Sintesi tecnica
Punti chiave:

Il testo sottolinea la natura iterativa della valutazione del rischio e la scelta della tecnica in funzione del tipo di macchina, dei pericoli e della fase di progetto. Descrive inoltre i fondamenti della matrice del rischio come strumento che combina la gravità delle conseguenze e la probabilità dell’evento.

  • La valutazione del rischio è fondamentale per la valutazione della conformità delle macchine e per la preparazione alla marcatura CE sul mercato dell’UE.
  • Le norme ISO 12100 e ISO/TR 14121-2 descrivono il quadro e i metodi pratici per l’identificazione dei pericoli e la stima del rischio.
  • Il processo comprende: il campo di applicazione e i limiti della macchina, l’identificazione dei pericoli, l’analisi/la stima, l’accettazione e la riduzione del rischio.
  • Riduzione del rischio secondo ISO 12100: progettazione intrinsecamente sicura, misure tecniche di protezione, misure organizzative e DPI.
  • L’articolo tratta i metodi di stima del rischio: matrici e grafici del rischio, metodi a punteggio e approcci qualitativi e quantitativi.

Il processo di valutazione della conformità delle macchine ai requisiti essenziali richiede lo svolgimento di un’analisi dei rischi accurata, in conformità alle norme vigenti. La sicurezza delle macchine è un pilastro nella progettazione e nell’esercizio delle attrezzature industriali: ogni fabbricante, prima di immettere una macchina sul mercato UE, deve identificare i pericoli e ridurre il rischio a un livello accettabile. Norme come ISO 12100 (Sicurezza del macchinario – Principi generali di progettazione, valutazione del rischio e riduzione del rischio) e la guida ISO/TR 14121-2 (metodi pratici di valutazione del rischio) forniscono un quadro di riferimento. Le norme di settore, come UNI EN ISO 13849-1 e UNI EN 62061, si concentrano invece sulla sicurezza dei sistemi di comando e utilizzano metodi specifici di stima del rischio per determinare i livelli richiesti di garanzia della sicurezza (Performance Level, SIL).

In questo articolo esamineremo le principali metodologie di analisi del rischio utilizzate nella valutazione di conformità delle macchine: matrici di rischio, grafici del rischio, metodi a punteggio e approcci qualitativi e quantitativi. Ne confronteremo i presupposti, indicheremo vantaggi e limiti di ciascun metodo e illustreremo applicazioni pratiche (con esempi ispirati alla documentazione normativa, ma opportunamente modificati). In chiusura, presenteremo indicazioni su come combinare approcci diversi e scegliere il metodo più adatto al tipo di pericoli, alla fase di progettazione e alla tipologia di macchina.

Ricorda: l’obiettivo dell’analisi del rischio non è solo soddisfare i requisiti formali per la marcatura CE, ma soprattutto garantire che la macchina sia sicura lungo tutto il ciclo di vita – dalla progettazione, all’utilizzo, fino alla manutenzione e alla dismissione. Per questo è opportuno scegliere i metodi di analisi del rischio in modo da identificare efficacemente tutti i pericoli e valutare il rischio in maniera sistematica e comprensibile per l’intero team.

ISO/TR 14121-2: Fondamenti del processo di valutazione del rischio

Prima di passare ai metodi specifici, ricordiamo brevemente le fasi della valutazione del rischio secondo la norma UNI EN ISO 12100:2012.

  1. Definizione del campo di applicazione e dei limiti della macchina: Comprendere la funzione della macchina, il suo impiego, i confini del sistema e gli utilizzatori. Definisci in quali condizioni la macchina opererà (ad es. ambiente, carichi, formazione del personale).
  2. Identificazione dei pericoli: Elencare tutte le potenziali fonti di pericolo in tutte le fasi del ciclo di vita della macchina (installazione, funzionamento normale, pulizia, manutenzione, guasti, smontaggio). I pericoli possono essere meccanici, elettrici, termici, chimici, da radiazioni, ergonomici ecc. È importante coinvolgere sia i progettisti sia i futuri operatori: la conoscenza pratica del personale consente di individuare rischi meno evidenti.
  3. Analisi e stima del rischio: Per ogni pericolo identificato analizziamo i possibili scenari d’infortunio: cause dell’evento, probabilità che si verifichi e effetti (conseguenze) per gli operatori o per le attrezzature. Successivamente stimiamo il livello di rischio – ed è qui che entrano in gioco gli strumenti di cui parleremo più avanti (matrici, grafici, scale a punteggio ecc.). L’obiettivo è attribuire a ciascun pericolo un “peso” del rischio sulla base della frequenza e della gravità dei danni potenziali.
  4. Valutazione dell’accettabilità del rischio: Confrontiamo il rischio stimato con i criteri di accettabilità adottati in azienda o nel progetto. Ad es. il rischio è sufficientemente basso da poter essere tollerato, oppure richiede una riduzione? Molte organizzazioni adottano il principio secondo cui un rischio che può comportare morte o invalidità permanente è inaccettabile indipendentemente dalla probabilità, a meno che non vengano implementate misure di protezione specifiche.
  5. Riduzione del rischio: Per i rischi ritenuti troppo elevati si implementano misure di riduzione secondo la cosiddetta gerarchia a tre livelli di ISO 12100: (a) eliminazione dei pericoli tramite la progettazione (soluzioni intrinsecamente sicure), (b) misure tecniche di protezione (ripari, dispositivi di sicurezza), (c) misure organizzative e dispositivi di protezione individuale (istruzioni, formazione, PPE). Dopo l’applicazione di tali misure, il ciclo di analisi del rischio viene ripetuto in modo iterativo, valutando il rischio residuo, fino a raggiungere un livello accettabile.

Nella parte successiva ci concentreremo sulla fase di stima del rischio (punto 3 sopra), presentando i metodi più diffusi. È importante sottolineare che ISO 12100 non impone una singola tecnica: ammette sia approcci qualitativi (descrittivi) sia quantitativi (numerici), purché l’esito della valutazione consenta di decidere sulla necessità di ridurre il rischio. Secondo ISO/TR 14121-2 esistono molti strumenti equivalenti e la scelta dipende dalle caratteristiche della macchina e dalle preferenze di chi effettua la valutazione.

Matrici di rischio (Risk Matrix)

La matrice del rischio è uno degli strumenti più semplici e più utilizzati per la valutazione visiva del rischio. Si tratta di una tabella (matrice) in cui le colonne rappresentano di norma le categorie di probabilità che un evento si verifichi, mentre le righe rappresentano le categorie di gravità degli effetti (conseguenze). Incrociando la riga e la colonna corrispondenti alla valutazione di un determinato pericolo, si legge il livello di rischio assegnato (ad es. basso, medio, alto oppure tramite colore: verde, giallo, rosso).

Come costruire una matrice del rischio? Per prima cosa si definiscono scale discrete per entrambe le dimensioni. Per le conseguenze si può adottare, ad esempio: 1 – lesioni lievi (traumi non gravi), 2 – lesioni che richiedono assistenza medica, 3 – gravi lesioni fisiche o invalidità permanente, 4 – vittima mortale. Per la probabilità dell’evento, una scala esemplificativa: A – molto rara (ad es. “praticamente inimmaginabile”), B – poco probabile (una volta ogni molti anni), C – possibile (alcune volte nel ciclo di vita della macchina), D – probabile (può verificarsi una volta all’anno o più spesso), E – frequente (regolarmente, ad es. una volta al mese oppure in modo continuo). Nella pratica le aziende adattano queste categorie alle proprie esigenze: è importante che il team di valutazione definisca insieme il significato delle categorie, così da ridurre la soggettività.

Successivamente si crea la tabella, assegnando i livelli di rischio alle singole combinazioni. Un esempio di matrice 4×5 è illustrato nella tabella seguente (i colori indicano un livello di rischio tipico: verde accettabile, giallo medio, rosso alto):

Gravità delle conseguenzeProbabilità A
molto rara		 B
poco probabile		 C
possibile		 D
probabile		 E
frequente
1 – Lesioni lievi (traumi non gravi) 🟢
Basso		 🟢
Basso		 🟡
Medio		 🟡
Medio		 🟡
Medio
2 – Lesioni che richiedono assistenza medica 🟢
Basso		 🟡
Medio		 🟡
Medio		 🔴
Alto		 🔴
Alto
3 – Gravi lesioni fisiche o invalidità permanente 🟡
Medio		 🟡
Medio		 🔴
Alto		 🔴
Alto		 🔴
Molto alto
4 – Vittima mortale 🟡
Medio		 🔴
Alto		 🔴
Alto		 🔴
Molto alto		 🔴
Estremamente alto

Legenda dei colori e dei livelli di rischio:

  • 🟢 Rischio basso (accettabile) – non sono richieste azioni oppure sono sufficienti misure di protezione di base.
  • 🟡 Rischio medio (moderato) – occorre valutare ulteriori azioni di riduzione, introdurre misure di protezione aggiuntive e monitoraggio.
  • 🔴 Rischio alto/molto alto/estremamente alto – non accettabile senza protezioni aggiuntive; sono richieste azioni di riduzione urgenti e complete.

Esempio di applicazione pratica della matrice del rischio:

Pericolo:

Disco di taglio scoperto in una sega industriale.

Valutazione:

  • Gravità della conseguenza: S4 – Vittima mortale (conseguenze catastrofiche).
  • Probabilità: C – Possibile (alcune volte nel ciclo di vita della macchina).

Risultato della valutazione sulla matrice:

L’incrocio tra la riga S4 e la colonna C indica la casella 🔴 Rischio alto.

Conseguenza del risultato:

  • Rischio considerato non accettabile senza protezioni aggiuntive.
  • Il produttore deve applicare misure di protezione, ad es.:
    • Riparo sul disco.
    • Interruttore di sicurezza.
    • Sistema di interblocchi che impedisca l’avviamento accidentale durante la pulizia.

Azioni successive:

  • Dopo l’implementazione delle misure di protezione, l’analisi deve essere ripetuta.
  • L’obiettivo è raggiungere almeno il livello “Medio” o, idealmente, “Basso”.

Esempio di matrice del rischio (in inglese) con 4 categorie di gravità delle conseguenze (I–IV) e 5 categorie di probabilità (A–E). Il colore evidenzia la valutazione risultante del rischio: da basso (L) a medio (M) e alto (H) fino a estremamente alto (EH). Nella pratica le matrici possono avere dimensioni diverse, ad es. 3×3, 5×5 ecc., a seconda delle esigenze dell’analisi.

Vantaggi della matrice del rischio:

  • Semplicità e chiarezza: la matrice è facile da comprendere e fornisce un quadro grafico del rischio che richiama l’intuitiva “segnaletica semaforica” (verde – ok, rosso – stop). Per questo può essere utile nella comunicazione con il management e con persone non tecniche: mostra rapidamente dove si trovano i pericoli maggiori.
  • Classificazione rapida: consente di assegnare rapidamente le priorità, ad es. quali rischi sono bassi (accettabili) e quali richiedono interventi urgenti.

Svantaggi della matrice del rischio:

  • Scelta soggettiva delle categorie: Stabilire che cosa significhino esattamente “poco probabile” o “danno grave” dipende dal giudizio del team. Persone diverse possono valutarlo in modo differente, con effetti sul risultato. La standardizzazione delle categorie all’interno dell’organizzazione è fondamentale, ma una certa quota di discrezionalità rimane.
  • Precisione limitata: La matrice raggruppa il rischio in intervalli ampi. Due pericoli diversi possono ottenere lo stesso esito (ad es. “rischio medio”), anche se uno è vicino al limite inferiore e l’altro a quello superiore. Può risultare un approccio troppo generico quando serve un’analisi più dettagliata o il confronto di molti pericoli.

Grafico del rischio (Risk Graph)

Il grafico del rischio è un metodo grafico, spesso rappresentato come albero decisionale o diagramma logico. Si basa sulla valutazione sequenziale di alcuni parametri di rischio, di norma con risposte binarie (ad es. basso/alto, sì/no), che guidano lungo un percorso fino al risultato. Ogni nodo del grafico si dirama in un numero limitato di opzioni (il più delle volte due), rendendo il metodo chiaro, anche se meno dettagliato.

I grafici del rischio sono ampiamente utilizzati nelle norme relative ai sistemi di comando. Per esempio, la UNI EN ISO 13849-1 (sicurezza delle parti dei sistemi di comando delle macchine) include uno schema grafico di valutazione del rischio che consente di determinare il Performance Level richiesto PLr per le funzioni di sicurezza. Analogamente, la UNI EN 62061 (riguardante la sicurezza funzionale delle macchine) utilizza un concetto simile per definire il Safety Integrity Level richiesto SIL. In entrambi i casi si valutano in sequenza i seguenti fattori:

  1. S (Severity)gravità del danno potenziale: ad es. S1 = lesione lieve o reversibile, S2 = lesione grave (irreversibile) o morte.
  2. F (Frequency/Exposure)frequenza e durata dell’esposizione al pericolo: ad es. F1 = esposizione rara o di breve durata, F2 = esposizione frequente o prolungata.
  3. P (Possibility of Avoidance)possibilità di evitare il pericolo o limitare i danni: ad es. P1 = evitabile in circostanze favorevoli (l’operatore ha la possibilità di reagire), P2 = praticamente impossibile da evitare (l’evento è improvviso o inevitabile).
  4. (Opzionale) W/Pr (Probability of occurrence)probabilità che si verifichi un evento pericoloso: questo parametro talvolta è considerato esplicitamente, ad es. nella IEC 62061, come fattore indipendente (indicato come Pr), oltre alla frequenza di esposizione e alla possibilità di evitamento. Nella pratica, nel metodo della ISO 13849-1 viene considerato indirettamente nella valutazione di F e P.

Sulla base delle valutazioni sopra riportate, seguendo il percorso nel grafico, si arriva al risultato – più spesso espresso come livello di rischio o categoria delle misure di protezione richieste. Per la ISO 13849-1 il risultato è il Performance Level (PLr) richiesto da a a e (dove a indica il livello minimo richiesto di affidabilità del sistema di comando e e il massimo). Nella ISO 14121-2, invece, si incontra un grafico che fornisce un indice di rischio su scala numerica, ad es. da 1 a 6: i valori 1–2 indicano un rischio basso, mentre quelli più elevati segnalano la necessità di ulteriori azioni di riduzione.

START
  │
  ├─ Gravità delle conseguenze (S)
  │   ├─ S1: lesione lieve (reversibile)
  │   │   └─ Frequenza di esposizione (F)
  │   │       ├─ F1: rara o di breve durata
  │   │       │   └─ Possibilità di evitare (P)
  │   │       │       ├─ P1: evitamento possibile → PLr = a
  │   │       │       └─ P2: evitamento difficile → PLr = b
  │   │       └─ F2: frequente o di lunga durata
  │   │           └─ Possibilità di evitare (P)
  │   │               ├─ P1: evitamento possibile → PLr = b
  │   │               └─ P2: evitamento difficile → PLr = c
  │   └─ S2: lesioni gravi (irreversibili) o morte
  │       └─ Frequenza di esposizione (F)
  │           ├─ F1: rara o di breve durata
  │           │   └─ Possibilità di evitare (P)
  │           │       ├─ P1: evitamento possibile → PLr = c
  │           │       └─ P2: evitamento difficile → PLr = d
  │           └─ F2: frequente o di lunga durata
  │               └─ Possibilità di evitare (P)
  │                   ├─ P1: evitamento possibile → PLr = d
  │                   └─ P2: evitamento difficile → PLr = e

Esempio di applicazione del grafico del rischio: Consideriamo il pericolo che un robot industriale colpisca una persona se questa entra nella zona di lavoro del robot in assenza di adeguate protezioni. Applichiamo il metodo della ISO 13849-1, valutando per questo scenario: S = S2 (lesioni gravi o morte), F = F2 (accesso frequente – ad es. l’operatore entra spesso nella cella e il robot lavora molte ore al giorno), P = P2 (l’evitamento del pericolo è poco probabile – il robot si muove rapidamente e non lascia tempo per allontanarsi). Seguendo il grafico del rischio della norma, la combinazione (S2, F2, P2) porta al PLr = e richiesto, cioè il livello di protezione più elevato. Ciò significa che dobbiamo implementare misure di sicurezza altamente affidabili (ad es. barriere fotoelettriche della categoria più alta o interblocchi delle porte con monitoraggio, ridondanza dei sistemi di comando, ecc.) per ridurre il rischio di impatto con il robot a un livello accettabile. Per confronto, se lo scenario fosse meno critico – ad es. un robot con forza limitata, raramente accessibile alle persone – la valutazione (S1, F1, P1) potrebbe dare come risultato PLr = c o inferiore, il che comporta requisiti meno stringenti in termini di complessità delle protezioni.

START → S2 → F2 → P2 → PLr = e

Vantaggi del grafico del rischio:

  • Struttura logica e vincolante dell’analisi: Il grafico guida l’utente passo dopo passo attraverso le domande chiave sul pericolo. Questo garantisce sistematicità e riduce il rischio di trascurare un fattore importante. Il metodo è spesso predisposto da esperti (ad es. dagli autori delle norme) tenendo conto delle macchine tipiche, e rappresenta quindi una buona prassi di settore.
  • Comprensione condivisa delle categorie: Poiché i valori (ad es. S1/S2, F1/F2, P1/P2) sono definiti nella norma, il team può farvi riferimento, il che riduce le controversie interpretative. Di conseguenza, persone diverse che applicano lo stesso grafico dovrebbero arrivare a conclusioni simili per pericoli analoghi.
  • Collegamento diretto con i requisiti di sicurezza: Il risultato sotto forma di PLr o SIL informa immediatamente il progettista su quali misure tecniche debbano essere adottate. Questo collega l’analisi del rischio ai criteri di progettazione (ad es. scelta dell’architettura del sistema di comando, livello di affidabilità dei componenti).

Svantaggi del grafico del rischio:

  • Livello di dettaglio limitato: In genere questo metodo utilizza solo poche categorie (ad es. due opzioni per S, F, P). Ciò significa che scenari diversi possono essere ricondotti alle stesse categorie. Il grafico classifica il rischio in modo grossolano, fornendo ad es. un esito “alto/medio/basso” o il livello di protezione richiesto, ma non evidenzia differenze sottili tra rischi appartenenti alla stessa categoria.
  • Assenza di un valore numerico esplicito: Mentre una matrice o un metodo a punteggio può fornire uno “score” relativo, il grafico di norma si conclude con un’etichetta (ad es. PLr = d). Risulta più difficile confrontare tra loro molti pericoli diversi, perché i risultati sono qualitativi e non indicano “quanto” un rischio sia maggiore di un altro, se non attraverso un percorso diverso nell’albero.
  • Specificità d’impiego: I grafici sono spesso dedicati a norme o settori specifici. Il grafico della ISO 13849-1 riguarda principalmente il rischio legato al guasto o al malfunzionamento del sistema di comando. Per valutare altri tipi di rischio (ad es. ergonomici, rumore) potrebbe non essere direttamente utile. Per questo motivo, talvolta si utilizzano grafici diversi a seconda della tipologia di pericolo.

Metodi a punteggio (valutazione del rischio a punti)

I metodi a punteggio, chiamati anche risk scoring o metodi numerici, consistono nell’attribuire valori numerici alle categorie di rischio e nel calcolare a partire da essi un indice di rischio. In pratica, sono un’estensione dell’idea della matrice: invece di usare solo descrizioni o colori, a ciascuna categoria (ad es. probabilità, conseguenza, esposizione) assegniamo un determinato numero di punti. Successivamente combiniamo questi punti – spesso tramite moltiplicazione o somma – per ottenere il valore finale. Tale valore consente di ordinare i pericoli dal rischio maggiore al minore e di definire soglie di accettabilità.

La formula più utilizzata consiste nel moltiplicare alcuni fattori, ad esempio:

Risk Score=P×S×E

dove:

  • P (Probability) – valutazione a punti della probabilità che si verifichi il pericolo (ad es. su una scala 1–5, dove 1 significa quasi mai e 5 molto spesso)
  • S (Severity) – valutazione a punti della gravità delle conseguenze (ad es. 1 – danno trascurabile, 5 – morte o catastrofe)
  • E (Exposure) – valutazione a punti dell’esposizione, cioè della frequenza o del tempo di esposizione al pericolo (ad es. 1 – contatto sporadico, 5 – contatto continuo/quotidiano)

Alcune varianti dei metodi a punteggio utilizzano altri fattori – per esempio Avoidance (A), cioè la considerazione della possibilità che l’operatore eviti l’evento, oppure Detectability (D), cioè la possibilità di rilevare il pericolo prima che provochi un danno. L’idea generale, però, resta la stessa: il risultato finale, il Risk Score, è un numero (ad es. nell’intervallo 1–100 o 1–1000) che più è alto, più indica un rischio maggiore.

Perché il metodo sia utile, è necessario definire intervalli di punteggio corrispondenti ai livelli di rischio. Per esempio, uno stabilimento può stabilire: punteggio 1–20 = rischio basso (accettabile), 21–50 = medio (richiede monitoraggio e miglioramento se facilmente realizzabile), >50 = alto (non accettabile, necessari interventi immediati). Queste soglie dovrebbero derivare dalla politica di sicurezza dell’azienda e da un’analisi ragionevole (ad es. possono essere calibrate sulla base di valutazioni del rischio precedenti).

Esempio di applicazione del metodo a punteggio: Consideriamo il pericolo di ustione della mano a contatto con una parte calda della macchina (ad es. un blocco riscaldante che arriva a 150°C, con cui l’operatore può entrare accidentalmente in contatto). Applichiamo un semplice modello a punteggio P×S×E:

  • Gravità delle conseguenze (S): L’ustione può essere dolorosa, ma in genere non mette a rischio la vita – la valutiamo come 3 su una scala 1–5 (lesione di media entità, ad es. un’ustione importante che richiede assistenza medica, ma senza esiti permanenti).
  • Probabilità (P): Il contatto con la parte calda può avvenire spesso? Supponiamo che l’elemento sia in una zona difficilmente accessibile, quindi il contatto accidentale sia raro, ma comunque possibile ad es. durante la manutenzione – assegniamo 2 (su una scala 1–5, corrispondente a “poco probabile”).
  • Esposizione (E): Quanto spesso l’operatore si trova vicino a quell’elemento? Se la macchina lavora ogni giorno e l’operatore deve sostituire il materiale ogni ora nelle vicinanze del riscaldatore, l’esposizione può essere considerata frequente – assegniamo 4 (su una scala 1–5, dove 5 è esposizione costante e 4 è frequente, ad es. molte volte al giorno).

Calcoliamo Risk Score = 3 × 2 × 4 = 24. Ora interpretiamo il risultato: assumendo, ad esempio, una soglia >20 come rischio alto, il valore 24 indica che il rischio non è accettabile o quantomeno “significativo”. L’azienda dovrebbe quindi intervenire – ad es. aggiungere una protezione termica, isolare l’elemento riscaldante oppure dotare l’operatore di guanti adeguati e formarlo. Dopo l’implementazione di queste misure, una nuova valutazione a punteggio potrebbe diminuire (ad es. riduzione dell’esposizione grazie alla protezione – E da 4 a 1, con un nuovo Risk Score 3×2×1 = 6, cioè rischio basso).

Vale la pena notare che il valore 24, di per sé, non ha unità di misura né un significato assoluto – acquista senso solo rispetto ai criteri stabiliti (qui: 24 supera la soglia di accettazione) e in confronto ai risultati di altri pericoli. Per esempio, se altri pericoli su questa macchina hanno punteggi dell’ordine di 5–10 e uno ha 24, è chiaro a cosa dare priorità.

Vantaggi del metodo a punteggio:

  • Maggiore precisione relativa: A differenza delle categorie “rigide” della matrice, il Risk Score consente di evidenziare le differenze tra i rischi. Un valore 24 vs 18 vs 36 fornisce più informazioni rispetto a un semplice “medio” vs “alto”. Questo facilita un confronto strutturato dei pericoli e la definizione delle priorità degli interventi
  • Riduzione della soggettività grazie a criteri numerici: La scelta dei singoli punteggi resta soggettiva, ma l’uso dei numeri impone una certa coerenza. Se definiamo chiaramente la scala (ad es. cosa significa 1 e cosa 5 per ciascun fattore) e la rispettiamo, le valutazioni diventano più oggettive all’interno dell’organizzazione. Anche decisioni del tipo “24 è un rischio accettabile?” risultano più semplici, perché ci si può riferire a soglie concordate: la discussione è meno emotiva e più basata sui fatti.
  • Utilità con un elevato numero di pericoli: Nei progetti complessi, in cui identifichiamo decine di potenziali pericoli, un elenco ordinato in modo decrescente per Risk Score indicherà chiaramente da cosa partire. Questo semplifica la gestione del rischio e l’allocazione delle risorse (tempo, denaro) verso le misure di sicurezza dove sono più necessarie.

Svantaggi del metodo a punteggio:

  • Necessità di calibrazione e di una scala adeguata: Perché il metodo funzioni, le scale di punteggio devono essere progettate con attenzione. Inoltre, l’organizzazione dovrebbe adattarle alle proprie specificità: ad esempio, la scala per il rischio di progetto sarà diversa da quella per la sicurezza delle macchine. È anche necessario formare il team, in modo che tutti interpretino i valori nello stesso modo. Questo richiede un certo impegno e disciplina nell’applicazione delle regole stabilite
  • Precisione apparente: Anche se i numeri suggeriscono precisione, non dimentichiamo che si basano comunque su una valutazione soggettiva degli esperti. La differenza tra un pericolo valutato 15 e 16 punti può, nella pratica, essere discutibile: non è una misurazione fisica, ma una stima. Esiste il rischio che ottenere “un numerino” offuschi il quadro: le persone possono attribuire troppa importanza al numero in sé, dimenticando il contesto. Per questo il punteggio va sempre interpretato in modo qualitativo e con un certo spirito critico
  • Complessità con molti fattori: I metodi più articolati (ad es. HRN – Hazard Rating Number) possono considerare 4 o 5 fattori e generare un intervallo di risultati molto ampio. Questo, in teoria, offre un quadro più accurato, ma diventa meno chiaro per l’utente. L’aggiunta di ulteriori parametri (ad es. rilevabilità, possibilità di evitamento, ecc.) aumenta lo sforzo necessario per valutare ogni pericolo e può rendere più difficile comunicare i risultati a persone non direttamente coinvolte.
Probabilità (P) Punti
Molto rara (praticamente impossibile) 1
Poco probabile (una volta ogni molti anni) 2
Possibile (una volta ogni pochi anni) 3
Probabile (una volta all’anno o più spesso) 4
Molto probabile (frequente) 5
Gravità delle conseguenze (S) Punti
Trascurabili, lesioni lievi (senza assistenza medica) 1
Lesioni moderate (necessaria assistenza medica) 2
Lesioni gravi, effetti di lunga durata 3
Lesioni molto gravi, invalidità permanente 4
Morte o catastrofe 5
Esposizione (E) Punti
Contatto molto raro (una volta nel ciclo di vita della macchina) 1
Contatto raro (alcune volte nel ciclo di vita della macchina) 2
Contatto sporadico (alcune volte all’anno) 3
Contatto frequente (ogni settimana o ogni mese) 4
Contatto costante (quotidiano o continuo) 5
Valore del Risk Score Livello di rischio Azione
1–20 🟢 Basso (accettabile) Le misure di sicurezza standard sono sufficienti.
21–50 🟡 Medio (richiede attenzione) Monitoraggio, possibili ulteriori misure di protezione.
>50 🔴 Alto (non accettabile) Necessarie misure immediate di riduzione del rischio.

Esempio pratico di applicazione

Pericolo: Ustione alla mano dell’operatore a contatto con un elemento caldo della macchina (blocco riscaldante 150°C).

Valutazione del pericolo:

  • P (Probabilità): Elemento difficilmente accessibile, contatto possibile solo sporadicamente (manutenzione), valutazione: 2
  • S (Gravità della conseguenza): Lesioni moderate, che richiedono assistenza medica, senza esiti permanenti, valutazione: 3
  • E (Esposizione): L’operatore si trova spesso in prossimità dell’elemento (ogni giorno, ogni ora), valutazione: 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Interpretazione del risultato:

  • Risk Score = 24, quindi rischio medio (🟡), richiede ulteriori misure di protezione o monitoraggio.

Misure correttive:

  • Installazione di isolamento termico o di una protezione.
  • Fornitura di guanti protettivi adeguati.
  • Formazione degli operatori.

Rivalutazione del rischio dopo l’implementazione delle misure:
L’esposizione diminuisce ad es. da 4 a 1 (contatto raro):

Nuovo Risk Score = 2 × 3 × 1 = 6, quindi rischio basso (🟢).

ISO/TR 14121-2: Approccio qualitativo vs quantitativo nell’analisi del rischio

Nell’analisi del rischio delle macchine possiamo distinguere due approcci generali: qualitativo (qualitative) e quantitativo (quantitative). In pratica, la maggior parte dei metodi descritti sopra si colloca a metà strada tra questi estremi, ma vale la pena capire in cosa differiscono:

  • I metodi qualitativi si basano su categorie descrittive e sul giudizio degli esperti. Il risultato è in genere una classe di rischio (ad es. “basso”, “moderato”, “alto”) oppure l’azione richiesta (“accettabile” vs “non accettabile”). Un esempio di approccio puramente qualitativo è l’affermazione descrittiva: “il rischio di folgorazione è stato considerato alto, perché le conseguenze sono gravi e l’esposizione è frequente, anche se la probabilità è moderata”. Le matrici di rischio e i grafici del rischio rientrano per lo più in questo gruppo: si usano definizioni verbali o simboli alfabetici, non numeri specifici. Vantaggio: facilità di comprensione per tutti i partecipanti al processo (tutti colgono intuitivamente cosa significhi “rischio alto” più di, ad esempio, “rischio = 3,7×10^-5”!). Inoltre, l’approccio qualitativo è l’unico possibile quando mancano dati numerici — cosa frequente nel caso di macchine nuove o eventi rari. Svantaggio: i risultati qualitativi sono più difficili da confrontare e possono essere soggettivi. Due esperti possono descrivere in modo diverso lo stesso rischio, mentre un valore numerico imporrebbe una media delle loro valutazioni.
  • I metodi quantitativi mirano a esprimere il rischio in valori numerici, spesso in unità assolute (ad es. probabilità 1 su un milione di operazioni, frequenza attesa di infortunio 0,001/anno, costo atteso delle perdite in PLN). Un’analisi del rischio pienamente quantitativa cerca di utilizzare i dati — statistiche di guasto, frequenza degli infortuni nel settore, dati sull’affidabilità dei componenti — per calcolare il rischio in modo oggettivo. Un esempio può essere: “la probabilità di guasto del sensore e del mancato intervento simultaneo del freno di sicurezza è pari a 2,3 × 10^-8 per ora di funzionamento; considerando 2000 h di lavoro annue, il rischio di incidente mortale è ~4,6 × 10^-5 all’anno, cioè inferiore al criterio $10^{-4}$/anno – riteniamo il rischio accettabile.” Questo approccio compare ad esempio nell’analisi della sicurezza funzionale (calcolo del PFH – Probability of a Dangerous Failure per Hour per i sistemi di comando) oppure nella valutazione del rischio di processo con metodi tipo LOPA, dove il rischio viene espresso numericamente. Vantaggi: dà un’impressione di elevata precisione e la possibilità di confronto con criteri formali (ad es. livelli ALARP o requisiti di legge, se esistenti). Consente anche l’ottimizzazione costo-beneficio — si può stimare quanto “costa” statisticamente un determinato rischio e se convenga ridurlo ulteriormente. Svantaggi: un’analisi pienamente quantitativa è dispendiosa in termini di tempo e richiede dati che non sempre sono disponibili. Per molte macchine mancano statistiche accurate su guasti o infortuni: in tal caso i numeri possono basarsi su supposizioni, rendendo questi calcoli poco significativi. Inoltre, l’apparente oggettività può essere ingannevole: la modellazione del rischio richiede spesso assunzioni semplificative e il risultato finale può avere un’incertezza di diversi ordini di grandezza (anche se viene mostrato con molte cifre significative). Le norme per le macchine nella grande maggioranza dei casi non richiedono una valutazione pienamente quantitativa — la ammettono, ma indicano che una descrizione verbale del rischio è di solito più facile da comprendere rispetto all’uso di indicatori numerici.

Nella pratica dell’analisi dei rischi delle macchine si adotta spesso un approccio semi-quantitativo (semi-quantitative), ad esempio un metodo a punteggio che assegna numeri a categorie qualitative, senza sostenere che si tratti di “vere” probabilità o costi. Questo offre una maggiore granularità della valutazione rispetto alle sole categorie descrittive, evitando al contempo una precisione fittizia. La scelta dell’approccio dovrebbe tenere conto delle esigenze del progetto: se è necessario documentare la conformità alle norme (ad es. calcolare PL o SIL per il sistema di comando), occorre ricorrere ai metodi indicati dalla norma (di solito qualitativi o a punteggio). Se invece l’azienda punta a una stima interna del rischio in ottica di business, può valutare analisi più quantitative per i pericoli chiave.

ISO/TR 14121-2: Combinazione dei metodi e scelta dell’approccio appropriato

Non esiste un unico metodo universale di analisi del rischio valido per ogni situazione. Gli ingegneri della sicurezza più esperti spesso combinano approcci diversi per ottenere un quadro più completo e prendere decisioni più corrette. Di seguito alcuni suggerimenti su quando usare quale metodo e come combinarli:

  • Fase concettuale del progetto (progettazione iniziale): All’inizio, quando la macchina è ancora allo stadio di schizzo o prototipo, di solito mancano dati numerici dettagliati. In questa fase funzionano bene metodi rapidi e qualitativi – ad es. un brainstorming con matrice del rischio per i pericoli identificati. La matrice aiuta a individuare fin da subito le aree più critiche. Si può anche usare una checklist dei pericoli tratta da ISO 12100 e, per ciascun pericolo, aggiungere una valutazione nelle categorie “rischio basso/medio/alto”. In questa fase è più importante non tralasciare alcun pericolo che stimare con precisione la probabilità – per questo i metodi descrittivi sono più che sufficienti. I risultati di questa analisi preliminare possono influenzare le decisioni progettuali (ad es. modifica del layout della macchina, aggiunta di un riparo già in fase costruttiva, riduzione della velocità di movimento se il rischio è elevato).
  • Fase di progettazione di dettaglio: Quando disponiamo di più dati sulla macchina – parametri tecnici, tempi ciclo, misure di sicurezza previste – conviene svolgere un’analisi più accurata. Qui può entrare in gioco un metodo a punteggio. È adatto per analizzare in modo sistematico decine di pericoli specifici. Consente anche di confrontare diverse varianti di soluzione: ad es. se stiamo valutando se adottare un riparo fisso o una barriera fotoelettrica, possiamo stimare il Risk Score per gli scenari con l’una e con l’altra misura – e questo mostrerà quale riduce meglio il rischio. Durante la progettazione di dettaglio si utilizzano spesso anche i grafici del rischio per le funzioni di sicurezza. Per ogni funzione identificata (ad es. arresto di emergenza, disattivazione dell’azionamento all’apertura della porta del riparo, limitazione della velocità in modalità di regolazione) si applica il grafico di ISO 13849-1 o IEC 62061 per determinare il PLr/SIL richiesto. Queste informazioni influenzano poi la scelta dei componenti (ad es. se è sufficiente un relè di sicurezza di categoria 2 PL=c oppure se serve un controllore a doppio canale PL=e). Di conseguenza, in un unico progetto si applicano in parallelo metodi diversi: una valutazione del rischio generale con matrice/punteggio per l’intera macchina e grafici dedicati per i pericoli specifici che richiedono sistemi di sicurezza controllati.
  • Macchine con pericoli complessi e diversificati: Se ci troviamo di fronte a un impianto articolato (ad es. una linea produttiva integrata, robot collaborativi, macchine con più sottosistemi), un solo metodo potrebbe non bastare. Esempio: in una linea di confezionamento possono coesistere gravi pericoli meccanici (ad es. schiacciamento da parte del gripper del robot), pericoli elettrici (quadro di alta tensione), pericoli ergonomici (sollevamento manuale di carichi) e pericoli software/cibernetici (software di controllo errato). In una situazione del genere conviene:
    • Per i pericoli meccanici/elettrici – applicare una matrice o uno scoring per valutare il rischio e indicare la necessità di ripari, interblocchi, lock-out ecc. Per i pericoli legati al sistema di comando (ad es. guasto di un sensore che porta a una collisione) – utilizzare un grafico del rischio tratto dalle norme per ottenere il PLr/SIL, che si traduce in requisiti relativi all’architettura del sistema di comando. Per i rischi ergonomici – basarsi maggiormente su una valutazione qualitativa (ad es. ricorrere a norme ergonomiche o a linee guida di salute e sicurezza sul lavoro, perché qui è difficile disporre di numeri; si può usare una matrice del rischio, ma con enfasi sulla consultazione del personale, questionari sul carico, ecc.). Per i rischi digitali/IT – considerare approcci separati (analisi di cybersecurity, FMEA del software), perché le matrici di sicurezza classiche potrebbero non cogliere, ad es., il rischio di compromissione del sistema. Se necessario, tali rischi possono essere valutati separatamente da specialisti IT e le loro conclusioni integrate nell’analisi complessiva.

Il risultato finale sarà un quadro completo del rischio. È importante raccogliere tutte le valutazioni in un report coerente, ad esempio sotto forma di elenco tabellare dei pericoli con colonne: descrizione del pericolo, metodo di valutazione (matrice/grafico/punteggio), esito della valutazione, misure di riduzione, rischio dopo la riduzione. In questo modo l’auditor o la persona che verifica la conformità della macchina vedrà che non è stato tralasciato alcun tipo di rischio e che per ciascuno sono state applicate tecniche di analisi adeguate.

  • Considerazione di dati e statistiche: Quando disponiamo di dati reali (ad es. frequenza dei guasti di macchine simili, statistiche sugli infortuni tratte dalla letteratura, dati dei fornitori di componenti sull’affidabilità), vale la pena integrarli nella valutazione, ma con criterio. Si possono, ad esempio, usare dati numerici per motivare valutazioni qualitative: “valutiamo la frequenza dell’evento come alta, perché in stabilimenti con un processo simile sono stati registrati 5 infortuni all’anno ogni 100 macchine”. Se l’azienda adotta una politica ALARP (as low as reasonably practicable) o ha definito limiti di rischio tollerabile, allora può essere richiesta un’analisi quantitativa per dimostrare che la probabilità di una catastrofe è inferiore, ad esempio, a $10^{-6}$ all’anno. Nella pratica legata alle macchine, tuttavia, raramente si utilizzano criteri così rigorosi come, ad esempio, nell’industria chimica o aeronautica. La chiave è il buon senso: dove possibile, usiamo i dati (perché rendono l’analisi più credibile), ma non temiamo di affidarci al giudizio dell’esperto dove i dati mancano. La combinazione competenza ingegneristica + informazioni statistiche disponibili dà i risultati migliori.
  • Iteratività e verifica dei risultati: Dopo l’implementazione delle misure di sicurezza, torna sempre all’analisi del rischio. Spesso si utilizza lo stesso metodo, ma tenendo conto delle nuove protezioni. Ad esempio, se inizialmente il punteggio era 60 (rischio alto) e sono state introdotte misure, il nuovo punteggio può risultare 15 (rischio basso), il che documenta l’efficacia delle azioni intraprese. È utile anche ricorrere a più di un metodo per i pericoli chiave: se la matrice indica un rischio al limite dell’accettabilità, si può ricalcolare in modo indipendente il punteggio oppure valutarlo con un grafico; se ogni metodo conferma che va bene, abbiamo maggiore certezza. Quando i risultati dei metodi divergono, occorre analizzarne le ragioni (forse le categorie della matrice erano state scelte male, oppure il punteggio ha distorto il quadro?) ed eventualmente adottare una conclusione più prudente.
  • Tipo di macchina e scelta del metodo: Per macchine semplici (ad es. una piccola pressa, un trapano a colonna) di norma basta una semplice matrice del rischio o persino una checklist dei pericoli con valutazioni descrittive. Per macchine prototipali, uniche – dove non esistono schemi consolidati di protezione – è meglio applicare un ventaglio più ampio di metodi: la matrice per identificare i problemi generali, il punteggio per ordinare le priorità e i grafici per le questioni in cui occorre progettare il sistema di sicurezza. Le macchine di serie (prodotte in un elevato numero di esemplari) spesso dispongono già di analisi consolidate: in questo caso conviene mantenere un metodo coerente (ad es. in tutta l’azienda usiamo un’unica scala di punteggio), così che le valutazioni successive siano confrontabili. Le linee tecnologiche (in cui si integrano più macchine) possono invece richiedere un’analisi suddivisa: prima la valutazione del rischio a livello di ciascuna macchina separatamente, e poi in aggiunta l’analisi del rischio dell’intero sistema integrato (considerando, ad esempio, i rischi legati al trasferimento dei pezzi tra macchine, alle collisioni tra robot, ai guasti a cascata). Quest’ultima viene spesso svolta sotto forma di workshop HAZOP oppure semplicemente come un’ulteriore matrice del rischio per gli scenari globali.

    • In sintesi, combinare i metodi è la migliore prassi, perché ogni metodo offre un punto di vista leggermente diverso. La matrice o il grafico possono mostrare il quadro generale e i requisiti minimi, mentre il punteggio o l’analisi quantitativa possono definire meglio i dettagli e supportare le decisioni economiche (dove conviene maggiormente investire in sicurezza). È importante mantenere coerenza nella documentazione – annotando chiaramente con quale metodo è stato valutato un determinato pericolo e perché è stato scelto proprio quello. In questo modo l’auditor della valutazione di conformità (ad es. l’organismo notificato che verifica la documentazione CE) vedrà che l’analisi è stata svolta in modo competente e completo, in linea con lo spirito delle norme e con le buone pratiche ingegneristiche.

    L’analisi del rischio è il cuore del processo di valutazione della conformità della macchina, obbligatoria secondo la Direttiva Macchine/Regolamento Macchine UE e le norme armonizzate. Consente ai progettisti di identificare i pericoli, stimare i rischi associati e adottare misure per ridurre il rischio prima ancora che si verifichi un infortunio.

    Non esiste un’unica metodologia “migliore”: ognuna ha i propri punti di forza e di debolezza. Per questo la competenza dell’ingegnere della sicurezza sta nello scegliere lo strumento giusto per l’attività: a volte basta una matrice semplice, altre serve uno scoring dettagliato o un’analisi SIL. Spesso i risultati migliori derivano da una combinazione di metodi, in cui l’uno integra l’altro. Per esempio, possiamo partire da un’identificazione qualitativa dei pericoli, poi valutare in modo quantitativo (a punteggio) i più rilevanti e, per gli aspetti legati al sistema di comando, utilizzare i grafici previsti dalle norme – così non ci sfuggirà nessun elemento.

    Infine, ricordiamolo: l’obiettivo non è compilare una tabella o un grafico fine a sé stesso, ma migliorare concretamente la sicurezza. L’analisi del rischio è un processo iterativo e creativo. Invita a porsi domande del tipo “cosa succede se…?” e a cercare soluzioni che eliminino i pericoli alla fonte. I metodi descritti qui sono strumenti che aiutano a strutturare queste attività. Applicandoli, atteniamoci ai principi delle norme (ISO 12100 e correlate) e alla buona pratica ingegneristica, coinvolgendo inoltre nel processo più punti di vista (progettisti, operatori, manutenzione, sicurezza sul lavoro). Un’analisi del rischio condotta in questo modo sarà credibile, completa ed efficace, e si tradurrà in una macchina sicura con marcatura CE e nella tranquillità sia del costruttore sia dell’utilizzatore finale.

    Oceń post

    ISO/TR 14121-2 – come si valuta il rischio nella pratica

    ISO/TR 14121-2 è una guida che descrive metodi pratici di stima del rischio. Integra l’approccio basato sul processo di ISO 12100, ma non impone un’unica tecnica obbligatoria.

    Per prima cosa si definiscono lo scopo e i limiti della macchina, quindi si identificano i pericoli in tutte le fasi del ciclo di vita. Successivamente si analizza e si stima il rischio, se ne valuta l’accettabilità e si attua la riduzione del rischio in modo iterativo fino a raggiungere un livello accettabile.

    Per ciascun pericolo si considerano gli scenari di infortunio, le loro cause, la probabilità che si verifichino e la gravità delle conseguenze. Il risultato della stima deve consentire di decidere se è necessaria una riduzione del rischio e di quale entità.

    La matrice del rischio è una tabella che combina le categorie di probabilità dell’evento (colonne) con le categorie di gravità delle conseguenze (righe), ottenendo così un livello di rischio (ad es. basso/medio/alto). In pratica è fondamentale che il team definisca congiuntamente il significato delle categorie, per limitare la soggettività.

    Oszacowane ryzyko confronta con i criteri di accettabilità adottati, per stabilire se è tollerabile o se richiede interventi. La riduzione si conduce secondo la gerarchia di ISO 12100: soluzioni intrinsecamente sicure, misure tecniche di protezione e, infine, misure organizzative e dispositivi di protezione individuale; quindi si valuta il rischio residuo.

    Condividi: LinkedIn Facebook