Come valutare il rischio secondo la ISO 12100: analisi della formula del rischio e dei metodi

Nel 2023, nei Paesi dell’UE, il numero di infortuni mortali sul lavoro è stato pari a 3.298, ossia circa lo 0,1% di tutti gli infortuni denunciati. Rispetto al 2013 il valore è diminuito di circa 110 (da 3.408), anche se rispetto al 2022 si è registrato un lieve aumento (+12 casi). In media, ogni anno si contano 1,63 vittime mortali ogni 100.000 lavoratori: nonostante i progressi nella sicurezza sul lavoro, gli infortuni mortali continuano a verificarsi, soprattutto in relazione all’uso di macchine e attrezzature, il che richiede azioni preventive continuative.

Come valutare il rischio secondo ISO 12100: la valutazione del rischio è un elemento fondamentale per garantire la sicurezza delle macchine e delle postazioni di lavoro. Secondo l’Organizzazione Internazionale per la Normazione, la norma di riferimento in questo ambito è ISO 12100:2010 (“Sicurezza del macchinario – Principi generali di progettazione – Valutazione del rischio e riduzione del rischio”), che definisce i concetti fondamentali e il processo di identificazione dei pericoli e di stima del rischio. A sua volta, ISO/TR 14121-2 è un rapporto tecnico (Technical Report) che contiene indicazioni pratiche ed esempi di metodi di valutazione del rischio delle macchine in conformità a ISO 12100. In questo elaborato “scomponiamo” la formula del rischio della norma ISO 12100 – discutendone ogni componente – e analizziamo in che modo i singoli metodi presentati in ISO/TR 14121-2 tengano conto (oppure semplifichino) tali fattori. Presentiamo inoltre le differenze rilevanti tra gli approcci dei due documenti, illustrate con dati statistici e conclusioni tratte dalla pratica.

Come valutare il rischio secondo ISO 12100: Formula del rischio secondo ISO 12100 (componenti del rischio)

La norma ISO 12100 definisce il rischio come la combinazione della probabilità che si verifichi un danno e della gravità (severità) di tale danno. In altre parole, il rischio associato a un determinato pericolo dipende, da un lato, dalla gravità della possibile lesione o del danno e, dall’altro, dalla probabilità che tale danno si verifichi. Questa definizione generale può essere resa più specifica scomponendo la “probabilità che si verifichi un danno” in fattori più concreti. Secondo ISO 12100, tale probabilità comprende quattro elementi: frequenza e durata dell’esposizione (F), probabilità che si verifichi un evento pericoloso (P1), possibilità di evitare o limitare il danno (A) ed eventualmente la specifica durata dell’esposizione (T) se non è già inclusa nella frequenza. Nella pratica, la durata viene spesso combinata con la frequenza di esposizione, trattandole congiuntamente come un unico fattore. Di seguito descriviamo ciascuno di questi elementi del rischio secondo la norma e la letteratura di riferimento:

• Gravità del danno (S, severity) – la gravità prevista delle conseguenze di un infortunio o di un pericolo. Si determina considerando l’esito peggiore possibile per la salute: da lesioni lievi (reversibili) fino a danni gravi e irreversibili o alla morte. Le categorie di gravità possono essere definite in modo descrittivo (ad es. S1 – lesione lieve, S2 – grave danno permanente o morte). Quanto maggiore è la gravità potenziale delle conseguenze, tanto più elevato è il rischio: anche con una probabilità bassa, un evento grave può richiedere misure preventive.
• Frequenza e durata dell’esposizione (F, frequency of exposure) – quanto spesso e per quanto tempo una persona è esposta a un determinato pericolo. Una presenza più frequente e prolungata nella zona pericolosa aumenta la probabilità che si verifichi un incidente. Ad esempio, F1 può indicare un’esposizione rara o di breve durata, mentre F2 un’esposizione frequente o continua/prolungata. Nelle valutazioni del rischio si adotta, ad esempio, una scala da “molto raramente” a “continuamente”, spesso con una soglia quantitativa (ad es. alcune volte all’ora, al giorno, al mese, all’anno, ecc.). Se necessario, si considera anche T (durata dell’esposizione): ad esempio, una permanenza continua e prolungata nella zona di pericolo è più rischiosa di un accesso breve e occasionale, anche a parità di frequenza.
• Probabilità del verificarsi di un evento pericoloso (P1, probability of occurrence) – stima quanto sia probabile che si verifichi uno specifico evento pericoloso che porta a un danno, tenendo conto delle condizioni di funzionamento della macchina. Include, tra l’altro, l’affidabilità della macchina e dei suoi componenti, la probabilità di guasto o avaria che conduca a una situazione pericolosa, nonché la possibilità di errore umano che generi l’evento. Spesso viene espressa in modo qualitativo, ad esempio come molto probabile, possibile, poco probabile, trascurabile, ecc. Per esempio, in una scala a cinque livelli: 1 – trascurabile (praticamente non accade), 3 – possibile, 5 – probabilità molto elevata. Quanto più spesso possono verificarsi situazioni di guasto o pericolose (ad es. guasti frequenti, assenza di protezioni, elevata incidenza di errori degli operatori), tanto più alto è il fattore P1.
• Possibilità di evitare o limitare il danno (A, nota anche come P o Q) – indica in che misura la persona esposta ha la possibilità di evitare l’infortunio o ridurne le conseguenze quando l’evento pericoloso si è già verificato. In altre parole: se l’hazard (pericolo) si concretizza, il lavoratore può evitare la lesione (ad es. spostarsi rapidamente, arrestare la macchina, mettersi al riparo) oppure i mezzi di protezione possono limitarne gli effetti (ad es. una barriera fotoelettrica arresta la macchina prima che si produca un danno grave). La categoria A viene talvolta definita in modo binario: ad es. A1 (P1) – evitabile (in condizioni favorevoli l’operatore può reagire, allontanarsi o il danno sarà lieve), A2 (P2) – quasi impossibile da evitare (l’evento è improvviso, inevitabile o non esiste una possibilità fisica di fuga). Se la possibilità di evitare è nulla (ad es. in caso di esplosione, trascinamento improvviso da parte di una macchina ad alta velocità), il rischio è molto più elevato rispetto a una situazione in cui l’operatore può percepire il pericolo e arretrare.

È importante sottolineare che ISO 12100 non impone scale specifiche né valori numerici per i parametri sopra indicati: richiede soltanto che nella valutazione del rischio si considerino almeno i quattro aspetti (S, F, P1, A) e che, sulla loro base, si stimi il livello di rischio. La norma lascia ai progettisti libertà nella scelta dei metodi, così da adattarli alle caratteristiche della macchina, purché la valutazione sia sistematica e tenga conto di tutti i fattori rilevanti. Il rischio R può quindi essere espresso come una funzione: R = f(S, F, P1, A). Nei casi semplici viene spesso modellato in modo qualitativo (ad es. descrittivo o tabellare) e, in alcuni metodi, anche a punteggio (numerico), assegnando ranghi/valori ai singoli fattori e sommando o moltiplicando tali valori (come vedremo più avanti).

Vale la pena notare, a margine, che la norma ISO 12100:2010 ha consolidato standard precedenti (EN ISO 12100-1, 12100-2 e ISO 14121-1) senza modifiche sostanziali per quanto riguarda l’approccio alla valutazione del rischio. Ciò significa che i fattori di rischio descritti sopra e il processo di analisi dei pericoli, in sostanza, non sono cambiati: hanno semplicemente assunto una forma più chiara in un’unica norma armonizzata. Tuttavia, ISO 12100 non fornisce una ricetta pronta su come calcolare o classificare esattamente il rischio: da qui la necessità di linee guida aggiuntive che illustrino diverse metodologie di stima del rischio conformi ai requisiti della norma. Indicazioni di questo tipo sono contenute in ISO/TR 14121-2:2007/2012, che costituisce una raccolta di strumenti ed esempi tra cui scegliere per chi valuta il rischio delle macchine.

Metodi di valutazione del rischio in ISO/TR 14121-2

Il rapporto tecnico ISO/TR 14121-2 presenta diversi metodi e strumenti per la stima del rischio sulle macchine, in linea con l’approccio di ISO 12100. Tra questi vengono descritti, tra l’altro, la metodologia a punteggio (additiva/moltiplicativa), la matrice del rischio, il diagramma (grafo) del rischio e i metodi ibridi che combinano caratteristiche di più approcci. Di seguito vengono illustrati questi metodi, indicando in che modo considerano (o semplificano) i fattori di rischio descritti in precedenza.

Metodo a punteggio (additivo o moltiplicativo)

Uno dei metodi presentati è l’approccio a punteggio, nel quale a tutti gli elementi del rischio vengono assegnati specifici valori numerici, che vengono poi sommati o moltiplicati per ottenere un indice di rischio risultante. Ad esempio, si possono definire scale di punteggio per S (ad es. da 1 a 4 in funzione della gravità), per F (frequenza di esposizione), per P1 (probabilità dell’evento) ecc., e quindi calcolare R = S + F + P1 + A (somma) oppure R = S * F * P1 * A (moltiplicazione).

Nella pratica si utilizza spesso una formula mista, ad esempio sommando alcuni fattori e moltiplicandone altri, per rifletterne correttamente il peso. Per esempio, nelle linee guida giapponesi (citate da ISO/TR 14121-2) veniva suggerito di sommare S + (F + P1), cioè la gravità più la valutazione combinata di esposizione e probabilità dell’evento. Questo metodo consente di includere tutti gli elementi rilevanti nel calcolo e fornisce un risultato quantitativo, confrontabile tra diversi pericoli.

Vantaggi: Consente di strutturare la valutazione: ogni criterio viene considerato separatamente, riducendo il rischio di trascurare qualche aspetto. Il risultato numerico permette di confrontare i rischi tra macchine o scenari diversi su una scala uniforme.

Criticità: La definizione dei pesi e delle scale di punteggio può essere soggettiva: ad esempio, se una frequenza “elevata” valga 3 punti o 4, oppure come riscalare una moltiplicazione affinché i valori risultino sensati; può quindi richiedere taratura. Il solo valore numerico può essere difficile da interpretare senza soglie di accettabilità definite (ad es. cosa significa 15 punti: è un “rischio alto” che richiede interventi o un rischio medio?). Per questo spesso si predispone una tabella di valutazione o una legenda che traduce la somma dei punti in categorie qualitative di rischio (ad es. 0–3 pt = rischio basso, 4–7 = medio, >8 = alto – è solo un esempio). Anche il modo di aggregare influisce sul risultato: la moltiplicazione fa sì che un valore molto basso di uno dei fattori possa ridurre sensibilmente l’esito (il che può essere desiderabile: ad esempio, una probabilità di evento trascurabile riduce il rischio quasi a zero anche con gravità elevata), mentre la somma garantisce che ogni fattore aggiunga qualcosa al rischio (ad esempio, con la somma anche una probabilità minima di evento con conseguenze catastrofiche produce comunque un risultato diverso da zero). La scelta tra somma e prodotto dovrebbe quindi riflettere la filosofia di valutazione: se si ritiene che un evento molto raro con esito tragico rappresenti comunque un rischio da controllare (la somma dà un valore non nullo), oppure che lo si possa praticamente trascurare (il prodotto dà un valore vicino a zero). ISO/TR 14121-2 presenta entrambi gli approcci come strumenti opzionali.

Matrice del rischio (risk matrix)

La matrice del rischio è uno strumento molto diffuso, descritto anch’esso in ISO/TR 14121-2. La matrice è una tabella bidimensionale, in cui su un asse si riporta la gravità delle conseguenze (S) e sull’altro la probabilità complessiva che si verifichi un danno (P). Le singole celle della tabella, cioè le combinazioni tra livello di S e livello di P, vengono associate a categorie di rischio (ad es. basso, medio, alto), spesso indicate con colori (verde, giallo, rosso) per maggiore chiarezza. Per esempio, una scala di gravità a quattro livelli (da lesione lieve a mortale) e una scala di probabilità a cinque livelli (da molto raro a frequente) generano una matrice 4×5, come nell’esempio seguente tratto dalla pratica (i colori indicano il livello di rischio: verde = accettabile, rosso = alto).

Nella matrice ipotetica sopra (4×5) si vede, ad esempio, che la combinazione di probabilità media (C) e esito mortale (4) porta a una valutazione di Rischio alto. Questo tipo di matrice serve soprattutto alla visualizzazione del rischio: consente di individuare rapidamente quali pericoli ricadono nell’area rossa (non accettabile, che richiede interventi) e quali in quella verde (accettabile).

Vantaggi della matrice: È semplice e chiara: ricorda un “semaforo” (verde–giallo–rosso) comprensibile anche a persone non tecniche. Questo facilita la comunicazione del rischio a direzione e lavoratori: si vede subito dove si concentrano i pericoli maggiori. La matrice consente anche una rapida classificazione delle priorità: permette di stabilire quali rischi sono bassi (e quindi eventualmente tollerabili) e quali sono alti e richiedono una riduzione immediata.

Limiti e semplificazioni: La matrice del rischio, per sua natura, semplifica l’analisi, perché comprime tutti i fattori F, P1, A in un’unica asse “probabilità”. La stima di tale probabilità diventa quindi il risultato di una valutazione soggettiva di frequenza, possibilità che l’evento si verifichi e possibilità di evitare il danno. Di conseguenza, valutatori diversi possono interpretare in modo differente, ad esempio, cosa significhi “poco probabile” – e per questo i risultati non sono sempre pienamente ripetibili. La standardizzazione delle categorie in azienda (ad es. definizioni precise di cosa significhi B: poco probabile – ad es. “<1 evento ogni 10 anni”) può ridurre la discrezionalità, ma una certa soggettività rimane sempre. Un altro svantaggio è la risoluzione limitata: la matrice raggruppa il rischio in intervalli piuttosto ampi. Due pericoli diversi possono ottenere la stessa valutazione (ad es. rischio medio), anche se uno è al limite inferiore della categoria e l’altro al limite superiore. La matrice non evidenzia queste differenze: per analisi più dettagliate o per classificare molti rischi, questo metodo può risultare troppo generico.

Nonostante i limiti sopra indicati, le matrici sono molto diffuse, anche al di fuori dell’industria delle macchine (ad es. nella salute e sicurezza sul lavoro in generale, nei progetti, nella finanza), grazie alla loro semplicità. ISO/TR 14121-2 ne raccomanda l’uso con cautela, assicurando una definizione chiara delle categorie ed eventualmente un affinamento quando servono più dettagli. Vale la pena sottolineare che la norma ISO 12100 non si oppone all’uso delle matrici, purché si ricordi che secondo la norma, prima di classificare il rischio nella matrice, occorre riflettere su tutti e quattro i fattori (S, F, P1, A). In altre parole, anche se la matrice opera esplicitamente solo su due dimensioni (S e P generale), l’analisi qualitativa dovrebbe precedere la compilazione della matrice – così da valutare, ad esempio, se un valore basso di P derivi da una scarsa esposizione oppure da un’elevata possibilità di fuga, ecc.

Grafico del rischio (risk graph)

Il grafico del rischio è un metodo grafico che rappresenta il processo di valutazione del rischio come un albero decisionale o uno schema logico. Si utilizza, tra l’altro, nelle norme relative alla sicurezza dei sistemi di comando (ad es. EN ISO 13849-1, IEC 62061) per determinare il livello di protezione richiesto (PL o SIL) sulla base della stima del rischio. Il grafico consiste nel rispondere in sequenza a domande relative ai fattori di rischio: in genere Gravità (S), Frequenza/esposizione (F), Possibilità di evitamento (A/P) – spesso sotto forma di scelte binarie (ad es. S1 o S2? F1 o F2? P1 o P2?), che guidano l’utente lungo i rami dell’albero fino al risultato finale.

Ad esempio, uno schema semplificato (ispirato a ISO 13849-1) funziona così: se S è lieve (S1) vai a sinistra, se grave (S2) vai a destra; poi la domanda su F: raro/breve (F1) oppure frequente/prolungato (F2); quindi su P (Avoidance): la possibilità di evitare è P1 (possibile) oppure P2 (impossibile). Alla fine, in base al percorso seguito (combinazione di S, F, P), viene assegnato un certo livello di rischio oppure direttamente il livello di protezione richiesto (ad es. PLr a, b, c… per i sistemi di comando).

Vantaggi: I grafici del rischio offrono una procedura strutturata e ripetibile: ponendo le stesse domande nello stesso ordine, si riduce la discrezionalità (ad es. due ingegneri che rispondono “sì/no” alle stesse domande di solito arrivano allo stesso risultato). Questo metodo è anche rapido per gli utenti esperti e si concentra sui fattori chiave senza frammentare eccessivamente la scala. È particolarmente efficace in applicazioni specifiche, ad es. nella valutazione del rischio legato alle funzioni di sicurezza (come in ISO 13849-1) – dove i pericoli sono tipici e l’obiettivo è scegliere un adeguato livello di protezione tecnica.

Limitazioni: Il grafico (soprattutto con categorie binarie) è piuttosto grossolano. Ad esempio, adottare solo due livelli di S (lieve vs grave) esclude gli scenari “intermedi” – a volte è sufficiente (quando conta soprattutto distinguere se è possibile la morte oppure no), ma in altri casi può risultare eccessivamente semplificato. Allo stesso modo, F1/F2 e P1/P2 rappresentano il numero minimo di categorie; nella realtà esistono spesso molte più sfumature. I grafici, inoltre, sono di norma specialistici: uno schema costruito per una specifica norma/settore può non essere adatto a un altro. In più, il grafico del rischio non considera esplicitamente il fattore P1 (probabilità dell’evento) come passaggio separato: spesso si assume uno scenario “tipico”, con una probabilità “tipica” per quella applicazione. In altre parole, il grafico mette l’accento su frequenza di esposizione e possibilità di evitare, trattando il verificarsi dell’evento come in qualche modo intrinseco alle condizioni reali (ad es. in ISO 13849 si assume in modo conservativo che l’evento possa sempre verificarsi se la persona è esposta – da qui l’assenza di un ramo separato che chieda “il guasto è probabile?”). Questo semplifica l’analisi (meno domande), ma implica una certa conservatività: il rischio può risultare elevato anche se la macchina è molto affidabile, perché non lo si chiede. In pratica, se disponiamo di dati su una probabilità dell’evento molto bassa (ad es. un guasto una volta ogni un milione di ore), il grafico del rischio non sfrutterà questa informazione – sarebbe più opportuno ricorrere a metodi a punteggio, per includere numericamente questo fattore P1.

ISO/TR 14121-2 presenta i grafici del rischio come uno dei metodi, fornendo esempi tratti da norme correlate. Nell’applicare questo metodo, occorre essere consapevoli delle sue assunzioni e semplificazioni: è eccellente per la verifica dei requisiti di sicurezza (ad es. quale PL/SIL deve avere una protezione) e per la classificazione preliminare del rischio, ma nella valutazione complessiva del rischio di una macchina può essere integrato con altre analisi, ad esempio quando il tasso di guasto della macchina è atipico.

Metodi ibridi (combinati)

I metodi ibridi rappresentano un tentativo di combinare i vantaggi dell’approccio a punteggio e di quello grafico. Un esempio di questo approccio è riportato in ISO/TR 14121-2 e richiamato dalla norma IEC 62061 (relativa alla sicurezza dei sistemi di comando). In termini generali, un metodo ibrido può, ad esempio, sommare una parte dei fattori per ottenere una “classe di probabilità”, e poi metterla in relazione con la gravità sul modello di una matrice o di un grafico. È quanto avviene, ad esempio, in IEC 62061: si valutano in sequenza Fr (frequency), Pr (probability of occurrence), Av (avoidance) – a ciascuno si assegnano valori 1–5, li si somma ottenendo una certa classe di rischio CL (talvolta questa somma è chiamata class of likelihood). Successivamente, su una griglia bidimensionale (simile a una matrice) si incrocia il livello CL ottenuto con la categoria di gravità S, per assegnare il SIL richiesto del livello di protezione. In questo modo, il metodo ibrido unisce una stima quantitativa delle componenti (come nell’approccio a punteggio) con un risultato qualitativo di immediata lettura (come in una matrice/grafico).

Il vantaggio di questa soluzione è una maggiore granularità nella valutazione della probabilità (le componenti Fr, Pr, Av sono considerate separatamente), mantenendo al contempo una presentazione semplice del risultato finale tramite categorie. Un metodo di questo tipo è utilizzato, ad esempio, dalla norma ISO 13849, in cui le risposte alle domande S, F, P (evitamento) conducono al Performance Level (PLr) richiesto per il sistema di sicurezza – lo si può interpretare come una scala a cinque livelli del rischio residuo che deve essere raggiunta mediante misure adeguate. È importante notare che, in quel contesto, i livelli di rischio sono direttamente collegati alla affidabilità richiesta delle misure di protezione (PL a – e). È un concetto interessante: rischio elevato → dobbiamo applicare un sistema di protezione molto affidabile (PL e), rischio basso → è sufficiente una misura meno complessa (PL a).

I metodi ibridi sono spesso impiegati nella valutazione del rischio legato ai sistemi di comando delle macchine, ma la loro logica può essere adattata anche più in generale: offrono la possibilità di una valutazione quantitativa della riduzione del rischio ottenuta con misure specifiche. Per esempio, se inizialmente il rischio richiedeva PL d (che corrispondeva a un certo livello di probabilità dell’evento) e applichiamo una protezione che soddisfa solo PL c, sappiamo che il rischio diminuirà di un certo numero di “livelli” – tuttavia non fino a zero, quindi potrebbe richiedere ulteriori interventi. Questo ci porta a un altro aspetto importante: la valutazione del rischio e le differenze nell’approccio ai criteri di accettabilità.

Come valutare il rischio secondo ISO 12100: confronto degli approcci e conclusioni

ISO 12100 vs ISO/TR 14121-2 – ruolo della norma e delle linee guida. La differenza fondamentale tra ISO 12100 e ISO/TR 14121-2 riguarda la loro natura: ISO 12100 è una norma di requisiti (normativa) – definisce che cosa occorre fare (condurre l’analisi dei pericoli, stimare il rischio considerando S, F, P1, A, ecc., e poi ridurre il rischio), mentre ISO/TR 14121-2 è un documento tecnico con linee guida – mostra come lo si può fare attraverso esempi. La norma 12100 lascia ampio margine di scelta, mentre il rapporto 14121-2 fornisce strumenti che aiutano a soddisfare la norma. Non c’è contraddizione – piuttosto un completamento. Nella pratica, molte organizzazioni sviluppano procedure interne di valutazione del rischio basate su queste linee guida, adattate alle specificità delle loro macchine e al livello di rischio accettabile.

Considerazione dei fattori di rischio. ISO 12100 indica in modo inequivocabile che ogni valutazione del rischio deve tenere conto di due componenti: la gravità del danno (S) e la probabilità che si verifichi (P), dove la probabilità dovrebbe includere almeno l’esposizione, la possibilità che l’evento accada e la possibilità di evitarlo. I metodi descritti in ISO/TR 14121-2 differiscono soprattutto per come incorporano queste componenti. Il metodo a punteggio scompone esplicitamente P in fattori e li somma/li moltiplica, quindi rispecchia in modo più fedele la formula completa (a fronte di un maggiore impegno nella valutazione). La matrice del rischio, invece, accorpa i fattori F, P1, A in un unico P generalizzato: questo semplifica la valutazione, ma può rendere meno evidente quale aspetto incida maggiormente sul rischio. Per esempio, la matrice può restituire lo stesso risultato di “rischio medio” per due situazioni: (a) un evento molto raro con conseguenze catastrofiche e (b) un evento frequente con conseguenze lievi, anche se la natura di questi rischi è diversa. Per questo, con la matrice si raccomanda di annotare sempre separatamente le assunzioni, spiegando perché un determinato scenario ricade in una certa categoria di P (ad es. “probabilità bassa per via di un’esposizione sporadica”, ecc.). Il grafico del rischio, invece, non esplicita P1, ma impone un’ipotesi conservativa in merito alla probabilità di guasto: può essere una scelta prudente, anche se talvolta può sovrastimare il rischio quando la macchina è effettivamente molto affidabile.

Livello di dettaglio vs. semplicità. Da quanto sopra emerge il classico dilemma: i metodi più complessi (a punteggio, ibridi) offrono una visione più accurata e più quantitativa del rischio, permettono di cogliere le sfumature, ma richiedono più dati e sono più difficili da comunicare. I metodi più semplici (matrice, risk graph) sono facili da usare e da comprendere, ma a scapito del dettaglio: possono portare a una certa “mediazione” dei risultati. ISO 12100 non privilegia nessuno di questi metodi: li ammette tutti, a condizione che supportino una valutazione affidabile. Nella pratica si usa spesso una combinazione: ad esempio, si effettua una prima valutazione con la matrice per individuare le aree a rischio elevato e, successivamente, per quei pericoli critici si svolge un’analisi più dettagliata (anche solo semi-quantitativa) per progettare le misure di sicurezza ottimali.

Criteri di accettazione del rischio. Sia ISO 12100 sia ISO/TR 14121-2 sottolineano che una fase chiave è stabilire se il rischio è stato ridotto a un livello accettabile (la cosiddetta valutazione del rischio – risk evaluation – che segue la stima). È interessante notare che nessuno di questi documenti definisce in modo puntuale cosa costituisca un “livello tollerabile”: questo è lasciato alle organizzazioni e, eventualmente, alla normativa o a norme di prodotto/specifiche. Negli esempi di matrici, ISO/TR 14121-2 in genere assume che la categoria di rischio più bassa (ad es. “Negligible”/rischio “trascurabile”) sia accettabile senza ulteriori azioni. In altre parole, la combinazione dei valori più bassi dei fattori (ad es. lesione lieve, probabilità praticamente nulla) indica una situazione in cui non è richiesta un’ulteriore riduzione. I livelli superiori (basso, medio, alto) possono richiedere un impiego crescente di misure di protezione in modo proporzionato.

Nella pratica è stata osservata una certa lacuna: ISO/TR 14121-2 non fornisce un metodo rigoroso per calcolare l’effetto delle misure di protezione applicate sulla riduzione del rischio. In termini semplici: sappiamo che ripari, interruttori di sicurezza, barriere fotoelettriche ecc. riducono il rischio (perché diminuiscono la probabilità o la gravità), ma nella scala della matrice o dei punteggi spesso lo si valuta come una nuova stima qualitativa dopo l’implementazione delle protezioni, senza un coefficiente di conversione formale. Questo può generare dubbi: ad esempio, se prima dell’installazione di un riparo la probabilità dell’evento era stata valutata come C (possibile), a quale categoria scenderà dopo l’installazione del riparo? Qui risultano utili norme come la citata ISO 13849-1, in cui al rischio iniziale si associa l’affidabilità richiesta della misura (PLr) e il raggiungimento di tale PL dimostra la riduzione del rischio a un livello accettabile. Nell’impostazione di ISO/TR 14121-2, invece, occorre una valutazione esperta: ad esempio, affermare che “l’adozione del riparo probabilmente ridurrà la frequenza di esposizione da frequente a rara, quindi si passa dalla categoria E alla C nella matrice”. È un approccio corretto, ma richiede esperienza.

Riepilogo. L’analisi della formula del rischio secondo ISO 12100 mette in evidenza quanti fattori concorrono a determinare il rischio – non solo la gravità delle conseguenze, più immediata da intuire, ma anche elementi meno evidenti come la frequenza di esposizione al pericolo o la possibilità di evitare l’infortunio. ISO/TR 14121-2 mostra inoltre che esistono molte modalità di stima e classificazione del rischio: dai metodi a punteggio più rigorosi fino a matrici di facile utilizzo. Ognuna ha il proprio ambito di applicazione – spesso vengono impiegate in modo complementare. L’aspetto fondamentale è non perdere di vista nessuno degli elementi rilevanti: un metodo semplice non esonera dal ragionare sui dettagli (ad es. perché valutiamo la probabilità come bassa), mentre un metodo complesso deve portare a una decisione chiara (se il rischio è accettabile oppure che cosa occorre ancora migliorare). In definitiva, l’obiettivo è sempre la riduzione del rischio a un livello accettabile – in linea con la cosiddetta regola ALARP (as low as reasonably practicable, ridurre il rischio al livello più basso ragionevolmente praticabile) e con i requisiti delle direttive, ad es. la Direttiva Macchine 2006/42/CE. Finché in fabbrica e nei cantieri continueranno a verificarsi infortuni (e le statistiche mostrano che, nella sola Polonia, ogni anno decine di persone perdono la vita durante l’uso delle macchine e migliaia riportano lesioni), una valutazione del rischio accurata e l’implementazione di adeguate misure di protezione resteranno un obbligo fondamentale per produttori e utilizzatori di macchine. Grazie a norme come ISO 12100 e alle indicazioni di ISO 14121-2, oggi disponiamo di strumenti collaudati per prevedere, valutare e ridurre questo rischio prima che si verifichi un evento avverso.