Dispositivi di interblocco con bloccaggio secondo ISO 14119: come impedire la manomissione?

La manipolazione dei dispositivi di interblocco con bloccaggio raramente dipende soltanto da una “cattiva prassi” dell’operatore. Nella maggior parte dei casi è la conseguenza di scelte progettuali che non tengono conto delle reali modalità di accesso alla zona pericolosa, del tempo di attesa necessario per un’apertura in sicurezza né dell’onerosità del riavvio. Per questo la questione della conformità alla UNI EN ISO 14119 va posta in termini più ampi: non solo come scegliere il dispositivo di interblocco, ma anche come progettare il riparo, la sequenza di arresto e la logica di accesso affinché l’elusione della protezione non diventi, per l’utilizzatore, la soluzione più semplice.

In pratica, questo significa collegare tra loro più livelli decisionali. La sola UNI EN ISO 14119 organizza i criteri di scelta dei dispositivi di interblocco e delle misure per limitare la possibilità di manipolazione, ma va letta insieme alla UNI EN ISO 14120 per i ripari, ai requisiti relativi alle funzioni di sicurezza secondo ISO 13849 e, quando si tratta di sistemi di comando elettronici, anche in riferimento al SIL. Se si parla di recinzioni di sicurezza, è rilevante anche la ISO 13857. Tuttavia, anche un corretto richiamo alle norme non sostituisce la decisione progettuale di fondo: se il modo di funzionamento previsto per la macchina possa essere mantenuto senza creare pressione verso l’aggiramento delle protezioni.

Perché questo tema è oggi rilevante

I dispositivi di interblocco con bloccaggio non sono più un semplice dettaglio del riparo mobile, scelto alla fine del progetto. In pratica incidono sull’architettura della macchina, sulle modalità di utilizzo, sulla logica di arresto e sull’organizzazione dell’accesso alla zona pericolosa. Se vengono scelti esclusivamente in funzione della conformità formale, e non delle reali condizioni di esercizio, la manipolazione compare rapidamente: aggiramento dell’elemento attuatore, riparo lasciato aperto, forzatura del ciclo con accesso non completamente chiuso. Non si tratta di un problema secondario, ma del segnale che il progetto non ha considerato il modo prevedibile di utilizzo della macchina.

Le conseguenze sono di norma costose e si manifestano tardi, quando introdurre modifiche è più difficile. Il proprietario del prodotto e la persona responsabile della conformità si trovano allora a dover affrontare contemporaneamente l’aumento del rischio di infortunio, la contestazione delle misure di protezione adottate e la necessità di correzioni dopo la messa in servizio. Gli errori più costosi nascono nella fase delle ipotesi di base, quando il bloccaggio viene trattato come una semplice scelta di catalogo anziché come parte della funzione di sicurezza e dell’organizzazione dell’accesso. Il team di progettazione e costruzione di macchine dovrebbe rispondere non solo alla domanda se il riparo debba essere monitorato, ma soprattutto a queste: con quale frequenza verrà aperto, se l’arresto comporta un tempo di arresto residuo o energia residua, se l’operatore avrà una motivazione pratica per abbreviare il ciclo e se tale motivazione possa essere eliminata modificando la soluzione.

Questo è particolarmente evidente nei casi in cui l’operatore debba rimuovere regolarmente inceppamenti oppure reintegrare il materiale. Se il riparo è bloccato fino all’arresto completo, ma il tempo di sblocco non corrisponde alla dinamica reale del processo oppure la procedura di ripresa del lavoro è sproporzionatamente gravosa, l’elusione della protezione diventa prevedibile. Le conseguenze per il progetto sono concrete: ulteriori modifiche meccaniche, cambiamenti nel circuito di sicurezza, correzioni della documentazione tecnica e, talvolta, anche la ricostruzione del sistema di azionamento o idraulico, quando la fonte del problema risulta essere proprio la modalità di arresto.

Solo in questo contesto il richiamo alle norme è davvero pertinente. La UNI EN ISO 14119 organizza la scelta dei dispositivi di interblocco con bloccaggio e l’approccio alla limitazione della manipolazione, ma non sostituisce l’analisi del rischio. Va interpretata insieme alla UNI EN ISO 14120 per i ripari e ai requisiti relativi alle funzioni di sicurezza secondo ISO 13849 e, con riferimento ai sistemi di comando elettronici, anche al SIL. Se l’accesso avviene tramite una recinzione di sicurezza, è rilevante anche la ISO 13857. Dal punto di vista pratico, la conclusione è semplice: il rischio di manipolazione va affrontato in fase di progetto o di ammodernamento, perché dopo la messa in servizio si eliminano già gli effetti di ipotesi errate, non le loro cause.

Dove più spesso aumentano i costi o il rischio

La maggior parte delle perdite non deriva dall’impiego stesso di un dispositivo di interblocco con bloccaggio, ma dall’errata convinzione che il problema della manipolazione possa essere eliminato con una serratura “più robusta” o con una logica di comando più restrittiva. In pratica, costi e rischi aumentano quando la misura di protezione ostacola il normale lavoro più di quanto riduca realmente la possibilità di elusione. In questi casi il team di progetto individua il sintomo, non la causa: aperture frequenti del riparo, necessità di osservare il processo, riduzione del ciclo, correzione delle impostazioni o rimozione di inceppamenti. Se queste situazioni non vengono riconosciute prima della chiusura del progetto, si presenta la consueta catena di conseguenze: modifiche ai ripari, cambiamenti nella logica di comando, nuova validazione delle funzioni di sicurezza e discussioni su dove risieda l’origine del problema, se nella progettazione, nell’integrazione o nell’uso.

Un secondo ambito di rischio è la separazione tra decisioni meccaniche e decisioni di automazione. Quando il progettista del riparo, il tecnico dell’automazione e il responsabile della conformità lavorano in modo indipendente, il bloccaggio viene spesso scelto troppo tardi, dopo aver già definito la geometria della porta, il verso di apertura, i giochi, le forze di chiusura e le modalità di gestione dei guasti. In questo modo il dispositivo di interblocco finisce per compensare le debolezze dell’intera architettura della macchina. Ne derivano sovraccarichi dei componenti, problemi di coassialità, posizione instabile del riparo e tolleranze di montaggio che, durante l’esercizio, iniziano a favorire l’elusione della protezione. Se il corretto funzionamento del bloccaggio dipende da una regolazione molto precisa, da una chiusura “delicata” oppure dal fatto che l’operatore debba ogni volta attendere più a lungo di quanto il processo consenta, il rischio di manipolazione è già stato incorporato nel progetto.

Nella pratica questo è particolarmente evidente nelle postazioni in cui l’accesso alla zona pericolosa è frequente ma di breve durata: durante il cambio formato, il prelievo del pezzo, la rimozione dello scarto o la correzione della posizione. Se il progetto prevede il bloccaggio fino alla scomparsa del pericolo, ma non separa l’arresto del processo da un accesso rapido e controllato per l’operatore o per il servizio di manutenzione, l’utilizzatore inizia a cercare scorciatoie. Un elemento di attivazione non autorizzato, un riparo lasciato temporaneamente non completamente chiuso, il sostegno del chiavistello oppure l’aggiramento della sequenza di riavvio non sono allora un incidente, ma il segnale di una decisione progettuale sbagliata.

• Con quale frequenza il riparo verrà aperto nel normale ciclo di lavoro.
• Quanto tempo richiede l’apertura in sicurezza dal momento dell’arresto.
• Se le condizioni di riavvio sono proporzionate al tipo di intervento.
• Se l’utilizzatore dispone di una semplice possibilità tecnica di eludere la protezione, aspetto che merita una verifica anche tramite un audit di sicurezza di macchine e linee di produzione.
• Se la geometria del riparo e il metodo di montaggio favoriscono il funzionamento stabile del bloccaggio durante l’esercizio.

Le norme organizzano il modo di valutare questi aspetti, ma non prendono decisioni al posto del progettista. La UNI EN ISO 14119 definisce i criteri per la scelta dei dispositivi di interblocco e per la limitazione della manipolazione, ma deve essere collegata alla UNI EN ISO 14120, mentre le funzioni di sicurezza devono essere considerate secondo la logica della ISO 13849 e, in alcuni casi, anche del SIL per i sistemi di comando elettronici. Per quanto riguarda la segregazione di sicurezza, non si può trascurare la ISO 13857. Il criterio finale resta però pratico: la manipolazione è ancora un problema da limitare oppure è già la prova di una definizione errata delle condizioni di accesso sicuro e della sequenza di arresto.

Come affrontare il tema nella pratica

La domanda su come impedire la manipolazione non dovrebbe partire dalla scelta di un dispositivo specifico. Prima occorre stabilire in quali situazioni l’operatore o il personale di manutenzione avranno una reale motivazione ad aggirare le funzioni di sicurezza. Se l’accesso alla zona pericolosa è necessario di frequente, l’arresto richiede troppo tempo oppure, dopo l’apertura del riparo, il ritorno alla condizione di pronto è eccessivamente gravoso, la manipolazione diventa una conseguenza prevedibile del progetto. Dal punto di vista gestionale, questo significa costi di avviamento più elevati, più modifiche dopo i collaudi e maggiore difficoltà nel sostenere le soluzioni adottate in caso di incidente o di contestazione sulla conformità.

Per questo la sequenza delle decisioni è fondamentale. Per prima cosa vanno ordinati gli scenari di accesso: cambio formato, rimozione degli inceppamenti, pulizia, controllo qualità, diagnostica e manutenzione. Solo dopo si può valutare se il bloccaggio con ritenuta debba proteggere dall’accesso a un pericolo che persiste ancora dopo il comando di arresto, oppure soltanto imporre la corretta sequenza operativa. Confondere questi due obiettivi in un’unica soluzione porta rapidamente a costi nascosti: condizioni di sblocco della ritenuta poco chiare, bypass di servizio superflui, conflitti tra automazione industriale e tecnologia di processo e una documentazione difficile da difendere come coerente.

Un esempio pratico è semplice. Se il riparo viene aperto più volte per turno per eliminare piccoli disturbi e la ritenuta si sblocca solo dopo un tempo che l’operatore percepisce come ingiustificato, il problema non riguarda la disciplina di lavoro. La sola sostituzione dell’interruttore con un modello con livello di codifica più elevato può rendere più difficile una semplice manipolazione tecnica, ma non ne eliminerà la causa. In una situazione del genere bisogna tornare ai presupposti di progetto e verificare se sia possibile ridurre il tempo di arresto in sicurezza, separare le zone di accesso, modificare la sequenza di reset, introdurre una modalità di intervento con controllo delle condizioni oppure risolvere in altro modo la rimozione degli inceppamenti. Sono proprio queste decisioni di progettazione e costruzione di macchine a ridurre la pressione ad aggirare i ripari.

Solo dopo aver messo ordine in questi aspetti si possono applicare in modo sensato i riferimenti normativi. UNI EN ISO 14119 disciplina la scelta dei dispositivi di interblocco, il loro montaggio e le misure per limitare la possibilità di manipolazione, ma non sostituisce la valutazione delle reali modalità d’uso della macchina. Va considerata insieme alla UNI EN ISO 14120, mentre la scelta e la validazione delle funzioni di sicurezza richiedono il riferimento alla ISO 13849; nel caso di sistemi di comando elettronici può entrare in gioco anche il SIL. Quando l’accesso riguarda una recinzione di sicurezza, è rilevante anche la ISO 13857. Dal punto di vista pratico, la conclusione più importante è questa: prima bisogna eliminare la motivazione all’aggiramento, e solo dopo rendere più difficile l’aggiramento stesso.

A cosa prestare attenzione durante l’implementazione

L’errore più frequente in fase di implementazione consiste nel ritenere che un dispositivo di interblocco con bloccaggio risolva da solo il problema della manipolazione. In realtà, sposta il peso della decisione sulle modalità d’uso del riparo, sulla logica di sblocco, sulla geometria dell’installazione e sull’organizzazione degli interventi. Se questi aspetti non sono definiti con precisione, l’utilizzatore continuerà comunque a cercare scorciatoie, e il progetto ne pagherà il prezzo nel momento peggiore: durante la messa in servizio, il collaudo oppure dopo la consegna della macchina all’esercizio. In quel momento non emergono solo correzioni meccaniche e modifiche al sistema di comando, ma anche difficoltà nel sostenere la documentazione di conformità, quando risulta evidente che una modalità di elusione prevedibile non è stata realmente limitata.

Occorre prestare particolare attenzione nei casi in cui il bloccaggio debba compensare problemi la cui origine si trova al di fuori del dispositivo di interblocco stesso. Se il riparo deve essere aperto spesso perché il processo richiede regolazioni, rimozione di inceppamenti oppure verifica dello stato del pezzo, il semplice aumento del livello di protezione di norma non risolve il problema. Piuttosto, aumenta i costi e accresce le tensioni in esercizio. Se l’accesso alla zona pericolosa è regolarmente necessario nel normale ciclo di lavoro, bisogna prima verificare se non si stia progettando e costruendo la macchina in modo tale da favorire essa stessa l’elusione della protezione. In questo caso, la domanda corretta non è “quale blocco adottare”, ma se la frequenza di accesso, il tempo di attesa e le condizioni di riavvio siano accettabili dal punto di vista dell’uso reale.

Un problema tipico si presenta quando il rilascio del blocco dipende dall’arresto del movimento oppure dalla dissipazione dell’energia, ma il segnale di disponibilità all’apertura è instabile o arriva in ritardo rispetto al comportamento della macchina. L’operatore si trova così davanti a un riparo che “non si riesce ad aprire”, anche se dal suo punto di vista l’intervento è urgente e tecnicamente semplice. Se inoltre non è stata prevista una modalità sicura per l’eliminazione delle anomalie, compaiono rapidamente soluzioni sostitutive: lasciare il riparo non completamente chiuso, forzare la posizione dell’attuatore oppure intervenire sul meccanismo di attivazione. È un segnale chiaro che le condizioni limite dell’implementazione sono state individuate in modo errato.

Nella fase di messa in servizio vale quindi la pena osservare non solo la correttezza formale della funzione di sicurezza, ma anche l’andamento dell’esercizio reale: il numero di arresti che richiedono l’ingresso nella zona, il tempo di attesa per lo sblocco, le ragioni degli interventi e il numero di modifiche della logica dopo l’avviamento. Se questi segnali aumentano, il progetto continua a contenere un rischio di manipolazione intrinseco, anche quando il componente di sicurezza è stato scelto correttamente. In questo contesto, UNI EN ISO 14119 resta il riferimento per la scelta e l’installazione del dispositivo di interblocco, ma deve essere applicata insieme a UNI EN ISO 14120, ai requisiti per le funzioni di sicurezza secondo ISO 13849 e, nei casi pertinenti, anche al SIL per i sistemi di comando elettronici e a ISO 13857 per le recinzioni di sicurezza. Un’implementazione può dirsi matura solo quando il bloccaggio non maschera le debolezze del processo, ma completa uno scenario di rischio correttamente individuato.

Quando queste criticità emergono su macchine già in uso, l’intervento non dovrebbe limitarsi alla sostituzione del componente, ma rientrare in un adeguamento delle macchine ai requisiti minimi che comprenda accesso, arresto e riavvio.

Lo stesso vale per impianti complessi, dove la coerenza tra ripari, interblocchi e logiche di processo dipende dall’integrazione dell’intera architettura, come accade spesso nelle linee di produzione e tecnologiche.

Dal punto di vista organizzativo, molte criticità nascono anche da una scarsa coordinazione tra discipline; per questo la definizione delle responsabilità e delle sequenze decisionali richiede spesso una solida gestione dei progetti.

Quando il tema della manipolazione incide direttamente sulla valutazione della conformità, diventa essenziale verificare anche la coerenza complessiva delle misure adottate nell’ambito della certificazione CE delle macchine.

Nei contesti in cui i vincoli di accesso e i tempi di intervento sono particolarmente stringenti, come nel settore automotive, il problema emerge con grande evidenza già nelle prime fasi di avviamento.

Considerazioni analoghe valgono anche per i processi continui o gravosi tipici dell’industria pesante, dove i tempi di arresto e l’energia residua incidono direttamente sulla scelta del bloccaggio.