Protezione contro l’avviamento inatteso (ISO 14118) – analisi dei sistemi di sezionamento dell’energia

Perché questo tema è importante oggi

La protezione contro l’avviamento inatteso oggi non è un dettaglio esecutivo da rinviare alla fine del progetto. In pratica, la decisione su come isolare e dissipare l’energia e su come confermare lo stato sicuro durante i cambi formato, la pulizia, la rimozione degli inceppamenti e gli interventi di assistenza influisce contemporaneamente sulla sicurezza delle persone, sull’architettura del sistema di comando, sulle modalità di accettazione della macchina e sulle responsabilità del costruttore o dell’integratore. Se questo tema viene trattato soltanto come una questione di “interruttore generale” o di semplice arresto dell’azionamento, il progetto di solito deve essere rivisto: emerge la necessità di valvole aggiuntive, dispositivi di blocco, punti di isolamento, modifiche alle sequenze di comando e correzioni della documentazione tecnica. Non si tratta di modifiche economicamente neutre. Nella maggior parte dei casi significano uno slittamento della messa in servizio, una controversia sull’ambito della fornitura e maggiori difficoltà nel giustificare le misure di protezione adottate durante la valutazione di conformità.

Il motivo è semplice: l’avviamento inatteso raramente deriva da un solo errore. Di norma è la conseguenza di un presupposto progettuale errato, cioè che l’arresto del movimento equivalga all’eliminazione del pericolo. In realtà, in molte macchine il problema resta legato all’energia residua, al ripristino automatico dell’alimentazione, alla discesa di elementi per effetto della gravità, al riavvio dopo l’azzeramento di un errore oppure all’intervento da più sorgenti di comando indipendenti. Per il team di progettazione questo significa dover distinguere tre domande che nella pratica vengono spesso confuse: che cosa deve essere arrestato, che cosa deve essere isolato e che cosa deve essere mantenuto in stato sicuro per tutto il tempo in cui una persona si trova nella zona pericolosa. È proprio qui che si prendono decisioni che in seguito determinano il costo del quadro elettrico, della pneumatica, dell’idraulica, delle procedure di assistenza e della validazione.

Il criterio decisionale più utile in questa fase è il seguente: una volta che una persona è entrata nella zona pericolosa, esiste una qualsiasi via attraverso la quale possa generarsi un movimento pericoloso senza una sua azione consapevole e al di fuori del suo controllo? Se la risposta non è chiaramente negativa, il solo arresto funzionale non è sufficiente e occorre analizzare l’isolamento dell’energia e la protezione contro il suo ripristino involontario. Conviene valutarlo non sulla base di dichiarazioni, ma di indicatori progettuali osservabili: il numero di sorgenti di energia che richiedono isolamento, il tempo necessario per raggiungere lo stato sicuro, il modo in cui si conferma l’assenza di energia, il numero di interventi dell’operatore eseguiti fuori dal modo produttivo e il numero di punti in cui il personale è tentato di “aggirare” la protezione perché la procedura corretta è troppo lenta o troppo gravosa. Quest’ultimo aspetto è già un naturale punto di contatto con il tema della manomissione dei ripari e degli aggiramenti, perché un isolamento dell’energia scelto in modo errato molto spesso non elimina il problema, ma lo trasferisce nell’esercizio quotidiano.

Un buon esempio è una postazione con riparo mobile nella quale, all’apertura del riparo, l’azionamento viene arrestato, ma un cilindro verticale resta in pressione e il sistema, alla chiusura del riparo, ritorna al ciclo automatico. Formalmente l’operatore “non dovrebbe” entrare più a fondo nella zona, ma in realtà rimuoverà il pezzo, pulirà un sensore oppure correggerà la posizione della pinza. Se in uno scenario del genere non sono stati previsti l’isolamento e la dissipazione controllata dell’energia, nonché le condizioni per il riavvio, il pericolo non si manifesta durante la normale produzione, ma proprio durante interventi brevi e ripetitivi. Dal punto di vista progettuale, questo è il momento in cui occorre decidere se il problema si risolve con un sistema di isolamento dell’energia correttamente progettato oppure se il tema rientra nell’ambito dei dispositivi di interblocco con bloccaggio e della limitazione delle possibilità di aggiramento. Se le ipotesi d’uso non sono chiare, la risposta non deriva dall’intuizione, ma da una rigorosa valutazione del rischio condotta in modo pratico, con l’identificazione dei pericoli in base alla ISO 12100 e tenendo conto delle attività realmente svolte sulla macchina.

Solo in questo contesto i requisiti della ISO 14118 acquistano un significato chiaro. La norma non sostituisce l’analisi del rischio e non fornisce uno schema universale unico per l’isolamento dell’energia; organizza invece il modo di ragionare sulla prevenzione dell’avviamento inatteso negli stati di funzionamento e di intervento prevedibili. In pratica va letta insieme alla valutazione del rischio condotta secondo l’approccio adottato nella ISO/TR 14121-2 e, quando entra in gioco il tema dei ripari e degli interblocchi, insieme ai requisiti relativi alla limitazione della manomissione. Questo ha rilievo anche sotto il profilo delle responsabilità: se la macchina viene fornita come insieme, linea oppure quasi-macchina destinata all’integrazione, i confini di responsabilità per le funzioni di isolamento dell’energia devono essere descritti con sufficiente precisione da evitare vuoti tra i diversi fornitori. Proprio per questo motivo il tema richiede decisioni adesso, non dopo il montaggio: aggiungere tardivamente un “isolamento sicuro” a un concetto già definito costa quasi sempre di più che definirlo correttamente fin dall’inizio.

Dove più spesso aumentano costi o rischi

Nei progetti relativi alla protezione contro l’avviamento inatteso, il costo raramente aumenta perché qualcuno “ha aggiunto troppa sicurezza”. Molto più spesso il problema nasce da una domanda iniziale impostata male: se sia necessario isolare l’energia, quali fonti energetiche debbano essere effettivamente dissipate, chi esegua l’intervento e in quale stato la macchina debba rimanere dopo l’operazione. Se questi presupposti non sono definiti con precisione, il team progetta una soluzione apparentemente semplice e poi è costretto a rimetterci mano dopo le prove di accettazione, a seguito delle osservazioni dell’utilizzatore oppure dopo l’analisi di uno scenario incidentale. È in quel momento che compaiono le correzioni più costose: modifica dell’architettura di comando, rifacimento della pneumatica o dell’idraulica, integrazione degli armadi, nuove procedure e nuova definizione delle responsabilità tra costruttore della macchina, integratore e utilizzatore finale. Il criterio pratico di valutazione, in questo caso, è chiaro: se il team non è in grado di descrivere quale stato energetico della macchina sia richiesto per una specifica attività di intervento, allora la decisione sul modo di isolare l’energia è ancora prematura.

Una seconda fonte di costo è l’equivalenza tra isolamento dell’energia e semplice arresto del movimento. È un errore particolarmente frequente dove sono presenti più di un fluido o energia accumulata: pressione residua, caduta di elementi per effetto della gravità, moto per inerzia, molle, accumulatori idraulici, azionamenti che mantengono la posizione. In questi sistemi, lo “spegnimento” non coincide necessariamente con una condizione sicura per chi esegue attrezzaggio, pulizia o rimozione di un inceppamento. La conseguenza progettuale è semplice: se la funzione di isolamento non comprende la dissipazione dell’energia residua o il mantenimento controllato di una condizione sicura, bisogna mettere in conto non solo la modifica dell’impianto, ma anche la responsabilità derivante da limitazioni d’uso definite in modo non corretto. In pratica, prima di approvare il concetto conviene valutare tre aspetti: se dopo l’isolamento rimane energia in grado di generare movimento, se l’operatore può verificarlo senza smontare i ripari e se il ripristino dell’alimentazione ricrea automaticamente la possibilità di avviamento.

Un esempio tipico riguarda una stazione con azionamenti pneumatici nella quale si è assunto che una valvola centrale di intercettazione fosse una soluzione sufficiente. Sullo schema sembra corretto, ma durante l’esercizio emerge che una parte dei cilindri mantiene la posizione grazie alla pressione intrappolata localmente e che, al ripristino dell’alimentazione, il sistema torna allo stato di pronto più rapidamente di quanto previsto dalla sequenza operativa del personale. A quel punto il costo non deriva soltanto dall’aggiunta di valvole di scarico o di blocchi meccanici. Si aggiungono il fermo dell’accettazione, l’aggiornamento della documentazione, la nuova verifica della logica di comando e, talvolta, anche la modifica delle istruzioni e della formazione. È proprio questo il momento in cui il tema esce dalla semplice scelta di un dispositivo di intercettazione ed entra nell’ambito della valutazione del rischio secondo la ISO 12100: occorre riferirsi alle attività reali, agli errori umani prevedibili e alle modalità di accesso alla zona pericolosa. Nei sistemi idraulici si aggiunge inoltre la domanda se la dissipazione dell’energia non peggiori la stabilità del carico; in tal caso la decisione progettuale deve essere letta insieme ai requisiti per la guida sicura e il mantenimento della pressione nel sistema.

Solo a questo punto il riferimento alla ISO 14118 mette ordine nella decisione, ma non la sostituisce. La norma indica la direzione: prevenire l’avviamento inatteso mediante un corretto isolamento, dissipazione o controllo dell’energia, nonché tramite misure organizzative e tecniche adeguate agli interventi prevedibili. Se però il confronto all’interno del team riguarda il fatto che una determinata attività sia “manutenzione a macchina arrestata” oppure un intervento che richiede già il completo isolamento dell’energia, questo è il segnale che bisogna tornare alla metodologia di identificazione dei pericoli secondo la norma ISO 12100 e di valutazione del rischio applicata nella pratica, invece di cercare la risposta nel solo schema. Quando invece la soluzione si basa sull’apertura di un riparo e sul blocco dell’accesso, emerge rapidamente un secondo problema: se la progettazione non induca ad aggirare la protezione, perché la procedura di isolamento è troppo lenta o troppo gravosa. A quel punto il tema si collega naturalmente anche alla limitazione dell’elusione dei dispositivi di sicurezza. Per il responsabile di progetto, quindi, il criterio decisionale più importante non è “quale apparecchio utilizzare”, ma “se il metodo di isolamento scelto garantisca una condizione sicura ripetibile e verificabile per quella specifica attività e per quello specifico accesso”. Se la risposta non è univoca, il costo aumenterà più avanti, di solito in una fase meno controllabile del progetto.

Come affrontare il tema nella pratica

Nella pratica, il tema della protezione contro l’avviamento inatteso non parte dalla scelta di un sezionatore, di una valvola o di una procedura di fermo, ma dalla definizione ordinata delle decisioni su quali interventi saranno realmente eseguiti sulla macchina e in quale stato tecnico essa dovrà trovarsi in quel momento. Questa scelta incide direttamente sull’architettura del sistema, sull’estensione della documentazione, sui tempi di avviamento e sulle responsabilità del costruttore o dell’integratore. Se il team di progetto adotta un’ipotesi troppo permissiva e tratta un’attività di assistenza come una normale operazione con macchina arrestata, il rischio riemergerà in fase di collaudo, di validazione oppure già dopo la messa in esercizio della macchina. Se invece l’impostazione è eccessivamente restrittiva, i costi aumenteranno per effetto dell’ampliamento dei circuiti di isolamento, dell’aggiunta di apparecchiature, della maggiore complessità delle sequenze e della riduzione della disponibilità tecnica. Per questo il criterio pratico di decisione dovrebbe essere uno solo: per quella specifica attività è possibile raggiungere e confermare uno stato sicuro che elimini la possibilità di movimento involontario e di rilascio incontrollato di energia?

Ciò significa che il responsabile o il proprietario del prodotto dovrebbe imporre al team una descrizione delle attività non nel linguaggio delle funzioni della macchina, ma in quello dell’accesso e delle energie presenti. Occorre sapere chi entra nella zona, che cosa tocca, quali ripari apre, quali azionamenti possono compiere un movimento residuo, dove rimangono pressione, sostegno gravitazionale oppure energia accumulata in elementi elastici. Solo su questa base si può stabilire se sia sufficiente isolare un solo mezzo energetico oppure se sia necessario isolare più fonti insieme alla dissipazione dell’energia e alla protezione contro il riavvio. A questo punto il tema confluisce naturalmente nella valutazione del rischio secondo la ISO 12100: se la discussione riguarda il confine tra “arresto per intervento” e “attività che richiede isolamento completo”, non si tratta più di un problema del solo dispositivo attuatore, ma della classificazione del pericolo, dell’uso prevedibile e dei comportamenti dell’utilizzatore erroneamente presunti.

Un buon esempio è una postazione con azionamento elettrico e cilindri pneumatici, sulla quale l’operatore interviene periodicamente per rimuovere un inceppamento del materiale. Formalmente la macchina può essere arrestata, ma questo non determina ancora la sicurezza dell’intervento. Se dopo l’arresto rimane una pressione in grado di spostare un organo di lavoro oppure l’azionamento può essere riattivato dall’automazione, il solo comando “stop” non risolve il problema. La decisione progettuale dovrebbe allora rispondere non solo alla domanda su come isolare l’energia, ma anche su come l’utilizzatore potrà riconoscere che lo stato sicuro è stato effettivamente raggiunto e mantenuto. Se la procedura richiesta è lunga, scomoda o poco chiara, aumenta il rischio di aggiramento delle protezioni e quindi emerge un ulteriore problema progettuale legato alla vulnerabilità alla manomissione. Questo di solito costa più di una corretta individuazione della situazione all’inizio, perché le modifiche successive non riguardano più un singolo apparecchio, ma la logica di comando, i ripari, le istruzioni e la validazione.

• se l’isolamento comprende tutte le energie che possono provocare un movimento o il rilascio del pericolo,
• se lo stato sicuro è visibile oppure comunque verificabile in modo univoco,
• se il riavvio richiede un’azione consapevole e non avviene automaticamente al ripristino dell’alimentazione.

Solo dopo aver messo ordine in questi aspetti ha senso passare ai riferimenti normativi. Quando la misura di protezione consiste nell’attuazione di una funzione tramite il sistema di comando, e non esclusivamente mediante l’isolamento meccanico dell’energia, il tema rientra nell’ambito dei requisiti relativi alle funzioni di sicurezza e alla loro affidabilità. Quando invece diventa decisivo stabilire se un determinato intervento richieda il sezionamento completo oppure se sia ammissibile un altro metodo di protezione, è necessario tornare a una identificazione dei pericoli secondo la norma ISO 12100 e a una valutazione del rischio condotte in modo metodico. Nella pratica progettuale non si tratta di mondi separati, ma di strati successivi della stessa decisione. ISO 14118 organizza il modo di ragionare sull’isolamento e sulla prevenzione dell’avviamento inatteso, ma non esonera il team dal dimostrare che la soluzione è adeguata all’attività prevista, resistente agli aggiramenti più comuni e validabile senza lasciare “zone grigie” di responsabilità.

Aspetti da presidiare in fase di implementazione

L’errore più frequente nell’implementazione della protezione contro l’avviamento inatteso consiste nel considerare l’isolamento dell’energia come una semplice scelta di apparecchiatura, quando in realtà si tratta di una decisione che definisce i confini delle responsabilità operative, manutentive e progettuali. Se la soluzione non stabilisce in modo univoco chi, quando e in quale stato della macchina può accedere alla zona pericolosa, anche un sistema di sezionamento tecnicamente corretto non elimina il rischio. Per il progetto, le conseguenze sono di norma onerose: correzioni tardive della documentazione, integrazioni nei quadri elettrici, modifiche alla logica di comando e, alla fine, una contestazione su chi dovesse prevedere la corretta modalità di intervento. Il criterio pratico di valutazione, in questo caso, è semplice: prima di approvare la soluzione bisogna essere in grado di dimostrare, per ogni attività prevista, se l’isolamento elimina realmente la possibilità di generare movimento, di liberare energia o di ripristinare il funzionamento senza un’azione consapevole dell’operatore.

In fase di progettazione sono particolarmente insidiose le soluzioni “quasi sufficienti”, cioè quelle che disconnettono l’alimentazione principale ma lasciano attive fonti di energia ausiliarie, energia accumulata oppure la possibilità di movimento provocato dall’esterno. In pratica, ciò riguarda impianti pneumatici con pressione residua, assi verticali mantenuti da un freno, elementi con inerzia, circuiti di mantenimento e azionamenti che, al ritorno dell’alimentazione, riprendono la sequenza automatica. Se questi fenomeni non vengono individuati fin dall’inizio, il costo non si manifesta solo nell’acquisto di componenti aggiuntivi. Aumentano anche i costi di avviamento e validazione, perché il team deve dimostrare la sicurezza di una soluzione la cui architettura non comprendeva fin dall’origine tutti gli stati limite. Un buon criterio decisionale, qui, non è il numero di sezionatori installati, ma il numero di energie e di modi operativi per i quali il team sa descrivere il percorso verso lo stato sicuro e il modo di confermare che tale stato sia stato effettivamente raggiunto.

Un esempio tipico di criticità pratica è l’intervento di assistenza che, formalmente, non richiede di entrare “in profondità” nella macchina, ma impone l’apertura di un riparo e l’introduzione della mano in un’area dove resta presente un azionamento ausiliario oppure un movimento derivante dalla sequenza di comando. In questi casi, la decisione sul solo isolamento dell’energia si estende rapidamente a due ambiti contigui. In primo luogo, occorre tornare a una valutazione del rischio secondo la ISO 12100 riferita alla specifica attività, perché è questa a stabilire se sia necessario l’isolamento completo di tutte le energie oppure se sia possibile dimostrare una misura di protezione equivalente. In secondo luogo, se gli operatori o la manutenzione aggireranno regolarmente la procedura prevista, il problema cessa di essere soltanto una questione legata alla ISO 14118 ed entra nell’ambito della manomissione dei dispositivi di protezione e delle elusioni. Questo aspetto è importante sotto il profilo della responsabilità: una soluzione che funziona solo se l’utilizzatore si comporta in un modo poco realistico nell’esercizio reale è debole non perché sia non conforme “sulla carta”, ma perché il progetto non ha tenuto conto del comportamento umano prevedibile.

Proprio per questo il riferimento alla ISO 14118 dovrebbe comparire alla fine, come elemento di sistematizzazione delle decisioni, e non come sostituto dell’analisi. Se la domanda chiave è se un determinato intervento richieda il sezionamento completo di tutte le energie, lo sviluppo corretto è una valutazione del rischio secondo la ISO 12100 e, nei casi più complessi, anche il ricorso alle pratiche di stima del rischio descritte nei documenti di supporto. Se invece il problema diventa la vulnerabilità della soluzione a un’elusione intenzionale, il naturale completamento è l’ambito dei dispositivi di interblocco e delle misure contro la manomissione. Per il team di progettazione questo significa una cosa sola: la decisione sul sistema di isolamento deve essere approvata solo quando può essere sostenuta contemporaneamente sul piano tecnico, organizzativo e operativo. In caso contrario, il risparmio iniziale si trasforma molto facilmente in un ritardo del collaudo, in un costo di modifica oppure in una responsabilità difficilmente contestabile a carico del costruttore o dell’integratore.