Infortunio sul lavoro sulla linea di produzione: come gestire la crisi e non aggravare la responsabilità dopo la modifica di una macchina

Un infortunio su una linea produttiva smette molto rapidamente di essere solo un evento di sicurezza sul lavoro. In pratica, diventa anche una verifica della maturità tecnica dello stabilimento, della qualità della gestione delle modifiche e della completezza della documentazione della macchina. Raramente l’evoluzione del caso dipende soltanto dall’istante in cui si è verificata la lesione. Molto più spesso risultano decisive le evidenze che l’azienda è in grado di fornire alcune ore o alcuni giorni dopo: qual era lo stato della macchina, chi ha introdotto le modifiche e su quale base, se le tracce tecniche sono state preservate e se i documenti descrivono davvero la configurazione in funzione al momento dell’evento.

Questo ha un rilievo pratico anche quando la macchina o la linea erano già state modificate in precedenza. Dopo l’infortunio, infatti, torna la domanda se si trattasse ancora di una riparazione o di una correzione d’esercizio, oppure già di una modifica sostanziale, tale da spostare l’utilizzatore verso responsabilità proprie del fabbricante. Nella stessa prospettiva occorre valutare gli audit dei requisiti minimi delle macchine, le dichiarazioni UE di conformità, le istruzioni per l’uso e l’intera documentazione tecnica, se di fatto è stato lo stabilimento a definire la soluzione tecnica. Per questo la procedura di gestione della crisi non può fermarsi alla sola messa in sicurezza del luogo dell’evento. Deve portare a una risposta univoca: l’organizzazione ha davvero il controllo dello stato tecnico, della documentazione e delle decisioni che hanno portato la macchina a funzionare in quella specifica configurazione.

Le prime ore dopo l’evento

Nelle prime ore successive all’infortunio, la cosa più importante è inquadrare correttamente il problema. Lo stabilimento non si confronta più soltanto con un guasto né esclusivamente con la gestione dell’infortunio. Si trova contemporaneamente di fronte a una crisi tecnica, probatoria e gestionale. Questa distinzione aiuta a definire le priorità: prima la sicurezza delle persone e la stabilizzazione del luogo dell’evento, poi la tutela delle tracce tecniche e dei dati, e solo alla fine le decisioni sul ripristino dell’attività.

In questa fase, i danni maggiori derivano spesso da reazioni istintive. Qualcuno sposta dei componenti, resetta il sistema di controllo, cancella gli allarmi, riavvia la macchina “solo per prova” oppure tenta di ricostruire la dinamica sulla base dei ricordi dei testimoni. Eppure le informazioni più preziose sono ancora registrate nel controllore, nel pannello operatore, nei registri allarmi, nel sistema di visione, nelle telecamere e nella cronologia degli accessi all’area. Le ricostruzioni successive si possono ancora correggere. Le tracce tecniche perse, invece, di norma non si recuperano più.

Per questo, nella prima fase bisogna agire non come una squadra che elimina un guasto, ma come un gruppo che organizza un accertamento tecnico. In pratica, significa separare i ruoli e fermare il caos decisionale. Una persona dovrebbe essere responsabile della sicurezza del luogo dell’evento e del controllo degli accessi, un’altra della gestione coerente delle informazioni, un’altra ancora del contatto con l’assistenza del fornitore, e un’ulteriore figura della messa in sicurezza della documentazione e della copia dei dati dai sistemi di controllo e di supervisione. Senza questo presidio, è facile arrivare a una situazione in cui l’assistenza si collega da remoto alla macchina e sovrascrive la cronologia degli errori, la manutenzione ripristina l’alimentazione e la direzione di produzione, nello stesso momento, preme per una ripresa parziale dell’attività.

Lo stato di fatto ha il massimo valore proprio prima che la postazione venga “riordinata”. Bisogna quindi guardare alla macchina non solo dal punto di vista del danno, ma anche della reale configurazione di sicurezza e delle modalità di funzionamento. Contano la posizione e lo stato dei ripari, il modo operativo impostato sui selettori, eventuali esclusioni delle funzioni di protezione, lo stato dei sensori e degli attuatori, i parametri di regolazione, la cronologia delle modifiche al programma del controllore, le registrazioni nel sistema di manutenzione e gli ultimi interventi di assistenza. Le testimonianze sono utili, ma hanno carattere ausiliario: dopo l’evento la memoria può essere frammentaria e alterata dallo stress.

Dal punto di vista operativo, la risposta alla domanda fino a che punto si possa intervenire sulla macchina dopo l’evento è semplice: solo nella misura necessaria per soccorrere le persone, eliminare il pericolo immediato e mettere in sicurezza l’area, documentando al tempo stesso ogni modifica. Qualsiasi avviamento di prova, smontaggio di un riparo, cancellazione di un allarme o sostituzione di un componente prima di aver fissato lo stato di fatto deve essere considerato una decisione ad alto rischio, soprattutto se non si rispettano procedure di isolamento delle energie coerenti con le procedure Lockout Tagout.

• mettere in sicurezza le persone e isolare l’area dell’evento senza ripristinare il funzionamento della macchina,
• documentare lo stato di fatto: fotografie, posizione dei componenti, indicazioni dei pannelli, allarmi e messaggi,
• eseguire copie dei dati e bloccare l’accesso remoto e locale che potrebbe sovrascrivere la cronologia,
• individuare un unico responsabile delle decisioni sulla sospensione oppure sulla ripresa parziale dell’attività.

Solo dopo aver rimesso ordine nei fatti si può passare alle domande su conformità e responsabilità. A quel punto è possibile valutare in modo attendibile se la macchina fosse utilizzata conformemente alla sua destinazione d’uso, se dopo le modifiche sia stato mantenuto il livello di sicurezza richiesto, se esistano prove aggiornate della valutazione di conformità, una documentazione tecnica completa e documenti d’uso corrispondenti allo stato reale. È anche il momento in cui occorre stabilire se lo stabilimento resti soltanto utilizzatore oppure se, per effetto dell’entità delle modifiche, sia già entrato nel ruolo di soggetto responsabile della soluzione tecnica.

Dove crescono davvero costi e responsabilità

Dopo un infortunio, il peso del rischio spesso non deriva più dall’evento in sé, ma dalla storia delle decisioni tecniche prese in precedenza. Nella pratica, i problemi più gravi raramente sono causati da una macchina che lavora nelle condizioni di fabbrica. Molto più spesso, all’origine della contestazione ci sono un alimentatore aggiunto, una pinza sostituita, una logica di comando modificata, l’esclusione di un riparo, l’integrazione con un’altra postazione oppure un cambio del modo operativo introdotto sotto la pressione della produttività. Dal punto di vista della produzione, questi interventi possono sembrare ragionevoli. Dopo l’evento, però, non conta l’intenzione, ma la capacità dell’organizzazione di dimostrare il presupposto progettuale della modifica, lo svolgimento dell’analisi dei rischi della macchina, la scelta delle misure di protezione e chi abbia autorizzato la messa in servizio della soluzione.

È proprio qui che si pone il tema della modifica sostanziale. Non si tratta di stabilire chi abbia materialmente riparato o modificato la macchina. Ciò che conta è se l’entità delle modifiche non sia stata tale da far cessare allo stabilimento il ruolo di semplice utilizzatore, trasferendogli invece obblighi propri del soggetto responsabile della soluzione tecnica. Questo confine è più facile da oltrepassare senza accorgersene quando le modifiche sono distribuite tra manutenzione, automazione, ingegneria di processo e produzione, e ciascuna di esse, presa singolarmente, appare come una correzione di poco conto. La natura della modifica, tuttavia, non dipende dalla denominazione interna che le viene attribuita, ma dal suo impatto reale sulla funzione della macchina, sul modo di comando, sulle zone pericolose, sulla sequenza di lavoro, sulle condizioni di intervento dell’operatore e sugli errori d’uso ragionevolmente prevedibili.

Nella pratica, questo meccanismo tende a ripetersi. Per ridurre i fermi, si modifica localmente la sequenza dei movimenti di un cilindro, si aggiunge un sensore di presenza del pezzo e si consente il funzionamento con riparo aperto in modalità di regolazione, perché l’operatore deve vedere il processo. Dopo un certo tempo, la soluzione diventa prassi quotidiana. Quando si verifica un infortunio, nessuno è più in grado di indicare con chiarezza chi abbia approvato la modifica, quali presupposti di sicurezza siano stati adottati, se dopo la modifica sia stato verificato il funzionamento delle funzioni di protezione, se il personale sia stato formato e se le istruzioni corrispondano allo stato reale. A quel punto il costo cresce bruscamente non solo perché la linea è ferma, ma perché lo stabilimento perde una base tecnica coerente su cui fondare la propria difesa.

In casi di questo tipo non contano le dichiarazioni verbali, ma le evidenze della gestione della modifica. Se mancano, ogni risposta successiva diventa estemporanea e facilmente contestabile.

• richiesta di modifica con descrizione dell’obiettivo, dell’ambito e dell’impatto sulla sicurezza,
• approvazioni tecniche e indicazione delle responsabilità per l’autorizzazione alla messa in servizio,
• risultati di prove, collaudi e verifiche delle misure di protezione,
• aggiornamenti delle istruzioni, delle procedure di isolamento delle energie e conferme della formazione.

Il secondo asse di rischio riguarda il rapporto tra i requisiti minimi applicabili alle macchine in uso e gli obblighi che possono sorgere a seguito di una ricostruzione, di un’integrazione oppure di una rimessa in servizio in configurazione modificata. Il solo argomento secondo cui la macchina ha lavorato per anni non sostituisce le evidenze degli audit, delle verifiche di conformità e della valutazione aggiornata della configurazione in cui oggi viene utilizzata. La dichiarazione UE di conformità originaria del costruttore può continuare ad avere rilievo, ma non risponde automaticamente alla domanda se, dopo la ricostruzione della linea o la modifica della logica di comando, descriva ancora lo stato reale. In questo contesto, diventa essenziale capire anche le conseguenze dell’utilizzo di una macchina senza una corretta marcatura CE. Proprio per questo, dopo un infortunio occorre stabilire con precisione se ci si trovi di fronte a una riparazione o a una modifica sostanziale della macchina, e se l’analisi debba riguardare una singola macchina oppure la linea come insieme di macchine.

Decisioni che rimettono ordine nella situazione

Dopo aver gestito l’evento, non si dovrebbe partire dalla domanda su quanto rapidamente riavviare la produzione. Prima bisogna stabilire secondo quale logica verranno prese le decisioni successive. In pratica, questo significa esaminare in parallelo tre livelli: lo stato tecnico reale della macchina, la completezza e coerenza della documentazione e la storia delle modifiche costruttive, di comando e organizzative. Solo un’impostazione di questo tipo fornisce una base per una valutazione del rischio attendibile.

Se manca anche solo uno di questi livelli, il gruppo vede soltanto una parte del quadro. Il guasto in sé non chiarisce ancora se abbia ceduto la soluzione tecnica, il modo d’uso oppure una modifica precedente i cui effetti nessuno ha valutato formalmente. Per la stessa ragione, la decisione di fermare l’attività non dovrebbe sempre limitarsi a una sola postazione. Se le stesse misure di protezione, lo stesso sistema di comando oppure una modifica analoga sono presenti in altri punti della linea, l’estensione del fermo va definita in modo più ampio, prima che si verifichi un evento secondario. In una situazione del genere può essere utile anche un audit di sicurezza di macchine e linee di produzione per verificare se il problema abbia una portata più estesa.

A livello gestionale occorre anche distinguere le questioni di esercizio da quelle di conformità. Anzitutto bisogna stabilire in quale ruolo l’organizzazione si ponga rispetto alla macchina o all’insieme di macchine. Se resta un utilizzatore, deve dimostrare almeno di disporre dei documenti forniti con la macchina e delle evidenze di un esercizio sicuro nell’attuale configurazione di lavoro. Se invece l’entità della ricostruzione, dell’integrazione o della modifica della logica di funzionamento la avvicina al ruolo di costruttore di fatto, il livello di giustificazione richiesto aumenta in modo evidente. Diventa allora necessaria una documentazione tecnica più completa, che spieghi le soluzioni di sicurezza adottate, la scelta delle misure di protezione, i risultati delle prove e il fondamento della valutazione del rischio assunta.

Può essere utile una semplice matrice di valutazione dei documenti: il documento esiste, è aggiornato, non è coerente con lo stato della macchina oppure manca. Una classificazione di questo tipo consente di capire rapidamente se il problema è di natura formale oppure se indica una perdita di controllo sulla soluzione tecnica. In pratica occorre rispondere ad alcune domande di base: esiste la dichiarazione di conformità UE e si riferisce alla configurazione attuale, il manuale d’uso è stato aggiornato dopo le modifiche, sono disponibili schemi, elenchi dei componenti di sicurezza, verbali di prova, risultati degli audit dei requisiti minimi, registrazioni delle ispezioni, delle procedure di Lockout Tagout e della formazione. In questo passaggio può essere utile richiamare anche il significato della marcatura CE e della dichiarazione di conformità collegata alla macchina. L’assenza di un singolo documento non comporta sempre la necessità di fermare definitivamente la macchina, ma la mancanza simultanea di più evidenze chiave di norma significa che lo stabilimento non è in grado di giustificare né le modalità di esercizio né la decisione di rimetterla in funzione.

• dichiarazione di conformità UE e manuale d’uso — se descrivono lo stato attuale della macchina,
• schemi, analisi dei rischi, verbali di collaudo e di prova — se giustificano le misure di protezione adottate,
• registro delle modifiche, risultati degli audit, registrazioni delle ispezioni e della formazione — se confermano un esercizio sicuro dopo le modifiche.

Un errore frequente consiste nel confondere l’eliminazione del guasto con l’eliminazione della causa. La sostituzione di una barriera fotoelettrica, di un interblocco di riparo o di un modulo di sicurezza non chiude la questione se non è chiaro perché il dispositivo di protezione abbia smesso di svolgere la propria funzione oppure perché lo stabilimento abbia consentito il funzionamento in condizioni modificate. Il ritorno in esercizio richiede quindi non solo la riparazione, ma anche la dimostrazione che sono state eliminate la causa tecnica e quella organizzativa e che la modalità d’uso adottata corrisponde allo stato attuale della macchina, del sistema di comando e delle misure di protezione.

In alcuni casi è sufficiente rimettere ordine nella gestione dell’esercizio e verificare le misure di protezione prima del riavvio. In altri sarà necessario un esame più ampio dell’intero insieme di macchine, un audit di sicurezza di macchine e linee di produzione esterno oppure un’analisi di conformità più completa, soprattutto quando le modifiche hanno interessato funzioni di sicurezza, sistemi interconnessi o apparecchiature soggette a regimi tecnici distinti, come gli impianti in pressione. Dal punto di vista normativo, l’aspetto più importante non è moltiplicare i riferimenti giuridici, ma essere in grado di dimostrare la dovuta diligenza nella valutazione della conformità e nell’esercizio della macchina.

Come evitare che lo stesso incidente si ripeta

La conclusione più preziosa dopo un incidente raramente riguarda un singolo errore dell’operatore. Di solito mette in luce il modo in cui l’organizzazione prende decisioni sulle modifiche tecniche, organizzative e software. Se l’impatto della modifica sulla sicurezza viene verificato solo dopo l’implementazione, l’evento successivo non deve necessariamente ripetersi sulla stessa macchina. Si ripresenterà in un altro punto della linea, con un altro gruppo e sotto un altro nome di progetto.

Per questo la chiusura della crisi non consiste nell’aggiungere un solo divieto al manuale. Si tratta di ridefinire le regole decisionali: chi può richiedere una modifica, chi ne qualifica l’impatto sulle misure di protezione, chi è responsabile della valutazione del rischio e chi autorizza formalmente la macchina a proseguire l’utilizzo. Questa è l’essenza della gestione delle modifiche. È qui che si decide se lo stabilimento impara davvero dall’evento oppure si limita a ricreare un’apparenza di reazione.

In pratica serve un modello semplice, ma applicato senza eccezioni. Ogni modifica tecnica dovrebbe seguire la stessa sequenza: qualificazione dell’impatto sulla sicurezza, individuazione del responsabile della decisione, definizione delle prove e dei collaudi richiesti, aggiornamento della documentazione e autorizzazione formale all’uso. Non si tratta di creare burocrazia inutile, ma di lasciare una traccia decisionale ricostruibile dopo un mese e dopo un incidente. Se la modifica riguarda il sistema di comando, le recinzioni di protezione, la zona pericolosa, la logica di cooperazione tra macchine oppure le modalità di intervento dell’uomo nel processo, non può essere trattata come una normale riparazione. In questi casi, il supporto di un Factory Acceptance Test ben impostato può aiutare a rendere verificabili prove e criteri di accettazione.

Dopo l’evento si vede subito anche se la sicurezza delle macchine negli audit dei requisiti minimi per le macchine era un reale strumento di controllo delle condizioni di utilizzo oppure soltanto un modulo d’archivio. I buoni audit consentono di rispondere rapidamente a quali ripari e dispositivi di protezione dovrebbero essere presenti sulla macchina, quali scostamenti erano già stati rilevati in precedenza, chi li aveva accettati e se le azioni correttive sono state chiuse. Quelli deboli si concludono con formulazioni generiche prive di valore probatorio. Per questo, dopo un incidente, vale la pena tornare non solo sul luogo dell’evento, ma anche su modifiche simili presenti nello stabilimento e verificare se lo stesso meccanismo decisionale non sia diffuso più ampiamente. In questo senso, gli audit dei requisiti minimi per le macchine dovrebbero funzionare come uno strumento reale di controllo e non solo come archivio documentale.

Un’ulteriore fonte di problemi resta il rapporto con fornitori, integratori e assistenza. Il supporto esterno può essere tecnicamente necessario, ma non trasferisce all’esterno la responsabilità di ciò che alla fine opera nello stabilimento. Se l’organizzazione non è in grado di stabilire con chiarezza che cosa è stato modificato, chi ha approvato l’ambito dei lavori, quali erano i limiti di responsabilità dell’esecutore e se la documentazione è stata consegnata in uno stato realmente utilizzabile, dopo l’incidente resta priva di una propria base decisionale. A quel punto ritorna la domanda più difficile: l’utilizzatore è ancora soltanto un utilizzatore oppure, per l’entità e le modalità delle modifiche introdotte, è diventato il soggetto responsabile della soluzione tecnica e quindi deve disporre non solo dei documenti dell’utilizzatore, ma in pratica di una documentazione più completa, adeguata alle soluzioni adottate. Quando l’equilibrio tra competenze interne e supporto esterno è poco chiaro, pesa anche il modo in cui si è organizzato l’ufficio tecnico interno o l’outsourcing nella costruzione di macchine.

La conclusione finale è semplice. Dopo un infortunio, a fare la differenza non è la rapidità delle dichiarazioni, ma la qualità delle prove e la disciplina nelle decisioni. Sono questi elementi a stabilire se la crisi resterà circoscritta a un singolo evento e a un solo fermo, oppure se si trasformerà in un problema duraturo di responsabilità penale e civile del management per gli infortuni legati a macchine prive della marcatura CE, in contestazioni sull’estensione delle modifiche e in ulteriori interruzioni. Un’organizzazione che sa dimostrare una sequenza logica — modifica, qualificazione, prova, aggiornamento della documentazione, autorizzazione formale alla messa in esercizio — dispone di una base concreta per difendersi. Un’organizzazione che invece si affida alla memoria delle persone e all’idea che si sia trattato solo di una modifica di lieve entità torna a confrontarsi con lo stesso tipo di infortunio, anche quando questo non si ripete in forma identica.