Sintesi tecnica
Punti chiave:

Il testo evidenzia la natura iterativa della valutazione del rischio e la scelta della tecnica in funzione del tipo di macchina, dei pericoli e della fase di progetto. Descrive inoltre i principi di base della matrice del rischio come strumento che combina la gravità delle conseguenze e la probabilità dell’evento.

  • La valutazione dei rischi è fondamentale nella valutazione di conformità delle macchine e nella preparazione alla marcatura CE sul mercato UE.
  • ISO 12100 e ISO/TR 14121-2 descrivono il quadro di riferimento e i metodi pratici per l’identificazione dei pericoli e la stima del rischio.
  • Il processo comprende: campo di applicazione e limiti della macchina, identificazione dei pericoli, analisi/stima, accettazione e riduzione del rischio.
  • Riduzione del rischio secondo ISO 12100: progettazione intrinsecamente sicura, misure tecniche di protezione, misure organizzative e DPI.
  • L’articolo illustra i metodi di stima del rischio: matrici e grafici del rischio, metodi a punteggio e approcci qualitativi e quantitativi.

Il processo di valutazione della conformità delle macchine ai requisiti essenziali richiede lo svolgimento di un’analisi dei rischi accurata, in conformità alle norme vigenti. La sicurezza delle macchine è un pilastro nella progettazione e nell’esercizio delle attrezzature industriali: ogni fabbricante, prima di immettere una macchina sul mercato UE, deve identificare i pericoli e ridurre il rischio a un livello accettabile. Norme come ISO 12100 (Sicurezza del macchinario – Principi generali di progettazione, valutazione del rischio e riduzione del rischio) e la guida ISO/TR 14121-2 (metodi pratici di valutazione del rischio) forniscono un quadro di riferimento. Le norme di settore, come UNI EN ISO 13849-1 e UNI EN 62061, si concentrano invece sulla sicurezza dei sistemi di comando e utilizzano metodi specifici di stima del rischio per determinare i livelli richiesti di garanzia della sicurezza (Performance Level, SIL).

In questo articolo esamineremo le principali metodologie di analisi del rischio utilizzate nella valutazione di conformità delle macchine: matrici di rischio, grafici del rischio, metodi a punteggio e approcci qualitativi e quantitativi. Ne confronteremo i presupposti, evidenzieremo vantaggi e limiti di ciascun metodo e ne illustreremo le applicazioni pratiche (con esempi ispirati alla documentazione normativa, ma opportunamente modificati). In chiusura, proporremo indicazioni su come combinare approcci diversi e scegliere il metodo più adatto in funzione del tipo di pericolo, della fase di progettazione e della tipologia di macchina.

Ricorda: l’obiettivo dell’analisi del rischio non è solo soddisfare i requisiti formali per la marcatura CE, ma soprattutto garantire che la macchina sia sicura lungo l’intero ciclo di vita – dalla progettazione all’utilizzo, fino alla manutenzione e alla dismissione. Per questo è opportuno scegliere i metodi di analisi del rischio in modo da identificare efficacemente tutti i pericoli e valutare il rischio in maniera sistematica e comprensibile per l’intero team.

ISO/TR 14121-2: Fondamenti del processo di valutazione del rischio

Prima di passare ai metodi specifici, richiamiamo brevemente le fasi della valutazione del rischio secondo la norma UNI EN ISO 12100:2012.

  1. Definizione del campo di applicazione e dei limiti della macchina: Comprendere la funzione della macchina, il suo impiego, i confini del sistema e gli utilizzatori. Definisci in quali condizioni la macchina opererà (ad es. ambiente, carichi, formazione del personale).
  2. Identificazione dei pericoli: Elencare tutte le potenziali fonti di pericolo in tutte le fasi del ciclo di vita della macchina (installazione, funzionamento normale, pulizia, manutenzione, guasti, smontaggio). I pericoli possono essere meccanici, elettrici, termici, chimici, da radiazioni, ergonomici ecc. È importante coinvolgere sia i progettisti sia i futuri operatori: la conoscenza pratica del personale consente di individuare rischi meno evidenti.
  3. Analisi e stima del rischio: Per ogni pericolo identificato analizziamo i possibili scenari incidentali: cause dell’evento, probabilità che si verifichi e effetti (conseguenze) per gli operatori o per le attrezzature. Successivamente stimiamo il livello di rischio – ed è qui che entrano in gioco gli strumenti di cui parleremo più avanti (matrici, grafici, scale a punteggio ecc.). L’obiettivo è attribuire a ciascun pericolo un “peso” del rischio sulla base della frequenza e della gravità dei danni potenziali valutate.
  4. Valutazione dell’accettabilità del rischio: Confrontiamo il rischio stimato con i criteri di accettabilità adottati in azienda o nel progetto. Ad es. il rischio è sufficientemente basso da poter essere tollerato oppure richiede una riduzione? Molte organizzazioni adottano il principio secondo cui un rischio che comporti morte o invalidità permanente è inaccettabile indipendentemente dalla probabilità, a meno che non vengano implementate misure di protezione specifiche.
  5. Riduzione del rischio: Per i rischi ritenuti troppo elevati si implementano misure di riduzione secondo la cosiddetta gerarchia a tre livelli di ISO 12100: (a) eliminazione dei pericoli tramite la progettazione (soluzioni intrinsecamente sicure), (b) misure tecniche di protezione (ripari, dispositivi di sicurezza), (c) misure organizzative e dispositivi di protezione individuale (istruzioni, formazione, PPE). Dopo l’applicazione di tali misure, il ciclo di analisi del rischio viene ripetuto in modo iterativo, valutando il rischio residuo, fino al raggiungimento di un livello accettabile.

Nella parte successiva ci concentreremo sulla fase di stima del rischio (punto 3 sopra), presentando i metodi più diffusi. È importante sottolineare che ISO 12100 non impone una singola tecnica: ammette sia approcci qualitativi (descrittivi) sia quantitativi (numerici), purché l’esito della valutazione consenta di decidere sulla necessità di ridurre il rischio. Secondo ISO/TR 14121-2 esistono molti strumenti equivalenti e la scelta dipende dalle caratteristiche della macchina e dalle preferenze di chi effettua la valutazione.

Matrice di rischio (Risk Matrix)

La matrice del rischio è uno degli strumenti più semplici e più utilizzati per la valutazione visiva del rischio. Si tratta di una tabella (matrice) in cui le colonne rappresentano di norma le categorie di probabilità che un evento si verifichi, mentre le righe rappresentano le categorie di gravità degli effetti (conseguenze). Incrociando la riga e la colonna corrispondenti alla valutazione di un determinato pericolo, si legge il livello di rischio assegnato (ad es. basso, medio, alto oppure tramite colore: verde, giallo, rosso).

Come costruire una matrice del rischio? Per prima cosa si definiscono scale discrete per entrambe le dimensioni. Per le conseguenze si può adottare, ad esempio: 1 – lesioni lievi (traumi non gravi), 2 – lesioni che richiedono assistenza medica, 3 – gravi lesioni fisiche o invalidità permanente, 4 – vittima mortale. Per la probabilità dell’evento, una scala di esempio: A – molto rara (ad es. “praticamente inimmaginabile”), B – poco probabile (una volta ogni molti anni), C – possibile (alcune volte nel ciclo di vita della macchina), D – probabile (può verificarsi una volta all’anno o più spesso), E – frequente (regolarmente, ad es. una volta al mese o in modo continuo). Nella pratica le aziende adattano queste categorie alle proprie esigenze: è importante che il team di valutazione definisca insieme il significato delle categorie, così da ridurre la soggettività.

Successivamente si costruisce la tabella, assegnando i livelli di rischio alle singole combinazioni. Un esempio di matrice 4×5 è illustrato nella tabella seguente (i colori indicano un tipico livello di rischio – verde accettabile, giallo medio, rosso alto):

Gravità delle conseguenzeProbabilità A
molto rara		 B
poco probabile		 C
possibile		 D
probabile		 E
frequente
1 – Lesioni lievi (traumi non gravi) 🟢
Basso		 🟢
Basso		 🟡
Medio		 🟡
Medio		 🟡
Medio
2 – Lesioni che richiedono assistenza medica 🟢
Basso		 🟡
Medio		 🟡
Medio		 🔴
Alto		 🔴
Alto
3 – Gravi lesioni fisiche o invalidità permanente 🟡
Medio		 🟡
Medio		 🔴
Alto		 🔴
Alto		 🔴
Molto alto
4 – Vittima mortale 🟡
Medio		 🔴
Alto		 🔴
Alto		 🔴
Molto alto		 🔴
Estremamente alto

Legenda dei colori e dei livelli di rischio:

  • 🟢 Rischio basso (accettabile) – non sono richieste azioni oppure sono sufficienti misure di protezione di base.
  • 🟡 Rischio medio (moderato) – occorre valutare ulteriori azioni di riduzione, introdurre misure di protezione aggiuntive e monitoraggio.
  • 🔴 Rischio alto/Molto alto/Estremamente alto – non accettabile senza protezioni aggiuntive; sono richieste azioni di riduzione urgenti e complete.

Esempio di applicazione pratica della matrice del rischio:

Pericolo:

Disco di taglio scoperto in una sega industriale.

Valutazione:

  • Gravità della conseguenza: S4 – Vittima mortale (conseguenze catastrofiche).
  • Probabilità: C – Possibile (alcune volte nel ciclo di vita della macchina).

Risultato della valutazione sulla matrice:

L’incrocio della riga S4 con la colonna C indica il campo 🔴 Rischio alto.

Conseguenza del risultato:

  • Rischio considerato non accettabile senza protezioni aggiuntive.
  • Il produttore deve applicare misure di protezione, ad es.:
    • Riparo sul disco.
    • Interruttore di sicurezza.
    • Sistema di interblocchi che impedisca l’avviamento accidentale durante la pulizia.

Azioni successive:

  • Dopo l’implementazione delle misure di protezione, l’analisi deve essere ripetuta.
  • L’obiettivo è raggiungere almeno il livello “Medio” o, idealmente, “Basso”.

Esempio di matrice del rischio (in inglese) con 4 categorie di gravità delle conseguenze (I–IV) e 5 categorie di probabilità (A–E). Il colore evidenzia la valutazione risultante del rischio: da basso (L) a medio (M) e alto (H) fino a estremamente alto (EH). Nella pratica le matrici possono avere dimensioni diverse, ad es. 3×3, 5×5 ecc., a seconda delle esigenze dell’analisi.

Vantaggi della matrice del rischio:

  • Semplicità e chiarezza: la matrice è facile da comprendere e fornisce un quadro grafico del rischio che richiama l’intuitiva “segnaletica semaforica” (verde – ok, rosso – stop). Per questo può essere utile nella comunicazione con il management e con persone non tecniche: mostra rapidamente dove si trovano i pericoli maggiori.
  • Classificazione rapida: consente di assegnare rapidamente le priorità, ad es. quali rischi sono bassi (accettabili) e quali richiedono azioni urgenti.

Svantaggi della matrice del rischio:

  • Scelta soggettiva delle categorie: Stabilire che cosa significhino esattamente “poco probabile” o “danno grave” dipende dal giudizio del team. Persone diverse possono valutarlo in modo differente, con effetti sul risultato. La standardizzazione delle categorie all’interno dell’organizzazione è fondamentale, ma una certa quota di discrezionalità rimane.
  • Precisione limitata: La matrice raggruppa il rischio in intervalli ampi. Due pericoli diversi possono ottenere lo stesso esito (ad es. “rischio medio”), anche se uno è vicino al limite inferiore e l’altro a quello superiore. Può risultare un approccio troppo generico quando serve un’analisi più dettagliata o il confronto tra molti pericoli.

Grafico del rischio (Risk Graph)

Il grafico del rischio è un metodo grafico, spesso rappresentato come albero decisionale o diagramma logico. Si basa su una valutazione sequenziale di alcuni parametri di rischio, di norma con risposte binarie (ad es. basso/alto, sì/no), che ci guidano lungo un percorso fino al risultato. Ogni nodo del grafico si dirama in un numero limitato di opzioni (più spesso due), rendendo il metodo chiaro, anche se meno dettagliato.

I grafici del rischio hanno trovato ampia applicazione nelle norme relative ai sistemi di comando. Ad esempio, UNI EN ISO 13849-1 (sicurezza delle parti dei sistemi di comando delle macchine) include uno schema grafico di valutazione del rischio che consente di determinare il Performance Level richiesto PLr per le funzioni di sicurezza. Analogamente, UNI EN 62061 (relativa alla sicurezza funzionale delle macchine) utilizza un concetto simile per definire il Safety Integrity Level richiesto SIL. In entrambi i casi si valutano, in sequenza, i seguenti fattori:

  1. S (Severity)gravità del danno potenziale: ad es. S1 = lesione lieve o reversibile, S2 = lesione grave (irreversibile) o morte.
  2. F (Frequency/Exposure)frequenza e durata dell’esposizione al pericolo: ad es. F1 = esposizione rara o di breve durata, F2 = esposizione frequente o di lunga durata.
  3. P (Possibility of Avoidance)possibilità di evitare il pericolo o limitare i danni: ad es. P1 = evitabile in circostanze favorevoli (l’operatore ha la possibilità di reagire), P2 = praticamente non evitabile (l’evento è improvviso o inevitabile).
  4. (Opzionale) W/Pr (Probability of occurrence)probabilità che si verifichi un evento pericoloso: questo parametro talvolta è considerato esplicitamente, ad es. in IEC 62061, come fattore indipendente (indicato come Pr), accanto alla frequenza di esposizione e alla possibilità di evitamento. In pratica, nel metodo ISO 13849-1 viene considerato indirettamente nella valutazione di F e P.

Sulla base delle valutazioni sopra riportate, seguendo il percorso nel grafico, si arriva al risultato, che nella maggior parte dei casi è un livello di rischio o una categoria delle misure di protezione richieste. Per ISO 13849-1 il risultato è il Performance Level (PLr) richiesto da a a e (dove a indica il livello minimo richiesto di affidabilità del sistema di comando e e il massimo). In ISO 14121-2, invece, si incontra un grafico che fornisce un indice di rischio su scala numerica, ad es. da 1 a 6: i valori 1–2 indicano un rischio basso, mentre quelli più elevati segnalano la necessità di ulteriori azioni di riduzione.

START
  │
  ├─ Gravità delle conseguenze (S)
  │   ├─ S1: lesione lieve (reversibile)
  │   │   └─ Frequenza di esposizione (F)
  │   │       ├─ F1: rara o di breve durata
  │   │       │   └─ Possibilità di evitamento (P)
  │   │       │       ├─ P1: evitamento possibile → PLr = a
  │   │       │       └─ P2: evitamento difficile → PLr = b
  │   │       └─ F2: frequente o di lunga durata
  │   │           └─ Possibilità di evitamento (P)
  │   │               ├─ P1: evitamento possibile → PLr = b
  │   │               └─ P2: evitamento difficile → PLr = c
  │   └─ S2: lesioni gravi (irreversibili) o morte
  │       └─ Frequenza di esposizione (F)
  │           ├─ F1: rara o di breve durata
  │           │   └─ Possibilità di evitamento (P)
  │           │       ├─ P1: evitamento possibile → PLr = c
  │           │       └─ P2: evitamento difficile → PLr = d
  │           └─ F2: frequente o di lunga durata
  │               └─ Possibilità di evitamento (P)
  │                   ├─ P1: evitamento possibile → PLr = d
  │                   └─ P2: evitamento difficile → PLr = e

Esempio di applicazione del grafico del rischio: Consideriamo il pericolo che un robot industriale colpisca una persona se questa entra nella zona di lavoro del robot in assenza di adeguate protezioni. Applichiamo il metodo della ISO 13849-1, valutando per questo scenario: S = S2 (lesioni gravi o morte), F = F2 (accesso frequente – ad es. l’operatore entra spesso nella cella e il robot lavora molte ore al giorno), P = P2 (l’evitamento del pericolo è poco probabile – il robot si muove rapidamente e non lascia tempo per allontanarsi). Seguendo il grafico del rischio della norma, la combinazione (S2, F2, P2) porta al PLr = e richiesto, cioè il livello di protezione più elevato. Ciò significa che dobbiamo implementare misure di sicurezza altamente affidabili (ad es. barriere fotoelettriche della categoria più alta o interblocchi delle porte con monitoraggio, ridondanza dei sistemi di comando, ecc.) per ridurre il rischio di impatto con il robot a un livello accettabile. Per confronto, se lo scenario fosse meno critico – ad es. un robot con forza ridotta, raramente accessibile alle persone – la valutazione (S1, F1, P1) potrebbe dare come risultato PLr = c o inferiore, il che implica requisiti meno stringenti in termini di complessità delle protezioni.

START → S2 → F2 → P2 → PLr = e

Vantaggi del grafico del rischio:

  • Struttura logica e “guidata” dell’analisi: Il grafico accompagna l’utente passo dopo passo attraverso le domande chiave sul pericolo. Questo garantisce un approccio sistematico e riduce il rischio di trascurare un fattore importante. Il metodo è spesso predisposto da esperti (ad es. dagli autori delle norme) tenendo conto delle macchine tipiche, e rappresenta quindi una buona prassi di settore.
  • Comprensione condivisa delle categorie: Poiché i valori (ad es. S1/S2, F1/F2, P1/P2) sono definiti nella norma, il team può farvi riferimento, il che riduce le divergenze interpretative. Di conseguenza, persone diverse che applicano lo stesso grafico dovrebbero arrivare a conclusioni simili per pericoli analoghi.
  • Collegamento diretto con i requisiti di sicurezza: Il risultato sotto forma di PLr o SIL informa immediatamente il progettista su quali misure tecniche debbano essere adottate. Questo collega l’analisi del rischio ai criteri di progettazione (ad es. scelta dell’architettura del sistema di comando, livello di affidabilità dei componenti).

Svantaggi del grafico del rischio:

  • Livello di dettaglio limitato: In genere questo metodo utilizza solo poche categorie (ad es. due opzioni per S, F, P). Ciò significa che scenari anche molto diversi possono essere ricondotti alle stesse categorie. Il grafico classifica il rischio in modo grossolano, fornendo ad es. un esito “alto/medio/basso” o il livello di protezione richiesto, ma non evidenzia differenze sottili tra rischi che ricadono nella stessa categoria.
  • Assenza di un valore numerico esplicito: Mentre una matrice o un metodo a punteggio può fornire uno “score” relativo, il grafico di norma si conclude con un’etichetta (ad es. PLr = d). È più difficile confrontare tra loro molti pericoli diversi, perché i risultati sono qualitativi e non indicano “quanto” un rischio sia maggiore di un altro, se non attraverso un diverso percorso nell’albero.
  • Specificità d’impiego: I grafici sono spesso dedicati a norme o settori specifici. Il grafico della ISO 13849-1 riguarda principalmente il rischio legato al funzionamento difettoso del sistema di comando. Per valutare altri tipi di rischio (ad es. ergonomia, rumore) potrebbe non essere direttamente utile. Per questo motivo, talvolta si utilizzano grafici diversi a seconda della tipologia di pericolo.

Metodi a punteggio (valutazione del rischio a punti)

I metodi a punteggio, detti anche risk scoring o metodi numerici, consistono nell’attribuire valori numerici alle categorie di rischio e nel calcolare a partire da essi un indice di rischio. In pratica, sono un’evoluzione dell’idea della matrice: invece di basarsi solo su descrizioni o colori, a ciascuna categoria (ad es. probabilità, conseguenza, esposizione) si assegna un determinato numero di punti. Successivamente questi punti vengono combinati, spesso tramite moltiplicazione o somma, per ottenere un valore finale. Tale valore consente di ordinare i pericoli dal rischio più elevato al più basso e di stabilire soglie di accettabilità.

La formula più utilizzata consiste nel moltiplicare alcuni fattori, ad esempio:

Risk Score=P×S×E

dove:

  • P (Probability) – valutazione a punti della probabilità che si verifichi il pericolo (ad es. su una scala 1–5, dove 1 significa quasi mai e 5 molto spesso)
  • S (Severity) – valutazione a punti della gravità delle conseguenze (ad es. 1 – danno trascurabile, 5 – morte o catastrofe)
  • E (Exposure) – valutazione a punti dell’esposizione, cioè della frequenza o del tempo di esposizione al pericolo (ad es. 1 – contatto sporadico, 5 – contatto continuo/quotidiano)

Alcune varianti dei metodi a punteggio utilizzano altri fattori – per esempio Avoidance (A), cioè la considerazione della possibilità per l’operatore di evitare l’evento, oppure Detectability (D), cioè la possibilità di individuare il pericolo prima che provochi un danno. L’idea generale, però, resta la stessa: il risultato finale, il Risk Score, è un numero (ad es. nell’intervallo 1–100 o 1–1000) che più è alto, più indica un rischio elevato.

Perché il metodo sia utile, è necessario definire intervalli di punteggio corrispondenti ai livelli di rischio. Per esempio, uno stabilimento può stabilire: punteggio 1–20 = rischio basso (accettabile), 21–50 = medio (richiede monitoraggio e miglioramento se facilmente realizzabile), >50 = alto (non accettabile, sono necessarie azioni immediate). Queste soglie dovrebbero derivare dalla politica di sicurezza dell’azienda e da un’analisi ragionevole (ad es. possono essere calibrate sulla base di valutazioni del rischio precedenti).

Esempio di applicazione del metodo a punteggio: Consideriamo il pericolo di ustione della mano a contatto con una parte calda della macchina (ad es. un blocco riscaldante che arriva a 150°C, con cui l’operatore può entrare accidentalmente in contatto). Applichiamo un semplice modello a punteggio P×S×E:

  • Gravità delle conseguenze (S): L’ustione può essere dolorosa, ma in genere non è pericolosa per la vita – la valutiamo come 3 su una scala 1–5 (lesione di media entità, ad es. un’ustione importante che richiede assistenza medica, ma senza esiti permanenti).
  • Probabilità (P): Il contatto con la parte calda può avvenire spesso? Supponiamo che l’elemento sia in una zona difficilmente accessibile, quindi il contatto accidentale è raro, ma comunque possibile ad es. durante la manutenzione – assegniamo 2 (su una scala 1–5, corrispondente a “poco probabile”).
  • Esposizione (E): Quanto spesso l’operatore si trova vicino a quell’elemento? Se la macchina lavora ogni giorno e l’operatore deve sostituire il materiale ogni ora in prossimità del riscaldatore, l’esposizione può essere considerata frequente – assegniamo 4 (su una scala 1–5, dove 5 è esposizione costante e 4 è frequente, ad es. molte volte al giorno).

Calcoliamo Risk Score = 3 × 2 × 4 = 24. Ora interpretiamo il risultato: assumendo, ad esempio, una soglia >20 come rischio alto, il valore 24 indica che il rischio non è accettabile o quantomeno “significativo”. L’azienda dovrebbe quindi intervenire – ad es. aggiungere una protezione termica, isolare l’elemento riscaldante oppure dotare l’operatore di guanti adeguati e formarlo. Dopo l’implementazione di queste misure, una nuova valutazione a punteggio potrebbe diminuire (ad es. riduzione dell’esposizione grazie alla protezione – E da 4 a 1, con un nuovo Risk Score 3×2×1 = 6, cioè rischio basso).

Vale la pena notare che il numero 24, di per sé, non ha unità di misura né un significato assoluto – acquista senso solo rispetto ai criteri stabiliti (qui: 24 supera la soglia di accettazione) e nel confronto con i risultati di altri pericoli. Per esempio, se altri pericoli su questa macchina hanno punteggi dell’ordine di 5–10 e uno ha 24, sappiamo a cosa dare priorità.

Vantaggi del metodo a punteggio:

  • Maggiore precisione relativa: A differenza delle categorie “rigide” della matrice, il Risk Score consente di evidenziare le differenze tra i rischi. Un punteggio 24 vs 18 vs 36 fornisce più informazioni rispetto al semplice “medio” vs “alto”. Questo facilita il confronto strutturato dei pericoli e la definizione delle priorità degli interventi
  • Riduzione della soggettività grazie a criteri numerici: La scelta delle valutazioni parziali resta soggettiva, ma l’uso dei numeri impone una certa coerenza. Se definiamo chiaramente la scala (ad es. cosa significa 1 e cosa significa 5 per ciascun fattore) e la rispettiamo, le valutazioni diventeranno più oggettive all’interno dell’organizzazione. Anche decisioni del tipo “24 è un rischio accettabile?” risultano più semplici, perché ci si può riferire a soglie concordate – la discussione è meno emotiva e più basata sui fatti.
  • Utile con un numero elevato di pericoli: Nei progetti complessi, in cui identifichiamo decine di potenziali pericoli, un elenco ordinato in modo decrescente per Risk Score indicherà chiaramente di cosa occuparsi per primo. Questo semplifica la gestione del rischio e l’allocazione delle risorse (tempo, denaro) verso le misure di sicurezza dove sono più necessarie.

Svantaggi del metodo a punteggio:

  • Necessità di calibrazione e di una scala adeguata: Perché il metodo funzioni, le scale a punti devono essere progettate con attenzione. Inoltre, l’organizzazione dovrebbe adattarle alle proprie specificità: ad esempio, la scala per il rischio di progetto sarà diversa da quella per la sicurezza delle macchine. È anche necessario formare il team, in modo che tutti interpretino i valori nello stesso modo. Questo richiede un certo impegno e disciplina nell’applicazione delle regole stabilite
  • Falsa precisione: Anche se i numeri suggeriscono accuratezza, non dimentichiamo che si basano comunque su una valutazione soggettiva degli esperti. La differenza tra un pericolo valutato 15 e 16 punti può essere, nella pratica, discutibile: non è una misurazione fisica, ma una stima. Esiste il rischio che ottenere “un numeretto” offuschi il quadro: le persone possono attribuire troppo peso al valore numerico, dimenticando il contesto. Per questo il punteggio va sempre interpretato in modo qualitativo e con un certo spirito critico
  • Complessità con molti fattori: I metodi più articolati (ad es. HRN – Hazard Rating Number) possono considerare 4 o 5 fattori e generare un intervallo di risultati molto ampio. Questo offre teoricamente un quadro più accurato, ma diventa meno chiaro per l’utente. L’aggiunta di ulteriori parametri (ad es. rilevabilità, possibilità di evitare, ecc.) aumenta lo sforzo necessario per valutare ogni pericolo e può rendere più difficile comunicare i risultati a persone esterne.
Probabilità (P) Punti
Molto rara (praticamente impossibile) 1
Poco probabile (una volta ogni molti anni) 2
Possibile (una volta ogni alcuni anni) 3
Probabile (una volta all’anno o più spesso) 4
Molto probabile (frequente) 5
Gravità delle conseguenze (S) Punti
Trascurabili, lesioni lievi (senza assistenza medica) 1
Lesioni moderate (necessaria assistenza medica) 2
Lesioni gravi, effetti di lunga durata 3
Lesioni molto gravi, invalidità permanente 4
Morte o catastrofe 5
Esposizione (E) Punti
Contatto molto raro (una volta nel ciclo di vita della macchina) 1
Contatto raro (alcune volte nel ciclo di vita della macchina) 2
Contatto sporadico (alcune volte all’anno) 3
Contatto frequente (ogni settimana o ogni mese) 4
Contatto costante (quotidiano o continuo) 5
Valore del Risk Score Livello di rischio Azione
1–20 🟢 Basso (accettabile) Le misure di sicurezza standard sono sufficienti.
21–50 🟡 Medio (richiede attenzione) Monitoraggio, possibili misure di protezione aggiuntive.
>50 🔴 Alto (non accettabile) Sono necessarie misure immediate di riduzione del rischio.

Esempio pratico di applicazione

Pericolo: Ustione della mano dell’operatore a contatto con un elemento caldo della macchina (blocco riscaldante 150°C).

Valutazione del pericolo:

  • P (Probabilità): Elemento difficilmente accessibile, contatto possibile solo sporadicamente (manutenzione), valutazione: 2
  • S (Gravità della conseguenza): Lesioni moderate, che richiedono assistenza medica, senza esiti permanenti, valutazione: 3
  • E (Esposizione): L’operatore si trova spesso vicino all’elemento (ogni giorno, ogni ora), valutazione: 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Interpretazione del risultato:

  • Risk Score = 24, quindi rischio medio (🟡), richiede misure di protezione aggiuntive o monitoraggio.

Azioni correttive:

  • Installazione di isolamento termico o di una protezione.
  • Fornitura di guanti protettivi adeguati.
  • Formazione degli operatori.

Rivalutazione del rischio dopo l’implementazione delle misure:
L’esposizione diminuisce, ad es. da 4 a 1 (contatto raro):

Nuovo Risk Score = 2 × 3 × 1 = 6, quindi rischio basso (🟢).

ISO/TR 14121-2: Approccio qualitativo vs quantitativo nell’analisi del rischio

Nell’analisi del rischio delle macchine possiamo distinguere due approcci generali: qualitativo (qualitative) e quantitativo (quantitative). In pratica, la maggior parte dei metodi descritti sopra si colloca a metà strada tra questi estremi, ma vale la pena capire in cosa differiscono:

  • I metodi qualitativi si basano su categorie descrittive e sul giudizio di esperti. Il risultato è in genere una classe di rischio (ad es. “basso”, “moderato”, “alto”) oppure l’azione necessaria (“accettabile” vs “non accettabile”). Un esempio di approccio puramente qualitativo è l’affermazione descrittiva: “il rischio di folgorazione è stato considerato alto, perché le conseguenze sono gravi e l’esposizione è frequente, anche se la probabilità è moderata”. Le matrici di rischio e i grafici di rischio rientrano per lo più in questo gruppo: si usano definizioni verbali o simboli alfabetici, non numeri specifici. Vantaggio: facilità di comprensione per tutti i partecipanti al processo (chiunque capisce intuitivamente cosa significhi “rischio alto” molto più di, ad esempio, “rischio = 3,7×10^-5”!). Inoltre, l’approccio qualitativo è l’unico possibile quando mancano dati numerici, cosa frequente nel caso di macchine nuove o eventi rari. Svantaggio: i risultati qualitativi sono più difficili da confrontare e possono essere soggettivi. Due esperti possono valutare in modo diverso lo stesso rischio in termini descrittivi, mentre un numero imporrebbe una media delle loro opinioni.
  • I metodi quantitativi mirano a esprimere il rischio in valori numerici, spesso in unità assolute (ad es. probabilità 1 su un milione di operazioni, frequenza attesa di infortunio 0,001/anno, costo atteso delle perdite in PLN). Un’analisi del rischio pienamente quantitativa cerca di utilizzare i dati — statistiche di guasto, frequenza degli infortuni nel settore, dati sull’affidabilità dei componenti — per calcolare il rischio in modo oggettivo. Un esempio può essere: “la probabilità di guasto del sensore e del mancato intervento simultaneo del freno di sicurezza è pari a 2,3 × 10^-8 per ora di funzionamento; considerando 2000 h di lavoro annue, il rischio di un incidente mortale è ~4,6 × 10^-5 all’anno, cioè inferiore al criterio $10^{-4}$/anno – consideriamo il rischio accettabile.” Questo approccio compare ad esempio nell’analisi della sicurezza funzionale (calcolo del PFH – Probability of a Dangerous Failure per Hour per i sistemi di comando) oppure nella valutazione del rischio di processo con metodi tipo LOPA, dove il rischio viene espresso numericamente. Vantaggi: dà un’impressione di elevata precisione e la possibilità di confronto con criteri formali (ad es. livelli ALARP o requisiti legali, se esistono). Consente anche l’ottimizzazione costo-efficacia: si può stimare quanto “costa” statisticamente un determinato rischio e se conviene ridurlo ulteriormente. Svantaggi: un’analisi pienamente quantitativa è dispendiosa in termini di tempo e richiede dati che non sempre sono disponibili. Per molte macchine mancano statistiche accurate su guasti o infortuni: in tal caso i numeri possono basarsi su stime, vanificando il senso di questi calcoli. Inoltre, l’apparente oggettività può essere ingannevole: la modellazione del rischio richiede spesso assunzioni semplificative e il risultato finale può avere un’incertezza di diversi ordini di grandezza (anche se viene mostrato con molte cifre significative). Le norme per le macchine nella stragrande maggioranza dei casi non richiedono una valutazione pienamente quantitativa: la ammettono, ma indicano che una descrizione verbale del rischio è di solito più facile da comprendere rispetto all’uso di indicatori numerici.

Nella pratica dell’analisi dei rischi delle macchine si utilizza spesso un approccio semi-quantitativo (semi-quantitative), ad esempio un metodo a punteggio che assegna numeri a categorie qualitative, senza sostenere che si tratti di “vere” probabilità o costi. Questo offre una maggiore granularità di valutazione rispetto alle sole categorie descrittive, evitando al contempo una precisione fittizia. La scelta dell’approccio dovrebbe tenere conto delle esigenze del progetto: se è necessario documentare la conformità alle norme (ad es. il calcolo di PL o SIL per il sistema di comando), occorre ricorrere ai metodi indicati dalla norma (di solito qualitativi o a punteggio). Se invece l’azienda punta a una stima interna del rischio in ottica di business, può scegliere analisi più quantitative per i pericoli chiave.

ISO/TR 14121-2: Combinazione dei metodi e scelta dell’approccio adeguato

Non esiste un unico metodo universale di analisi del rischio valido per ogni caso. Gli ingegneri della sicurezza più esperti spesso combinano approcci diversi per ottenere un quadro più completo e prendere decisioni più corrette. Di seguito alcuni suggerimenti su quando usare ciascun metodo e come combinarli:

  • Fase concettuale del progetto (progettazione iniziale): All’inizio, quando la macchina è ancora allo stadio di bozza o di prototipo, di solito mancano dati numerici dettagliati. In questa fase funzionano bene metodi rapidi e qualitativi – ad esempio una sessione di brainstorming con matrice del rischio per i pericoli identificati. La matrice aiuta a individuare fin da subito le aree più critiche. Si può anche usare una checklist dei pericoli tratta da ISO 12100 e, per ciascun pericolo, aggiungere una valutazione nelle categorie “rischio basso/medio/alto”. In questa fase è più importante non tralasciare alcun pericolo che stimare con precisione la probabilità: per questo le metodologie descrittive sono più che sufficienti. I risultati di questa analisi preliminare possono influenzare le scelte progettuali (ad es. modifica del layout della macchina, inserimento di una protezione già in fase costruttiva, riduzione della velocità di movimento se il rischio è elevato).
  • Fase di progettazione di dettaglio: Quando disponiamo di più dati sulla macchina – parametri tecnici, tempi ciclo, misure di sicurezza previste – conviene svolgere un’analisi più accurata. Qui può entrare in gioco un metodo a punteggio. È adatto per analizzare in modo sistematico decine di pericoli specifici. Consente anche di confrontare diverse varianti di soluzione: ad esempio, se stiamo valutando se adottare una protezione fissa o una barriera fotoelettrica, possiamo stimare il Risk Score per gli scenari con l’una e con l’altra misura – e questo mostrerà quale riduce meglio il rischio. Durante la progettazione di dettaglio si utilizzano spesso anche i grafici del rischio per le funzioni di sicurezza. Per ogni funzione identificata (ad es. arresto di emergenza, disattivazione dell’azionamento all’apertura della porta di protezione, limitazione della velocità in modalità di regolazione) si applica il grafico di ISO 13849-1 o IEC 62061 per determinare il PLr/SIL richiesto. Queste informazioni influenzano poi la scelta dei componenti (ad es. se è sufficiente un relè di sicurezza categoria 2 PL=c oppure se serve un controllore dual-channel PL=e). In pratica, all’interno dello stesso progetto si usano in parallelo metodi diversi: una valutazione del rischio generale con matrice/punteggio per l’intera macchina e grafici dedicati per i pericoli specifici che richiedono sistemi di sicurezza controllati.
  • Macchine con pericoli complessi e diversificati: Se ci troviamo di fronte a un impianto articolato (ad es. una linea di produzione integrata, robot collaborativi, macchine con più sottosistemi), un solo metodo può non bastare. Esempio: in una linea di confezionamento possono coesistere gravi pericoli meccanici (ad es. schiacciamento da parte della pinza del robot), pericoli elettrici (quadro di alta tensione), pericoli ergonomici (sollevamento manuale di carichi) e pericoli software/cibernetici (software di controllo errato). In una situazione del genere conviene:
    • Per i pericoli meccanici/elettrici – applicare una matrice o uno scoring per valutare il rischio e indicare la necessità di protezioni, interblocchi, lock-out ecc. Per i pericoli legati al sistema di comando (ad es. guasto di un sensore che porta a una collisione) – utilizzare un grafico del rischio dalle norme per ottenere il PLr/SIL, che si traduce in requisiti relativi all’architettura del sistema di comando. Per i rischi ergonomici – basarsi maggiormente su una valutazione qualitativa (ad es. ricorrere a norme ergonomiche o a linee guida di salute e sicurezza sul lavoro, perché qui è difficile disporre di numeri; si può usare una matrice del rischio, ma con enfasi sulla consultazione del personale, questionari sul carico, ecc.). Per i rischi digitali/IT – considerare approcci separati (analisi di tipo cybersecurity, FMEA del software), perché le matrici di sicurezza classiche potrebbero non cogliere, ad esempio, il rischio di compromissione del sistema. Se necessario, tali rischi possono essere valutati separatamente da specialisti IT e le loro conclusioni integrate nell’analisi complessiva.

Il risultato finale sarà un quadro completo del rischio. È importante raccogliere tutte le valutazioni in un report coerente, ad esempio sotto forma di elenco tabellare dei pericoli con colonne: descrizione del pericolo, metodo di valutazione (matrice/grafico/punteggio), esito della valutazione, misure di riduzione, rischio dopo la riduzione. In questo modo l’auditor o la persona che verifica la conformità della macchina vedrà che non è stato tralasciato alcun tipo di rischio e che per ciascuno sono state applicate tecniche di analisi adeguate.

  • Considerare dati e statistiche: Quando disponiamo di dati reali (ad es. frequenza dei guasti di macchine simili, statistiche sugli infortuni tratte dalla letteratura, dati dei fornitori di componenti sull’affidabilità), vale la pena integrarli nella valutazione, ma con criterio. Si possono, ad esempio, usare dati numerici per motivare valutazioni qualitative: “valutiamo la frequenza dell’evento come alta, perché in stabilimenti con un processo simile sono stati registrati 5 infortuni all’anno ogni 100 macchine”. Se l’azienda adotta una politica ALARP (as low as reasonably practicable) o ha definiti limiti di rischio tollerabile, allora può essere richiesta un’analisi quantitativa per dimostrare che la probabilità di una catastrofe è inferiore, ad esempio, a $10^{-6}$ all’anno. Nella pratica delle macchine, tuttavia, raramente si utilizzano criteri così rigorosi come, ad esempio, nell’industria chimica o aeronautica. La chiave è il buon senso: dove possibile, usiamo i dati (perché rendono l’analisi più credibile), ma non temiamo di affidarci al giudizio dell’esperto dove i dati mancano. La combinazione competenza ingegneristica + informazioni statistiche disponibili dà i risultati migliori.
  • Iteratività e verifica dei risultati: Dopo l’implementazione delle misure di sicurezza, torna sempre all’analisi del rischio. Spesso si utilizza lo stesso metodo, ma tenendo conto delle nuove protezioni. Ad esempio, se inizialmente il punteggio era 60 (rischio alto) e sono state introdotte misure, il ricalcolo può risultare 15 (rischio basso), il che documenta l’efficacia delle azioni intraprese. È utile anche ricorrere a più di un metodo per i pericoli chiave: se la matrice ha indicato un rischio al limite dell’accettabilità, si può ricalcolare indipendentemente il punteggio oppure valutare con un grafico; se ogni metodo conferma che va bene, abbiamo maggiore certezza. Quando i risultati dei metodi divergono, occorre analizzarne le ragioni (forse le categorie nella matrice erano state scelte male, oppure il punteggio ha distorto il quadro?) ed eventualmente adottare una conclusione più prudente.
  • Tipo di macchina e scelta del metodo: Per macchine semplici (ad es. una piccola pressa, un trapano a colonna) di norma basta una semplice matrice del rischio o persino una checklist dei pericoli con valutazioni descrittive. Per macchine prototipali, uniche – dove non esistono schemi consolidati di protezione – è meglio applicare un ventaglio più ampio di metodi: la matrice per identificare i problemi generali, il punteggio per ordinare le priorità e i grafici per gli aspetti in cui occorre progettare il sistema di sicurezza. Le macchine di serie (prodotte in un elevato numero di esemplari) spesso dispongono già di analisi consolidate: in questo caso conviene attenersi a un metodo coerente (ad es. in tutta l’azienda usiamo un’unica scala di punteggio), così che le valutazioni successive siano confrontabili. Le linee tecnologiche (in cui si integrano molte macchine) possono invece richiedere un’analisi suddivisa: prima la valutazione del rischio a livello di ciascuna macchina separatamente, e poi in aggiunta l’analisi del rischio dell’intero sistema integrato (considerando, ad es., i rischi legati al trasferimento di pezzi tra macchine, alle collisioni tra robot, ai guasti a cascata). Quest’ultima viene spesso svolta sotto forma di workshop HAZOP oppure semplicemente come un’ulteriore matrice del rischio per gli scenari globali.

    • In sintesi, combinare i metodi è la migliore prassi, perché ogni metodo offre un punto di vista leggermente diverso. La matrice o il grafico possono mostrare il quadro generale e i requisiti minimi, mentre il punteggio o l’analisi quantitativa possono precisare i dettagli e supportare le decisioni economiche (dove conviene maggiormente investire in sicurezza). È importante mantenere coerenza nella documentazione – annotando chiaramente con quale metodo è stato valutato un determinato pericolo e perché è stato scelto proprio quello. In questo modo l’auditor della valutazione di conformità (ad es. l’organismo notificato che verifica la documentazione CE) vedrà che l’analisi è stata svolta in modo competente e completo, in linea con lo spirito delle norme e con le buone pratiche ingegneristiche.

    L’analisi del rischio è il cuore del processo di valutazione della conformità della macchina, obbligatoria secondo la Direttiva Macchine/Regolamento Macchine UE e le norme armonizzate. Consente ai progettisti di identificare i pericoli, stimare i rischi associati e adottare misure per ridurre il rischio prima ancora che si verifichi un infortunio.

    Non esiste un’unica “migliore” metodologia: ognuna ha i propri punti di forza e di debolezza. Per questo la competenza dell’ingegnere della sicurezza sta nello scegliere lo strumento più adatto al compito: a volte basta una matrice semplice, altre serve uno scoring dettagliato o un’analisi SIL. Spesso i risultati migliori arrivano da una combinazione di metodi, in cui l’uno integra l’altro. Per esempio, possiamo partire da un’identificazione qualitativa dei pericoli, poi valutare in modo quantitativo (a punteggio) quelli più importanti e, per gli aspetti legati al sistema di comando, utilizzare i grafici previsti dalle norme – così non ci sfuggirà nessun elemento.

    Infine, ricordiamolo: l’obiettivo non è compilare una tabella o un grafico fine a sé stesso, ma migliorare concretamente la sicurezza. L’analisi dei rischi è un processo iterativo e creativo. Invita a porsi domande del tipo “cosa succede se…?” e a cercare soluzioni che eliminino i pericoli alla fonte. I metodi descritti qui sono strumenti che aiutano a strutturare queste attività. Nell’applicarli, atteniamoci ai principi delle norme (ISO 12100 e correlate) e alla buona pratica ingegneristica, coinvolgendo inoltre nel processo più punti di vista (progettisti, operatori, manutenzione, sicurezza sul lavoro). Un’analisi dei rischi condotta in questo modo sarà affidabile, completa ed efficace, e si tradurrà in una macchina sicura con marcatura CE e nella tranquillità sia del costruttore sia dell’utilizzatore finale.

    Oceń post

    ISO/TR 14121-2 – come si valuta il rischio nella pratica

    ISO/TR 14121-2 è una guida che descrive metodi pratici di stima del rischio. Integra l’approccio basato sul processo dell’ISO 12100, ma non impone un’unica tecnica obbligatoria.

    Per prima cosa si definiscono l’ambito e le limitazioni della macchina, quindi si identificano i pericoli in tutte le fasi del ciclo di vita. Successivamente si analizza e si stima il rischio, se ne valuta l’accettabilità e si attua la riduzione del rischio in modo iterativo fino a raggiungere un livello accettabile.

    Per ciascun pericolo si considerano gli scenari di infortunio, le relative cause, la probabilità di accadimento e la gravità delle conseguenze. Il risultato della stima deve consentire di decidere se sia necessaria una riduzione del rischio e di quale entità.

    La matrice del rischio è una tabella che combina le categorie di probabilità dell’evento (colonne) con le categorie di gravità delle conseguenze (righe), ottenendo un livello di rischio (ad es. basso/medio/alto). Nella pratica è fondamentale che il team definisca congiuntamente il significato delle categorie, per limitare la soggettività.

    Il rischio stimato viene confrontato con i criteri di accettabilità adottati per stabilire se è tollerabile o se richiede interventi. La riduzione del rischio viene condotta secondo la gerarchia della ISO 12100: soluzioni intrinsecamente sicure, misure tecniche di protezione e, infine, misure organizzative e dispositivi di protezione individuale; successivamente si valuta il rischio residuo.

    Condividi: LinkedIn Facebook