L’ispezione comincia quasi sempre da cose ordinarie: targhe, manuali, dichiarazione CE, fascicolo tecnico. Poi cambia tono. L’ispettore chiede come è stata validata la funzione che arresta un asse quando un riparo si apre, oppure come viene controllata la posizione che impedisce un riavvio pericoloso. E lì la stanza si fa più silenziosa.
I numeri dei controlli di mercato richiamati dal MIMIT e rilanciati da PuntoSicuro bastano a togliere ogni illusione: a Grosseto sono stati sequestrati oltre 48.000 articoli e a Palermo oltre 200.000 per non conformità di sicurezza. La vigilanza esiste, e quando arriva non si ferma alla carta.
La carta basta fino a un certo punto
Nel perimetro italiano pesa ancora il D.Lgs. 17/2010, che ha recepito la Direttiva 2006/42/CE. Ma il punto pratico è meno burocratico di quanto molti uffici tecnici raccontino a sé stessi: il costruttore che immette sul mercato una macchina non conforme porta addosso la responsabilità della scelta progettuale, della valutazione dei rischi e della coerenza fra quanto dichiara e quanto la macchina fa davvero.
Ambiente&Sicurezza lo ha ricordato più volte, e la giurisprudenza non ha alleggerito il quadro. La Cassazione civile, con la sentenza 25890/2022, ha riportato al centro una regola semplice: il produttore deve poter difendere la propria soluzione tecnica davanti a un rischio prevedibile. Se il pericolo era governabile con un’architettura diversa, con più diagnostica o con un limite d’uso scritto meglio, la conformità documentale non chiude la discussione.
È qui che il componente di feedback cambia faccia. Un encoder, un trasduttore lineare, un sensore assoluto possono sembrare pezzi di misura. Ma se dal loro segnale dipendono l’arresto, il rallentamento, il consenso al movimento o la verifica di una posizione sicura, entrano nella catena di sicurezza. E smettono di essere accessori neutri.
Davvero basta che il segnale “arrivi” al PLC? No. Bisogna chiedersi cosa succede quando quel segnale si degrada, si blocca, perde riferimento, subisce un disturbo EMC, restituisce un valore plausibile ma falso, oppure riparte dopo un reset in una condizione che il software interpreta male. Sono difetti poco spettacolari. Però sono quelli che si vedono nei verbali seri.
Cosa guarda l’ispettore
Un ispettore che conosce le macchine non cerca soltanto il marchio, cerca la coerenza. Guarda la valutazione dei rischi e la confronta con schemi elettrici, logiche software, cablaggi, istruzioni e prove di validazione. Se trova un rischio di schiacciamento dichiarato come mitigato da controllo posizione, vorrà vedere dove nasce quel segnale, come viene controllato e quale reazione è prevista al guasto.
INAIL, nei suoi materiali tecnici, richiama da tempo due riferimenti che qui contano parecchio: EN ISO 13849-1 per le parti dei sistemi di comando legate alla sicurezza e CEI EN 62061 per i sistemi elettrici, elettronici ed elettronici programmabili. Phoenix Contact lo traduce in linguaggio da reparto: prima si determina la prestazione richiesta, poi si dimostra che l’architettura reale la raggiunge. Il contrario è un collage di documenti.
Per questo l’ispettore non si lascia impressionare da definizioni vaghe. “Sensore presente”, “feedback attivo”, “allarme in caso di anomalia” non bastano. Chiederà se il feedback è a canale singolo o ridondante, quale copertura diagnostica c’è, come vengono trattati i guasti pericolosi, se esiste una plausibility check, come si gestisce la perdita di zero, che cosa succede all’accensione e quale stato la macchina assume in caso di dato incoerente.
Un caso tipico? L’encoder usato senza troppi scrupoli sia per il controllo processo sia per una funzione che ha ricadute sulla sicurezza. Finché la linea gira, sembra tutto in ordine. Poi un errore di parametrizzazione, una schermatura mediocre, un accoppiamento meccanico che slitta o un tempo di scansione stretto mette in crisi la logica. Il segnale continua a sembrare “buono” e proprio per questo inganna.
Chi sta sul campo lo sa: molti problemi non nascono nel componente, nascono nell’integrazione. È il punto in cui i reparti parlano lingue diverse. Il progettista elettrico pensa al dato, il softwareista alla variabile, il meccanico all’albero, il qualità alla dichiarazione. La macchina, invece, somma tutto.
Cosa dovrebbe guardare il progettista
Prima dell’audit, e prima ancora del collaudo, il progettista dovrebbe fare un lavoro meno elegante ma più utile: trattare il feedback di posizione come parte della funzione di sicurezza ogni volta che da lì dipende l’evitare un danno. Significa assegnare un PLr o un SIL, verificare l’architettura, mettere a terra la diagnostica, definire i guasti plausibili e provare la reazione della macchina reale. Non della macchina immaginata nello schema.
Dal 20 gennaio 2027 il Regolamento macchine (UE) 2023/1230 sostituirà la Direttiva 2006/42/CE. Automazione Plus ha riassunto bene il cambio di passo: l’attenzione entra più a fondo nei sistemi digitali e lega safety e cybersecurity. Tradotto senza giri di parole: se un dato di posizione passa da elettronica configurabile, rete industriale, software aggiornabile o parametri modificabili, l’integrità di quel dato smette di essere un tema solo informatico.
Perché un valore corrotto, ritardato o inizializzato male può tenere aperto un consenso al movimento, impedire un arresto o far credere al controllo che una posizione sicura sia stata raggiunta quando non è vero. Eppure molte analisi dei rischi trattano ancora questi scenari come eccezioni da ufficio IT. Non regge più.
C’è poi un punto secco, spesso trascurato: il perimetro d’uso dichiarato dal componente. Nelle famiglie di encoder rotativi, sensori assoluti, trasduttori lineari e dispositivi di controllo per automazione industriale documentate dal catalogo di www.elap.it, il nodo non è il nome del protocollo, ma ciò che il dispositivo garantisce, come lo garantisce e che cosa resta fuori campo.
Se il costruttore della macchina usa quel componente dentro una funzione di sicurezza oltre il perimetro documentato, la coperta si accorcia in fretta. La difesa tecnica allora passa da dettagli poco glamour: limiti ambientali, istruzioni di montaggio, compatibilità elettrica, versioni firmware, gestione dei parametri, prove di guasto, criteri con cui il software riconosce un dato congelato o un valore implausibile. Roba che in riunione annoia. In contenzioso pesa.
Per questo la distinzione fra “componente affidabile” e “componente idoneo a quella funzione” non è sofistica. È il confine fra una macchina che può essere difesa e una macchina che spera di non essere guardata troppo da vicino.
Cinque domande prima di firmare
Qui si gioca la parte meno appariscente e più scomoda. Prima della messa sul mercato, il costruttore dovrebbe riuscire a rispondere senza esitazioni a queste domande:
- Encoder: il dispositivo di feedback che influenza arresto, limitazione o riavvio è stato classificato come parte della funzione di sicurezza, con prestazione richiesta definita, oppure è stato trattato come semplice sensore di processo?
- Segnali: il dato resta affidabile nei guasti plausibili – perdita alimentazione, cortocircuito, disturbo EMC, slittamento meccanico, perdita di riferimento, riavvio – e la macchina va in stato sicuro quando il segnale diventa dubbio?
- Diagnostica: il sistema intercetta valori congelati, plausibili ma errati, mismatch fra canali, ritardi di rete, parametri alterati o inizializzazioni incoerenti, oppure si limita a controllare che “qualcosa” arrivi?
- Documentazione: nel fascicolo tecnico ci sono calcoli, schemi, prove di validazione, limiti dichiarati del componente e istruzioni coerenti con l’uso reale, o restano formule generiche che non spiegano come il rischio è stato davvero governato?
- Integrazione safety: la verifica è stata fatta sulla macchina installata, con software rilasciato, cablaggi, masse, tempi di scansione e condizioni ambientali previste, oppure solo su banco e in condizioni pulite?
La differenza fra conformità documentale e sicurezza reale si vede qui. Quando il feedback di posizione entra nelle decisioni che evitano il danno, non è più soltanto elettronica: diventa prova tecnica della responsabilità del costruttore, oppure il suo punto debole.
