Perché ogni comando deve valere più del suo aspetto.
Questo articolo lo avrei dovuto scrivere parecchi anni fa ma per un motivo o per un altro ho sempre tergiversato. Parliamo del 2023. Ma ancora oggi è attuale, e adesso capirai il motivo.
Parliamo di pulsantiere. Nel 2023 (ma forse anche da prima) abbiamo visto ad Ecomondo un nostro concorrente con una pulsantiera veramente bella. Linee pulite, colori sgargianti, si integrava proprio bene con il camion. Così lo faccio vedere ad uno dei miei tecnici, Michele. Lo guarda e mi dice: “guarda che secondo me non è a norma quella pulsantiera.”
Li per lì rimango un po’ stranito. Mi fido di Michele, ci mancherebbe, e so anche che qualche nostro concorrente non sempre fa le cose seguendo le regole… ma non loro. Chiaramente non farò mai nomi, ma non volevo crederci. Così gli ho chiesto di fare una ricerca.
Quello che è venuto fuori non è stato proprio rassicurante.
Ma facciamo un passo indietro. Cerchiamo di capire quale normativa regolamenta la sicurezza dei sistemi di comando.
ISO 13849-1
Per i comandi che azionano movimenti pericolosi come quelli di sistemi di compattazione, voltabidoni e movimentazione vasca, la normativa di riferimento si chiama ISO 13849. Questa norma si concentra sulla progettazione, l’implementazione e la validazione di tali sistemi, garantendo che siano in grado di ridurre i rischi associati a situazioni pericolose durante il funzionamento delle macchine.
È divisa in due parti principali. La prima tratta dei principi generali per la progettazione dei sistemi di controllo relativi alla sicurezza, compresi i requisiti per la determinazione del Performance Level e la scelta dei componenti. La seconda invece fornisce le linee guida per la validazione di tali sistemi, assicurando che siano conformi ai requisiti di sicurezza.
Noi ci concentreremo sulla prima, quindi la ISO 13849-1 che, come detto, cerca di determinare la capacità di un sistema di svolgere le sue funzioni in modo sicuro anche in caso di guasto di uno o più componenti. In pratica nasce per evitare che un semplice malfunzionamento possa trasformarsi in un pericolo per l’operatore o per chiunque si trovi vicino al macchinario.
Questa norma definisce un approccio strutturato che include:
- la valutazione del rischio legato alla funzione che si vuole controllare,
- la determinazione del livello minimo di sicurezza richiesto (PLr),
- la progettazione dell’architettura del sistema di comando (categoria),
- il calcolo del livello di prestazione raggiunto (PL),
- la verifica che il PL ottenuto sia almeno pari al PLr richiesto.
Il cuore della norma è il concetto di Performance Level (PL), una scala che misura l’affidabilità del sistema in caso di guasto. I livelli vanno da PL a (affidabilità bassa) a PL e (massima affidabilità). A seconda della pericolosità della funzione controllata, è necessario raggiungere un livello PL più o meno alto. Ad esempio, per il comando di un voltabidoni dove c’è il rischio di schiacciamento, si richiede almeno un PL c.
Per calcolare il PL è necessario disporre di tre parametri fondamentali:
MTTFd (Mean Time To Dangerous Failure). È il tempo medio prima che un componente si guasti e diventi pericoloso. Si basa su una stima statistica che rappresenta la durata media, in anni o ore di funzionamento, prima che un determinato dispositivo (come un pulsante, un sensore o un relè) si rompa in modo da compromettere la sicurezza della macchina. Il parametro viene classificato in tre categorie:
- basso (<3 anni),
- medio (3-10 anni)
- alto (>10 anni).
È importante precisare che il MTTFd non indica quando un componente si romperà effettivamente, ma serve per calcolare il livello complessivo di rischio e per stabilire se, combinato con altri parametri, si può raggiungere il livello di sicurezza richiesto per l’applicazione.
DC (Diagnostic Coverage). È la capacità del sistema di rilevare eventuali guasti. In pratica, il DC rappresenta la percentuale di guasti pericolosi che un sistema è in grado di individuare grazie a meccanismi di controllo e autodiagnostica. Se un componente si rompe, il sistema deve essere in grado di accorgersene, segnalarlo o mettersi in stato di sicurezza. Ad esempio, in un sistema a doppio canale (sistema che utilizza due circuiti indipendenti per eseguire una stessa funzione di sicurezza), se uno dei due non funziona correttamente, l’altro deve poter rilevare e impedire l’attivazione di una funzione pericolosa. Questo parametro viene classificato in 4 fasce:
- Nessuna diagnostica: DC < 60%
- Bassa copertura diagnostica: 60% ≤ DC < 90%
- Media copertura diagnostica: 90% ≤ DC < 99%
- Alta copertura diagnostica: 99% ≤ DC ≤ 100%
Maggiore è la copertura diagnostica, maggiore sarà il PL raggiungibile. È quindi fondamentale che il sistema includa circuiti di controllo, feedback, controlli di coerenza o altri strumenti di verifica attiva del corretto funzionamento dei componenti.
CCF (Common Cause Failure). È la protezione contro i guasti dovuti a cause comuni. Il CCF misura la probabilità che due o più componenti indipendenti, utilizzati per aumentare la sicurezza (ad esempio in un sistema ridondante), si guastino contemporaneamente per lo stesso motivo. Queste cause possono essere il calore, l’umidità, vibrazioni, errori di installazione o componenti difettosi provenienti dallo stesso lotto. La norma ISO 13849-1 richiede di applicare misure specifiche per ridurre i rischi da CCF, come l’uso di componenti diversi tra loro, l’isolamento fisico dei canali, o test incrociati. Per verificare l’adeguatezza delle contromisure, la norma propone un sistema a punteggio: per essere conformi, bisogna raggiungere almeno 65 punti. Senza un’adeguata protezione dai guasti comuni, la ridondanza di per sé non è sufficiente a garantire un livello di sicurezza accettabile.
In definitiva, solo combinando questi 3 dati (MTTFd, DC e CCF) con l’architettura utilizzata si può determinare il livello di sicurezza di un sistema. Purtroppo non tutte le pulsantiere in vendita, pur bellissime esteticamente, forniscono questi dati. Quindi non è possibile dimostrare il livello di sicurezza funzionale del sistema in cui vengono installate.
Ecco qui il vero rischio: utilizzare dispositivi che “funzionano” ma che non possono essere certificati secondo la ISO 13849-1. E questo, in caso di incidente o controllo, potrebbe diventare un problema serio, sia tecnico che legale.
UN ESEMPIO CHIARISCE TUTTO
Il problema infatti non è che questi componenti non funzionano, ma che non esiste nulla che certifica per quanto lo possono fare. Ma facciamo un esempio molto pratico per comprendere meglio tutto lo spiegone fatto sopra.
Prendiamo come esempio il pulsante che solleva il voltabidoni.
Io compro questo pulsante dal mio fornitore TuttoPulsanti SPA e lui mi assicura che posso premerlo 1 milione di volte prima che possa rompersi e diventare pericoloso. Monto questo pulsante su una mia attrezzatura che so che, in attività, solleverà circa 100 bidoni al giorno, per 200 giorni l’anno. In totale fa: 100 pigiate × 200 giorni = 20.000 pigiate all’anno
Se io divido questo numero per il dato che mi ha garantito il mio fornitore arrivo ad una durata di circa 50 anni.
1.000.000 ÷ 20.000 = 50 anni
Benissimo, direi un dato più che buono! Questo numero si chiama MTTFd (tempo medio al guasto pericoloso), ed è uno dei tre dati richiesti dalla norma.
E gli altri due? Come li troviamo?
Partiamo dal DC (Diagnostic Coverage). Serve un controllo interno che verifica se il pulsante si rompe. E quindi, come lo faccio questo controllo? Come già detto potrebbe essere un test automatico ciclico che verifica il corretto funzionamento del pulsante, oppure un sistema di confronto tra comandi attesi e ricevuti (cross-check), o ancora un feedback elettronico che conferma l’attivazione del comando. Se qualcosa non torna, il sistema si blocca, oppure invia un segnale di errore. Questo tipo di diagnostica può essere fornito dal produttore del componente, poi sta a noi valutare se la diagnostica disponibile è sufficiente oppure se servono altri controlli esterni o circuiti di verifica.
Ora manca solo il CF (Common Cause Failure). E qua la palla passa completamente a me costruttore. Sono io che devo adottare tutte le misure che servono a ridurre i rischi che due o più componenti di sicurezza si guastino contemporaneamente a causa della stessa origine, come vibrazioni, sovratensioni, umidità o errori di installazione. Per farlo, di solito, si usano componenti dissimili, la separazione fisica dei cablaggi o l’aggiunta di test incrociati.
Quindi a questo punto, una volta calcolato il MTTFd capito qual è il DC e trovato il modo per alzare il punteggio di CF, riuscirò a calcolare il grado di Performance Level riuscendo a capire se il componente è adatto al mio sistema.
Se però la pulsantiera non ti fornisce anche solo uno di questi dati, non possiamo fare tutti i calcoli necessari e non possiamo sapere se l’attrezzatura sarà conforme.
TORNIAMO ALLA NOSTRA PULSANTIERA
Avevamo contattato il produttore per avere tutti i dati necessari per montare queste pulsantiere sulle nostre attrezzature. La risposta?
“Diversi vostri competitor usano le nostre pulsantiere ma non so come facciano in merito alla direttiva macchine.”
In pratica il produttore non poteva fornire un valore attendibile di MTTFd, perché le pulsantiere non erano progettate per applicazioni legate alla sicurezza funzionale. Inoltre non aveva ancora sviluppato o testato le pulsantiere per garantire una copertura diagnostica né una valutazione dei guasti da causa comune (niente DC e CCF). Non erano quindi in grado di certificare alcun PL, e di conseguenza non potevano garantire la conformità alla Direttiva Macchine e dimostrare il livello di sicurezza funzionale.
Poi ci hanno anche detto che forse, nel 2025, sarebbe uscito un modello certificato. Ma al momento, queste pulsantiere non sono certificate ISO 13849 e non garantiscono alcun livello di sicurezza funzionale.
NOI ABBIAMO SCELTO
Questo scambio di mail ci è bastato per scegliere consapevolmente di non seguire la moda.
Non ci interessa essere i primi a montare l’ultima pulsantiera di tendenza. Ci interessa che, quando l’operatore preme un tasto per alzare un bidone o far partire il compattatore, lo possa fare in sicurezza. E questa sicurezza inizia da noi, ma a nostra volta abbiamo bisogno di fornitori che ci possano garantire tutto il supporto necessario:
- Sistemi testati
- Componenti con MTTFd e DC noti
- Calcolo del PL documentabile
Tutto il resto è solo estetica. E se un giorno qualcosa va storto, l’estetica non ti toglie dai guai.
Non è tuo compito, come cliente, valutare questi aspetti tecnici. Il tuo compito è scegliere fornitori che se ne occupino al posto tuo, con serietà e responsabilità. Fornitori che, come noi, credono che la sicurezza non sia un dettaglio da inserire a fine progetto, ma una condizione da garantire fin dal primo schizzo su carta. La differenza tra un bel camion e un buon camion, sta tutta lì: nel valore delle scelte che non si vedono. E noi, quelle scelte, vogliamo continuare a farle bene.
Ecco perché, anche dopo anni, era giusto scrivere questo articolo.
Anche perché, ho scoperto in questo momento, non sono pochi i nostri concorrenti
che comprano questo tipo di pulsantiera NON CERTIFICATE!
Mentre noi l’abbiamo trovata: bella e certificata (clicca qui se vuoi vedere il certificato della pulsantiera)
Stay Safe
Andrea
