare una funzione di sicurezza o sia necessario ricorrere a parti aggiuntive, come un controllo diagnostico sul canale o l'adozione di almeno due canali separati che siano in grado di effettuare controlli diagnostici uno sull'altro in modo da assicurare la sicurezza della macchina, eventualmente anche in presenza di guasti. La prima norma armonizzata (fin dalla prima direttiva macchine, D.P.R. 459/96), appositamente pubblicata per rendere disponibili procedure e criteri comuni per la progettazione e la valutazione di affidabilità dei sistemi di comando, è stata la EN 954-1.
Tale norma è stata studiata per l'applicazione a diversi tipi di tecnologie, da quelle elettriche, che comprendono anche i sistemi a logica programmabile, a quelle meccaniche, idrauliche e pneumatiche. Nella norma sono introdotti i principi base affinché i sistemi di comando siano progettati e costruiti in modo da evitare situazioni pericolose. In pratica, il sistema di comando deve essere inserito nel ciclo di vita della macchina, che parte dall'identificazione dei pericoli, cui fa seguito l'individuazione delle funzioni di sicurezza da realizzare per mezzo del sistema di comando. Subito dopo il progettista, per ciascuna funzione, deve scegliere una Categoria, tra cinque disponibili (B, 1, 2, 3, 4), per la realizzazione effettiva.
Poi, il sistema di comando ottenuto deve essere validato, per verificare che le caratteristiche richieste per la Categoria scelta siano state ottenute. Infine la progettazione è terminata e la macchina può essere realizzata e, dopo aver soddisfatto gli adempimenti per l'immissione sul mercato, commercializzata. Però il ciclo di vita non finisce con la vendita, ma prosegue con la manutenzione, con le modifiche a seguito di incidenti, con gli adeguamenti a nuove disposizioni legislative (ove necessario), per terminare solo con la dismissione effettiva della macchina.
Nella realtà, la EN 954-1, non è mai stata una norma troppo vincolante: le definizioni con le caratteristiche delle Categorie non fornivano un'idea univoca di come realizzare queste ultime, inoltre non erano date indicazioni per poter effettuare valutazioni quantitative in maniera oggettiva. Per tale motivo è stato naturale, come era auspicabile fin dall'inizio, far evolvere la EN 954-1 in modo che fosse ben chiaro che le Categorie rappresentassero in realtà delle Architetture (con o senza ridondanza) con cui realizzare il canale logico che costituisce una data funzione di sicurezza all'interno del sistema di comando. Inoltre, è stato finalmente spiegato che il parametro di valutazione della bontà di un sistema di comando è la probabilità di fallimento dello stesso quando viene richiesta l'attivazione di una data funzione di sicurezza: più è bassa tale probabilità e più è difficile che si verifichino situazioni pericolose per il mancato intervento di una funzione di sicurezza.
Tale evoluzione è rappresentata dalla norma EN ISO 13849-1. In quest'ultima è spiegato che la valutazione del rischio serve anche a stabilire qual è l'intervallo di livello di probabilità da raggiungere per una data funzione di sicurezza, in modo tale che il rischio residuo sia tollerabile (Performance Level claimed).
Inoltre, il processo di progettazione della macchine e della funzione di sicurezza deve essere integrato e deve anche essere re-iterato, finché non si raggiunge un adeguato livello di probabilità di fallimento della funzione di sicurezza, inferiore al valore tollerabile. Poco prima della pubblicazione della EN ISO 13849-1, per il settore delle macchine è stata pubblicata la norma CEI EN 62061, che copre più o meno gli stessi aspetti (per i sistemi di comando elettrici, elettronici ed elettronici programmabili).
La filosofia della CEI EN 62061 è un po' diversa: non ci sono architetture rigide per la realizzazione dei canali logici del sistema di comando, ma la scelta dell'architettura è delegata al progettista, così come la scelta del tipo di ridondanza da adottare per accrescere l'affidabilità di tale sistema. Cambia anche la nomenclatura: quello che era il Performance Level Claimed è chiamato Safety Integrity Level Claimed, anche se non vi è una corrispondenza biunivoca tra i due concetti. Attualmente, a livello normativo, è allo studio l'unificazione della EN ISO 13849-1 con la CEI EN 62061, con una serie di modifiche ed integrazioni allo scopo di rendere la norma che ne risulterà più applicabile delle due norme che l'hanno generata. Pertanto, allo scopo di poter intervenire più efficacemente nel processo di realizzazione normativa, e assolutamente senza finalità ispettive, il Dipartimento Tecnologie di Sicurezza dell'INAIL (ex ISPESL) sta studiando l'effettiva diffusione ed adozione delle norme sui sistemi di comando delle macchine nel panorama produttivo nazionale.
Poiché lo scopo delle norme in questione è quello di valutare la sicurezza del sistema di comando - non come parte a sé stante, ma come componente essenziale della macchina - è evidente che l'adozione di norme simili può facilitare i compiti dei progettisti, indicando loro quali sono le procedure da seguire. Tali procedure costituiscono buone pratiche produttive: anche se la loro applicazione ha un costo iniziale, a lungo andare, la standardizzazione della progettazione consente un risparmio per l'azienda e quindi maggiore competitività, sia sul mercato nazionale, sia su mercati dove la conformità normativa costituisce (anche quando non è cogente) un requisito essenziale per la commercializzazione dei prodotti. |