Misure di protezione rischi secondari ISO 12100
Base di conoscenze Conoscenza

ISO 12100: quando le misure di protezione generano nuovi rischi

MB
Marcin Bakota Compliance Expert
21 February 2026
13 min di lettura
Panoramica IA

L’articolo analizza un errore progettuale critico: considerare le misure di protezione come soluzione definitiva, quando invece possono generare esse stesse nuovi rischi. Principali rischi delle “soluzioni sicure”: Nuova meccanica: aggiungere un riparo significa aggiungere massa ed energia. Un riparo fissato male crea nuove zone di schiacciamento o d’impatto. Illusione di protezione: barriere fotoelettriche installate senza misurare il tempo reale di arresto (ISO 13855) danno un falso senso di sicurezza: l’operatore può raggiungere la zona pericolosa prima che la macchina si fermi. Bypass integrato (aggiramento): protezioni che peggiorano l’ergonomia di lavoro spingono gli operatori a bloccarle o escluderle. È un difetto di progettazione, non un “errore umano”.

Le decisioni più rischiose in materia di sicurezza delle macchine sono quelle prese con la convinzione che il tema sia stato chiuso una volta per tutte.

Durante il progetto emerge un pericolo. Qualcuno propone una soluzione rapida: aggiungiamo una protezione, installiamo una barriera fotoelettrica, realizziamo una funzione di sicurezza nel sistema di comando. Sembra tutto risolto. Nella documentazione compare la misura di protezione, nella tabella di valutazione del rischio il valore scende, e si va avanti.

Poi però succede che:

  • una protezione pesante genera una nuova zona di schiacciamento,
  • il dispositivo di interblocco rende difficoltoso l’accesso alle regolazioni e induce a bypassarlo,
  • il dispositivo di protezione è stato posizionato senza una reale verifica del tempo di arresto,
  • un elemento aggiuntivo nella catena di sicurezza ha modificato la dinamica del sistema in modo non analizzato da nessuno.

Non sono errori dovuti a scarsa competenza.
Sono errori dovuti alla semplificazione.

Una misura di protezione è una modifica progettuale. Cambia la geometria della macchina, la fruibilità degli spazi, il modo di operare, la sequenza delle azioni in caso di anomalia, il comportamento del sistema di azionamento e la risposta del comando. Ogni modifica di questo tipo incide sulla struttura dei pericoli: a volte in modo evidente, a volte in modo molto sottile.

Nella pratica industriale si osserva spesso un ragionamento lineare: c’era il pericolo A → abbiamo aggiunto una protezione → il pericolo A è “sparito”. In realtà il sistema non si comporta in modo lineare. Un intervento in un punto può spostare il rischio in altre aree, meno immediate da individuare.

Ed è proprio in questa zona grigia — quando una protezione, invece di stabilizzare l’insieme, introduce nuove criticità tecniche — che serve un’analisi ingegneristica lucida e rigorosa.

Il primo errore che si commette dopo aver “aggiunto una protezione” è dare per scontato che la modifica sia locale. Che riguardi un solo pericolo e non influenzi il resto della macchina.

In realtà ogni misura di protezione interviene sulla costruzione della macchina oppure sul suo sistema di comando. E questo significa che interviene su:

  • la cinematica,
  • l’accessibilità dell’area di lavoro,
  • i tempi di risposta,
  • le modalità di esecuzione delle attività di regolazione e manutenzione,
  • le modalità di gestione delle anomalie.

Se queste modifiche non vengono valutate nel loro insieme, si crea molto facilmente un effetto di “spostamento del rischio”.

1. La protezione come sorgente di nuovi pericoli meccanici

L’esempio più classico è una protezione meccanica. La sua funzione è evidente: limitare l’accesso alla zona pericolosa. E spesso lo fa in modo efficace.

Il problema nasce quando la progettazione si concentra solo sulla separazione, trascurando le caratteristiche fisiche della protezione stessa.

Una protezione a battente pesante introduce massa aggiuntiva.
La massa aggiuntiva significa energia potenziale.
L’energia potenziale significa possibilità di caduta, schiacciamento, urto.

Se non sono stati analizzati il percorso di movimento della protezione, le modalità di supporto e la stabilità in posizione aperta e chiusa, il mezzo di protezione diventa un nuovo elemento mobile del sistema. E genera proprie zone di pericolo.

Nella pratica si presenta in modo banale: l’operatore apre la protezione, la regge con una mano, con l’altra entra all’interno, qualcuno la urta di lato. Oppure, dopo un anno di utilizzo, la cerniera inizia ad avere gioco. A quel punto la protezione smette di essere una “barriera” e diventa un elemento dinamico.

Non si tratta di un caso marginale.
È la conseguenza del fatto, spesso trascurato, che un mezzo di protezione può essere esso stesso una sorgente di energia e di movimento.

2. Dispositivo di protezione senza verifica dei parametri di sicurezza

Nella pratica si vede molto spesso questo schema: si installa una barriera fotoelettrica, la si collega al controllore di sicurezza, si imposta la distanza “secondo catalogo” e si considera il tema chiuso.

Ma il semplice impiego di un dispositivo di protezione non è una prova di riduzione efficace del rischio.

Per parlare di efficacia reale, devono essere rispettate almeno tre condizioni tecniche.

a) Verifica del tempo di arresto reale

La distanza tra il dispositivo di protezione e la zona pericolosa non può essere stabilita “per esperienza”. Deve derivare da calcoli conformi alla ISO 13855, che si basano su:

  • il tempo di arresto reale della macchina (inclusa l’inerzia del sistema),
  • il tempo di risposta del dispositivo di protezione e della catena di comando,
  • al tempo di reazione dell’operatore,
  • alle costanti geometriche legate al tipo di dispositivo.

Parola chiave: reale.

Il tempo di arresto va determinato tramite misurazione in condizioni rappresentative del caso peggiore: a carico massimo, alla velocità più elevata, considerando le variazioni nel tempo (usura dei componenti di frenatura, tolleranze, temperatura). Non quello di catalogo. Non quello dichiarato. Non quello “tipico”.

Se tale misurazione non è stata eseguita, non esiste evidenza che la distanza di sicurezza sia stata definita correttamente. E senza una distanza corretta non c’è evidenza che il dispositivo di protezione impedisca davvero il raggiungimento della zona pericolosa prima dell’arresto del movimento.

In questa situazione la protezione può risultare corretta dal punto di vista logico, ma inefficace dal punto di vista fisico.

b) Verifica della funzione di sicurezza e del Performance Level

Il secondo elemento è la verifica della funzione di sicurezza secondo ISO 13849-1.

Il dispositivo di protezione è solo un anello della catena. La funzione di sicurezza comprende:

  • il sensore (ad es. una barriera fotoelettrica),
  • la logica (controllore di sicurezza, relè),
  • gli elementi finali di comando/attuazione (contattori, valvole, azionamenti),
  • la struttura architetturale (categoria),
  • i parametri di affidabilità (MTTFd, DC, CCF).

Se non sono stati eseguiti i calcoli del Performance Level e non è stato dimostrato che il PL raggiunto ≥ PLr richiesto dalla valutazione del rischio, formalmente non c’è conferma che la funzione di sicurezza garantisca il livello di riduzione del rischio previsto.

Un errore frequente è dare per scontato: “la barriera ha PL e, quindi siamo a posto”.
Non è la barriera, da sola, a dover soddisfare il livello richiesto.
Deve soddisfarlo l’intera funzione di sicurezza.

Se la catena di arresto include un componente con affidabilità insufficiente, un singolo contattore senza monitoraggio, oppure manca la diagnostica, il PL reale può risultare inferiore a quello richiesto. E a quel punto l’efficacia della misura di protezione resta un’ipotesi, non un fatto dimostrato.

c) Coerenza funzionale — non solo elettrica

Il terzo ambito riguarda l’integrazione della funzione di sicurezza con il processo tecnologico.

Anche una distanza correttamente calcolata e un Performance Level verificato in modo appropriato non garantiscono l’efficacia della misura, se:

  • il reset è possibile da una posizione che consente il rientro nella zona pericolosa,
  • il riavvio avviene automaticamente al rilascio del dispositivo di protezione,
  • non sono stati considerati gli stati transitori (ad es. movimenti residui, inerzia degli assi),
  • non è stato verificato il comportamento in caso di guasto parziale del sistema.

La funzione di sicurezza non deve essere solo “collegata”, ma anche logicamente corretta e verificata sull’intero scenario operativo della macchina.

Se anche uno solo di questi elementi (tempo di arresto, distanza secondo ISO 13855, PL/PLr secondo ISO 13849-1, logica di reset e di riavvio) non è stato verificato con rigore, non abbiamo evidenza di una riduzione del rischio effettivamente conseguita.

E il problema è più profondo.

In queste condizioni non solo non si dimostra l’efficacia della misura di protezione. A questo livello si introducono nuove situazioni pericolose. L’operatore riceve il messaggio che l’area è protetta. Il comportamento cambia: l’avvicinamento è più rapido, la distanza si riduce, la reazione è più decisa. Se però il tempo di arresto reale è maggiore di quello assunto in fase di progetto, si crea una condizione in cui la persona entra nella zona di influenza del pericolo prima che il movimento pericoloso venga arrestato.

Questa è, in termini normativi, una situazione pericolosa: una circostanza in cui una persona è esposta ad almeno un pericolo.

Lo stesso vale per un Performance Level verificato in modo inadeguato: se la funzione di sicurezza non raggiunge il PLr richiesto, in presenza di un guasto singolo o della perdita della diagnostica può verificarsi la perdita della funzione di arresto. In quel caso ci troviamo in una situazione in cui:

  • il pericolo è ancora presente,
  • la persona ne presume la riduzione,
  • ma il sistema non realizza la funzione di sicurezza come previsto.

Non è “documentazione incompleta”.
È una nuova situazione pericolosa introdotta strutturalmente già in fase di progettazione.

3. Quando la protezione cambia il modo di lavorare — e con esso la struttura del rischio

Ogni misura di protezione non modifica solo la geometria della macchina o i parametri di arresto. Modifica anche il modo in cui il lavoro viene svolto.

Proprio in questo punto, molto spesso, si generano nuove situazioni di pericolo: non perché il dispositivo di protezione “non funzioni”, ma perché il progetto non ha previsto come l’impianto verrà effettivamente utilizzato nella pratica.

a) Accesso difficoltoso = interventi improvvisati

Se una protezione rende sensibilmente più difficoltose le operazioni di regolazione, pulizia o cambio formato, l’operatore tende a ridurre le procedure:

  • lascia la protezione parzialmente aperta,
  • manomette o blocca il finecorsa,
  • esegue le attività in presenza di movimenti residui,
  • interviene con arresto non garantito.

Non è un problema di “lavoratore indisciplinato”.
È l’effetto di un progetto che non ha tenuto conto della reale frequenza e della natura concreta di quell’attività.

A questo punto si crea la condizione di rischio: la persona si trova in una zona che, nelle ipotesi di progetto, avrebbe dovuto rimanere inaccessibile durante il movimento, e il sistema non riesce più a imporre condizioni di sicurezza.

La protezione non è stata rimossa.
L’aggiramento è diventato parte integrante del processo.

b) Protezione che destabilizza la sequenza operativa

Ogni funzione di sicurezza introduce condizioni logiche:

  • arresto in caso di apertura/violazione,
  • inibizione dell’avviamento,
  • reset,
  • conferma delle condizioni iniziali.

Se la sequenza di ripristino della marcia è troppo complessa, poco logica o non chiara, aumenta la probabilità di azioni svolte al di fuori dello scenario previsto.

Per esempio:

  • reset eseguito senza controllo visivo dell’area,
  • riavvio in presenza di movimenti residui,
  • intervento in modalità di servizio senza completa disattivazione delle energie.

Ciascuna di queste situazioni costituisce una condizione di pericolo: una persona si trova nell’area di influenza del pericolo senza che siano rispettate le condizioni di sicurezza.

Dal punto di vista della valutazione del rischio, non si tratta di un “errore dell’utilizzatore”.
È l’assenza di un’analisi su come la misura di protezione abbia modificato la dinamica del sistema.

c) Conflitto tra sicurezza ed ergonomia

Se una misura di protezione:

  • riduce la visibilità della zona di lavoro,
  • costringe a posture innaturali,
  • aumenta l’impegno fisico,
  • allunga in modo operativamente rilevante il tempo di ciclo,

allora aumenta la probabilità di comportamenti non desiderati.

E l’aumento della probabilità è uno dei due elementi che definiscono il rischio.

Nella pratica, si presenta così:

Il progetto prevede un accesso sicuro con riparo chiuso.
L’operatore, per vedere il pezzo, si china e infila la mano sotto il bordo inferiore.
La protezione esiste fisicamente.
La condizione di pericolo continua comunque a generarsi.

La protezione non ha eliminato il rischio.
Ne ha cambiato la configurazione.

4. Pensiero lineare vs analisi di sistema

Tutti i casi descritti hanno una causa comune: un approccio lineare alla riduzione del rischio.

Pericolo → misura di protezione → problema risolto.

In realtà, ogni modifica progettuale in un sistema tecnico dovrebbe essere trattata come una nuova configurazione dell’insieme.

Una nuova configurazione comporta:

  • nuove condizioni operative,
  • nuovi punti di accesso,
  • nuove traiettorie di movimento,
  • nuovi scenari di disturbo,
  • nuove situazioni di pericolo.

Se, dopo l’introduzione di una misura di protezione, il progetto non torna alla fase di identificazione dei pericoli, l’analisi resta incompleta — anche quando la documentazione appare formalmente corretta.

Ed è proprio questa la differenza sostanziale tra “avere una protezione” e ottenere una reale riduzione del rischio.

5. Perché le soluzioni intrinsecamente sicure sono più stabili

Osservando con lucidità la struttura tipica degli errori di progettazione, emerge un andamento ricorrente: la maggior parte dei problemi nasce quando la sicurezza viene “aggiunta” a posteriori, invece di essere integrata fin dall’origine.

Le soluzioni progettuali intrinsecamente sicure funzionano in modo diverso rispetto alle misure di protezione. Non si limitano a impedire l’accesso al pericolo: riducono, oppure eliminano, il pericolo stesso alla fonte.

Gli esempi sono immediati:

  • ridurre l’energia cinetica limitando la velocità o la massa,
  • limitare la coppia a un livello sicuro in caso di collisione,
  • ridurre la forza di serraggio,
  • arrotondare gli spigoli invece di schermarli,
  • modificare la geometria per eliminare un punto di schiacciamento,
  • adottare un azionamento con caratteristiche di arresto controllate.

In questi casi il rischio diminuisce perché si riduce l’energia disponibile nella situazione pericolosa, oppure viene meno il meccanismo che ne consente il rilascio.

Si tratta di una riduzione qualitativamente diversa rispetto all’inserimento di una barriera.

Se riduci la velocità, riduci l’energia in ogni scenario.
Se riduci la forza, riduci la gravità del danno potenziale.
Se elimini un punto di schiacciamento nella geometria, viene meno uno specifico meccanismo di generazione del danno.

In molti casi, così facendo non serve “costruire” la sicurezza su logiche di comando aggiuntive, reset e sequenze complesse. Il rischio cala in modo strutturale.

Per questo, tali soluzioni risultano per natura più stabili.

6. Le soluzioni intrinsecamente sicure possono generare nuove situazioni di pericolo?

È possibile. Ma il meccanismo è diverso — e in genere molto meno frequente.

Esempio: una riduzione della velocità o della forza nel processo che porta a un aumento delle perturbazioni (slittamenti, spostamenti del pezzo, inceppamenti più frequenti). Di conseguenza cresce il numero di interventi manuali. E l’aumento degli interventi significa più occasioni in cui l’operatore entra nelle zone di influenza dei pericoli — quindi si generano nuove situazioni pericolose.

Non è un “effetto collaterale” diretto della costruzione.
È l’effetto della variazione della stabilità del processo e della frequenza delle interferenze/interventi.

La differenza, però, è che nelle soluzioni intrinsecamente sicure la modifica riguarda la fonte di energia o la geometria, non il solo accesso. Per questo il numero di nuove situazioni pericolose è di norma inferiore rispetto a quanto accade con misure aggiunte in un secondo momento.

7. Differenza fondamentale

Una misura di protezione dice:
“Il pericolo esiste: limiteremo l’accesso.”

Una soluzione intrinsecamente sicura dice:
“Modificheremo il pericolo, oppure lo elimineremo.”

Il primo approccio impone condizioni.
Il secondo cambia la fisica del sistema.

Per questo, nella pratica di progettazione, la scelta più sicura è partire dalla riduzione dell’energia, dalla modifica della geometria e dall’eliminazione del meccanismo di pericolo; solo dopo — se necessario — si ricorre a misure tecniche e complementari.

Non è una questione di filosofia.
È una questione di stabilità.

8. I nuovi pericoli fanno parte del processo. Non vanno ignorati.

Il problema dei cosiddetti “rischi secondari” è che spesso vengono trattati come qualcosa di marginale: una piccola scomodità introdotta dalla protezione, qualcosa che si può “precisare più avanti”.

Dal punto di vista del metodo di valutazione del rischio, invece, non è un dettaglio.
È un passaggio critico del processo.

Ogni introduzione di una misura di protezione modifica la configurazione del sistema. E una modifica di configurazione significa possibilità di nuove situazioni pericolose.

Se, dopo la riduzione del rischio, non si torna alla fase di identificazione dei pericoli, il processo risulta interrotto. Non è concluso — è lasciato incompleto.

Nella pratica è proprio qui che si crea il “vuoto”: il pericolo A viene formalmente ridotto, ma compare un pericolo B — meno evidente, più difficile da individuare, spesso legato a operatività, reset, accessi e alla dinamica dell’arresto.

Trascurare questa fase significa che la riduzione del rischio resta solo parziale.

9. L’iterazione che non si può “cliccare via”

Per questo, in un processo di riduzione del rischio progettato correttamente, dopo ogni passaggio dovrebbe esserci una domanda obbligata:

Le misure di protezione adottate hanno generato un nuovo pericolo?

Se la risposta è “sì” — l’analisi torna alla fase di identificazione.
Se la risposta è “no” — deve essere una scelta consapevole, non un “avanti” per default.

secondary risk ISO 12100

Ed è esattamente questo il meccanismo che SafetySoftware.eu presidia in modo esplicito: al termine della riduzione del rischio, il sistema impone di decidere se le misure di protezione applicate hanno introdotto nuovi pericoli. Non consente di proseguire senza una presa di posizione.

Non è una funzione di facciata.
È una tutela del processo contro una semplificazione lineare.

Perché gli errori più gravi non nascono dall’assenza di protezioni.
Nascono dall’assenza di iterazione.

E la sicurezza delle macchine inizia proprio dove finisce il ragionamento: “abbiamo aggiunto una protezione, quindi siamo a posto”.

 

Domande frequenti

Perché le misure di protezione possono creare nuovi rischi?

Poiché la misura di protezione è una modifica costruttiva o una modifica del comando. Modifica la geometria, l’accesso, le sequenze di lavoro, i tempi di reazione e il comportamento del sistema di azionamento, e quindi influisce sulla struttura dei pericoli ai sensi della UNI EN ISO 12100.

Di conseguenza può verificarsi uno «spostamento del rischio»: riduciamo un pericolo, ma ne introduciamo un altro (ad es. zone di schiacciamento dovute al riparo, incentivazione dell’aggiramento del dispositivo di interblocco, distanza errata della barriera fotoelettrica).

Che cosa significa, nella PN-EN ISO 12100, il pensiero “lineare” sul rischio?

È un’assunzione del tipo: c’era il pericolo A → è stata aggiunta una protezione → il pericolo A è scomparso e fine. In pratica, la macchina è un sistema non lineare: una modifica in un punto cambia le condizioni di generazione dei pericoli in altre aree.

UNI EN ISO 12100 richiede un approccio iterativo: dopo aver applicato una misura di protezione, occorre identificare nuovamente i pericoli e rivalutare il rischio (compreso il rischio residuo).

Come può una protezione meccanica diventare una fonte di rischi meccanici?

La protezione può introdurre una nuova massa e un nuovo movimento (ad es. apertura a battente), e ciò genera energia potenziale e cinetica. Se non sono stati analizzati la traiettoria di movimento, i punti di supporto, la stabilità in posizione aperta e i punti di collisione, compaiono nuove zone di schiacciamento, urto o cesoiamento.

I problemi tipici sono: abbassamento della protezione, giochi sulle cerniere dopo un periodo di esercizio, chiusura incontrollata a seguito di urto accidentale, nonché evacuazione difficoltosa della mano dall’area di lavoro.

Perché l’installazione di una barriera fotoelettrica “da catalogo” a volte è inefficace?

Il solo impiego di un dispositivo di protezione non costituisce una prova di riduzione del rischio. Per l’efficacia sono determinanti i parametri dell’intera funzione di sicurezza, inclusi il tempo reale di arresto della macchina e il tempo di risposta totale del circuito.

Senza la misurazione del tempo di arresto nelle condizioni di caso peggiore (ad es. carico massimo, velocità, usura del freno) la distanza di sicurezza può essere selezionata in modo errato; in tal caso il dispositivo funziona “logicemente”, ma non arresta il movimento abbastanza rapidamente in senso fisico.

Quando è necessario misurare il tempo reale di fermo macchina?

Ogni volta che da esso dipende l’efficacia di una misura di protezione basata su distanza e tempo (ad es. barriere fotoelettriche, scanner, dispositivi a due mani, funzioni di arresto). La misurazione dovrebbe riflettere le condizioni di lavoro più sfavorevoli, ma rappresentative.

Nella pratica si considerano, tra l’altro, la velocità e il carico massimi, l’inerzia del sistema, le tolleranze, la temperatura e il peggioramento dei parametri nel tempo. Senza ciò non esiste una base affidabile per la scelta della distanza di sicurezza secondo la UNI EN ISO 13855.

Pronto a cambiare?

Crea un account e genera documentazione conforme in 15 minuti.

Inizia la prova gratuita Senza carta di credito • 14 giorni gratis