Rischio residuo macchina: non mettere le mani non basta
C’è una zona che l’operatore può raggiungere con la mano. C’è un organo mobile che può afferrare le dita. C’è un’operazione che qualcuno farà davvero: rimozione di un inceppamento, pulizia, messa a punto, controllo dopo l’arresto.
Poi, nella tabella della valutazione del rischio, compare la riga: rischio residuo — informazione nel manuale — non mettere le mani.
Sulla carta sembra tutto in ordine. Pericolo descritto. Rischio nominato. Manuale aggiornato. Peccato che, nella sicurezza delle macchine, una riga così spesso non chiarisce il tema: lo copre.
Perché il rischio residuo non è il sacco comune dove buttare ciò che non è stato risolto nel progetto. Non è nemmeno il modo elegante per spostare la responsabilità dal fabbricante all’utilizzatore. È il rischio che rimane dopo il lavoro serio: dopo aver verificato se il pericolo si può eliminare con la progettazione, dopo aver scelto le misure di protezione tecniche, dopo aver controllato se quelle misure riducono davvero l’esposizione della persona.
Solo allora si può dire onestamente: qui qualcosa resta, e l’utilizzatore deve saperlo.
Nella pratica, però, il confine si sfuma. Il fabbricante dice: «Lo abbiamo scritto nel manuale». L’integratore dice: «L’utilizzatore deve formare il personale». L’utilizzatore sente: «Ormai è un problema vostro di organizzazione del lavoro». Ma ISO 12100 e il Regolamento macchine (UE) 2023/1230 mettono questa responsabilità in un ordine preciso: prima il progetto, poi le misure di protezione, alla fine l’informazione.
Lo stesso problema torna oggi sulle macchine connesse. Accesso remoto, account di servizio, configurazione del controllore, aggiornamenti e dati non sono solo affari dell’IT dell’utilizzatore, se possono influire sulla sicurezza della macchina. Anche qui non basta scrivere: «L’utilizzatore deve proteggere la rete». Il fabbricante deve fornire una macchina che consideri questi rischi fin dall’inizio.
Quindi la domanda non è: l’avvertenza è finita nel manuale? La domanda vera è: che cosa ha fatto il fabbricante prima di scriverla?
Il rischio residuo non è un campo libero nella tabella
In ISO 12100 vale la pena fermarsi su una figura, non solo sulla definizione e non solo sul metodo dei tre passi. La figura che mostra la riduzione del rischio dal punto di vista del fabbricante è una mappa molto concreta delle responsabilità.
Prima c’è il rischio legato alla macchina. Poi c’è il contributo del fabbricante: progettazione intrinsecamente sicura, misure di protezione tecniche, misure di protezione complementari e informazioni per l’uso. Dopo compare il rischio residuo che resta dopo le misure adottate dal fabbricante. Poi arriva il contributo dell’utilizzatore: organizzazione del lavoro, procedure, supervisione, sistemi di autorizzazione, eventuali misure tecniche aggiuntive, DPI e formazione. Alla fine resta il rischio residuo dopo tutte le misure.
Non è un disegno decorativo da corso di formazione. È una linea di confine. E quella linea non va cancellata con una frase comoda.
Il rischio residuo sta davvero sul confine tra fabbricante e utilizzatore, ma non nel senso che ognuno può metterci dentro ciò che gli conviene. Il fabbricante non può spostare in quella zona un pericolo che non ha voluto affrontare in progettazione. L’utilizzatore, dall’altra parte, non può far finta che manuale, formazione e procedure non contino quando il fabbricante ha descritto in modo corretto rischi che non potevano essere eliminati lato progetto.
Proprio per questo l’etichetta «rischio residuo» è pericolosa. Suona tecnica. Sembra autorevole. E così copre facilmente una decisione progettuale mancata.
Qualcuno vede un punto di trascinamento. Qualcuno sa che l’operatore rimuoverà inceppamenti. Qualcuno sa che durante la pulizia bisognerà arrivare vicino a un organo mobile. Eppure in tabella compare: «rischio residuo — non mettere le mani». Questa riga non dimostra ancora che siamo davanti a un rischio residuo. Dimostra solo che qualcuno ha chiamato così il problema.
Per usare quel concetto in modo corretto bisogna mostrare il percorso. Che cosa è stato fatto nella costruzione? Si potevano cambiare geometria, distanza, energia, velocità, accesso o modalità di messa a punto? Sono stati valutati ripari, interblocchi, bloccaggi, modalità operative o funzioni di sicurezza? Perché una parte del rischio deve davvero essere comunicata all’utilizzatore?
Solo una risposta così porta il tema fuori dal livello «lo abbiamo scritto nel manuale» e lo mette dentro una valutazione del rischio coerente con ISO 12100. La norma è chiara: le misure adottate in progettazione sono preferibili a quelle lasciate all’utilizzatore, perché in genere sono più efficaci. ISO/TR 14121-2 rafforza lo stesso punto: l’informazione per l’utilizzatore deve guidare l’uso corretto e sicuro della macchina e avvertire sui rischi rimasti dopo la riduzione ottenuta con progetto e protezioni.
Procedure, formazione e LOTO hanno il loro posto. Ma non servono a riparare ciò che il fabbricante non ha lavorato nel progetto. Altrimenti non stiamo parlando di rischio residuo. Stiamo parlando di rischio lasciato all’utilizzatore.
Tre casi in cui il rischio residuo diventa un comodo alibi
1. Organo mobile, mano dell’operatore e avviso nel manuale
Partiamo da una situazione semplice. La macchina ha un organo mobile. L’operatore può raggiungerlo durante la rimozione di un inceppamento, la pulizia, l’alimentazione manuale di un pezzo o la messa a punto. Nella valutazione del rischio compare il pericolo di afferramento. Nella colonna delle misure di protezione compare: «avvertenza nel manuale». Nel manuale si legge: «non inserire le mani nella zona di lavoro della macchina».
Suona familiare?
A prima vista il documento è compilato. Il pericolo c’è. Il rischio c’è. L’avvertenza c’è. Ma la sicurezza della macchina non funziona perché ogni casella vuota della tabella ha ricevuto una frase. La domanda è un’altra: che cosa è successo prima di quell’avvertenza?
Qualcuno ha provato a eliminare il punto di afferramento modificando la geometria? Sono state ridotte forza, velocità o energia del movimento? La messa a punto poteva essere spostata fuori dalla zona pericolosa? È stata prevista una modalità di messa a punto a rischio ridotto? Sono stati valutati riparo, interblocco, bloccaggio, comando ad azione mantenuta o dispositivo di consenso? Qualcuno ha verificato come l’operatore rimuoverà davvero l’inceppamento, non come dovrebbe farlo nel manuale ideale?
Se la risposta è: «No, però abbiamo scritto di non mettere le mani», allora non siamo ancora nel rischio residuo. Siamo davanti a un rischio ribattezzato in quel modo perché era la strada più facile.
Qui torna utile la logica di ISO 12100. Lato fabbricante ci sono progettazione intrinsecamente sicura, misure di protezione tecniche, misure di protezione complementari e informazione per l’uso. Lato utilizzatore ci sono organizzazione del lavoro, procedure, supervisione, autorizzazioni, misure aggiuntive, DPI e formazione.
Sì, il rischio residuo è una zona di confine. Tocca entrambe le parti. Ma comune non significa indefinito. Comune non significa: «Il fabbricante scrive un avviso e l’utilizzatore se la cava». Comune significa: il fabbricante mostra che cosa ha fatto, che cosa non si è potuto eliminare e quali informazioni trasferisce; l’utilizzatore organizza il lavoro in coerenza con quelle informazioni.
2. Pulizia, manutenzione e accessi: dove deve stare la persona?
Il secondo caso è ancora più concreto. Un filtro va sostituito ogni settimana. Un sensore va pulito a ogni cambio formato. Un punto di lubrificazione è a due metri dal pavimento. Un componente va estratto periodicamente dall’interno della macchina. Il fabbricante scrive nel manuale: «Eseguire le operazioni nel rispetto delle regole di sicurezza, usando mezzi di accesso adeguati».
Bene. Quali mezzi?
La scala trovata in reparto? Una piattaforma portata dalla manutenzione? Salire sul telaio della macchina? Mettere un piede su un profilo strutturale perché «abbiamo sempre fatto così»? O forse l’operatore dovrebbe tenersi al riparo con una mano, svitare con l’altra e con una terza mano, che non ha, trattenere l’utensile?
Questo è il punto in cui la teoria incontra la fabbrica.
Se il fabbricante prevede un’operazione regolare di servizio, pulizia, manutenzione o regolazione, deve chiedersi: come ci arriva la persona in modo sicuro, dove appoggia i piedi e come esegue il lavoro senza improvvisare?
Non ogni lavoro in quota su una macchina richiede automaticamente una grande passerella fissa. Ma non si può nemmeno andare all’estremo opposto e fingere che l’accesso a un punto di intervento frequente sia solo un problema dell’utilizzatore. ISO 12100 indica che le attività ordinarie di servizio, messa a punto e manutenzione dovrebbero essere eseguite da terra, se possibile. Se non è possibile, va previsto un accesso sicuro: piattaforme, scale, passerelle, parapetti o altre soluzioni. Qui entra in gioco la serie ISO 14122 sui mezzi di accesso permanenti alle macchine.
E qui la discussione diventa seria. Se esiste una misura tecnica che permette di eseguire in sicurezza sostituzioni, regolazioni o manutenzioni frequenti, perché partiamo subito dall’idea che l’utilizzatore debba risolvere tutto con l’organizzazione? Perché una piattaforma fissa non è stata prevista nel progetto? Perché il manuale richiede un’operazione settimanale in un punto difficile da raggiungere, ma la macchina non offre un posto di lavoro sicuro?
Queste non sono domande accademiche. Sono domande da collaudo, da audit, da reparto. Se l’utilizzatore deve fare regolarmente un’operazione, l’accesso non è un optional. È parte della sicurezza della macchina o almeno parte dei requisiti di installazione che il fabbricante deve indicare con chiarezza.
Altrimenti ricompare la scorciatoia: «rischio residuo — l’utilizzatore deve usare mezzi di accesso adeguati». Spesso quella frase non descrive un rischio residuo. Descrive una decisione progettuale non presa.
3. Cybersicurezza e accesso remoto: non è solo un tema IT
Il terzo caso sembra moderno, ma il meccanismo è identico. La macchina ha accesso remoto. Ha un controllore, HMI, computer industriale, account di servizio, possibilità di aggiornamento, trasferimento dati e magari collegamento a un sistema superiore. Il fabbricante dice: «L’utilizzatore deve proteggere la rete». L’IT riceve il problema dopo l’avviamento. La manutenzione vuole che l’assistenza possa collegarsi subito. La produzione vuole che la macchina lavori. Tutti hanno le loro ragioni.
Ma la domanda è semplice: una violazione di questo strato può influire sulla sicurezza della macchina?
Se l’accesso remoto consente di cambiare parametri, modalità operative, logica di comando, configurazione HMI o dati rilevanti per funzioni di sicurezza, non è solo questione di firewall aziendale. Se la macchina arriva con password predefinite, account non descritti, accesso remoto aperto o procedura di aggiornamento poco chiara, è difficile sostenere che tutto il rischio di cybersicurezza sia lato utilizzatore.
L’utilizzatore ha certamente le sue responsabilità: rete, account, accessi, backup, aggiornamenti, segmentazione e procedure di modifica. Ma il fabbricante non può consegnare una macchina nello stato «poi la proteggete voi» e chiamarlo rischio residuo. Soprattutto con il Regolamento macchine (UE) 2023/1230, che avvicina chiaramente la cybersicurezza alla sicurezza delle macchine quando una violazione di hardware, software o dati può portare a una situazione pericolosa.
Anche qui vale la stessa sequenza: prima progetto, poi misure tecniche, poi informazione all’utilizzatore. Non il contrario.
Perciò, in tutti e tre i casi — afferramento, accessi e cybersicurezza — bisogna tornare alla domanda scomoda: il fabbricante ha davvero ridotto il rischio o lo ha solo descritto all’utilizzatore?
Se il fabbricante ha fatto la sua parte, l’utilizzatore deve prendere sul serio le informazioni. Deve formare le persone, mantenere efficienti i ripari, organizzare il lavoro e non bypassare le misure di protezione. Ma se quella parte non è stata fatta, il manuale non ripara il progetto.
Quando il rischio è davvero rischio residuo?
Dopo questi esempi si vede una cosa: non ogni rischio rimasto sulla macchina merita subito il nome di rischio residuo.
Che cosa significa davvero «rimasto»? Rimasto dopo una modifica costruttiva? Rimasto dopo un riparo, un interblocco, un bloccaggio o una modalità di messa a punto? Rimasto dopo aver spostato un punto di lubrificazione fuori dalla zona pericolosa? Rimasto dopo aver progettato un accesso fisso al punto di manutenzione? O rimasto perché nessuno voleva metterci mano e la soluzione più rapida era scrivere un’avvertenza?
Sono due situazioni completamente diverse.
ISO 12100 separa il tema con precisione: c’è il rischio residuo dopo le misure adottate dal fabbricante e c’è il rischio residuo dopo tutte le misure, comprese quelle lato utilizzatore. Tra i due punti c’è lo spazio in cui l’informazione fornita dal fabbricante deve diventare lavoro reale nell’organizzazione dell’utilizzatore.
Il controllo pratico può essere questo.
| Domanda | Se la risposta è sì | Se la risposta è no |
|---|---|---|
| Il pericolo è descritto in modo concreto: dove, quando, chi è esposto e durante quale attività? | Si può continuare a valutare se parliamo di rischio residuo. | Non è ancora una valutazione del rischio, ma solo una descrizione generica. |
| Il fabbricante ha verificato se il pericolo si può eliminare con la progettazione? | La logica segue ISO 12100. | L’avvertenza nel manuale arriva troppo presto. |
| Sono state considerate misure di protezione: ripari, interblocchi, bloccaggi, modalità operative, comando ad azione mantenuta, limitazione di energia, velocità o forza? | Si può motivare perché una parte del rischio resta. | Il rischio probabilmente non è residuo: è non risolto. |
| Il fabbricante ha spiegato perché una certa misura non è stata adottata? | La documentazione mostra una decisione ingegneristica. | C’è una lacuna. E una lacuna non diventa rischio residuo solo perché viene chiamata così. |
| L’informazione per l’utilizzatore è specifica? | L’utilizzatore sa che cosa fare, quando, come, con quali mezzi e in quali condizioni. | «Prestare attenzione» o «non mettere le mani» non basta. |
| L’utilizzatore ha davvero controllo sulla misura richiesta? | Può essere un ambito lato utilizzatore: formazione, LOTO, supervisione, procedura, manutenzione, DPI, organizzazione. | Non si può fingere che l’utilizzatore gestisca ciò che non può controllare efficacemente. |
| La misura lato utilizzatore è sostenibile nella pratica? | Si può parlare di responsabilità condivisa. | Se richiede solo di «sorvegliare le persone» e una misura tecnica era possibile, il problema torna al progetto. |
| Dopo la misura di protezione è stato verificato che non siano nati nuovi rischi? | La valutazione del rischio chiude il ciclo. | Il processo non è finito; ISO/TR 14121-2 ricorda di verificare l’efficacia e i nuovi pericoli. |
Questa tabella non è un algoritmo formale. È un filtro di buon senso. Se alla fine resta solo la frase «l’operatore deve stare attento», siamo troppo presto. Non siamo ancora arrivati al rischio residuo.
Vale anche la pena separare subito le responsabilità.
| Area | Che cosa deve fare il fabbricante | Che cosa assume realmente l’utilizzatore |
|---|---|---|
| Afferramento, schiacciamento, contatto con movimento | Progetto, geometria, limitazione dell’energia, ripari, interblocchi, modalità operative, funzioni di sicurezza, descrizione chiara del rischio non eliminabile. | Formazione, supervisione, manutenzione di ripari e interblocchi, procedure per gli inceppamenti, divieto di bypass delle misure di protezione. |
| Pulizia, messa a punto, manutenzione | Considerare queste attività nella valutazione del rischio, ridurre l’accesso alle zone pericolose, prevedere modalità di servizio, punti di regolazione fuori zona e accesso sicuro. | Organizzazione del lavoro, qualifiche del personale, LOTO, piano di manutenzione, controllo dello stato delle misure di protezione. |
| Accesso in quota, piattaforme, passerelle | Valutare se l’attività è frequente e prevedibile; progettare o definire i requisiti del mezzo di accesso permanente se necessario. | Mantenere liberi e integri gli accessi, autorizzare il personale idoneo, applicare procedure e mezzi indicati dal fabbricante. |
| Cybersicurezza e accesso remoto | Architettura sicura, limitazione degli accessi, gestione degli account, descrizione delle interfacce, regole di aggiornamento, protezione di dati e software rilevanti per la sicurezza. | Segmentazione della rete, gestione account, procedure di modifica, backup, supervisione degli accessi di assistenza. |
| Informazione nel manuale | Avvertenze specifiche, descrizione del rischio, condizioni di uso sicuro, misure richieste lato utilizzatore, divieti e limiti d’uso. | Applicazione pratica: formazione, istruzioni di postazione, supervisione, verifica del rispetto delle regole. |
Ecco il punto. Il rischio residuo può essere condiviso. Ma condiviso non significa opaco. Condiviso non significa: «Il fabbricante ha scritto, quindi risponde l’utilizzatore». Condiviso non significa: «Il reparto sicurezza fa una procedura, quindi il progetto è a posto».
Condiviso significa qualcosa di più esigente: il fabbricante deve mostrare che cosa ha fatto lato macchina; l’utilizzatore deve prendere in carico ciò che dipende davvero da organizzazione del lavoro, supervisione, manutenzione e condizioni di esercizio.
In una buona valutazione del rischio, la riga «rischio residuo» non è l’ultima tavola di salvataggio. È la conclusione di un ragionamento onesto: qui c’era il pericolo, questo è stato fatto nel progetto, queste misure di protezione sono state applicate, questo non può essere eliminato senza creare un problema maggiore, queste informazioni e questi requisiti passano all’utilizzatore.
Solo allora rischio residuo suona come una conclusione della valutazione del rischio. Non come una coperta tirata sopra decisioni mancate.
La tabella aiuta, ma non sostituisce il lavoro vero
La divisione delle responsabilità funziona solo quando scende dalle formule generiche alla singola attività sulla macchina. È facile scrivere: «l’utilizzatore garantisce l’organizzazione del lavoro», «l’utilizzatore usa mezzi di accesso adeguati», «l’utilizzatore protegge la rete». È più difficile verificare se l’utilizzatore ha ricevuto una macchina che si può usare, pulire, mantenere e aggiornare in sicurezza.
Prendiamo una piattaforma di servizio.
Sul disegno sembra tutto corretto. Struttura metallica, grigliato, parapetto, accesso. L’accesso è previsto? Sì. Tema chiuso? Non per forza.
Prima domanda: per quale lavoro serve quella piattaforma?
Se una persona ci sale una volta l’anno per leggere un indicatore, la situazione è una. Se dalla stessa piattaforma bisogna sostituire regolarmente un motore, un riduttore, un cilindro, un rullo, una testa, un filtro o un altro componente soggetto a usura, non parliamo più solo di accesso. Parliamo di una postazione di lavoro per la manutenzione.
E allora la frase generica nel manuale non basta.
Chi sale lì? Una persona o due tecnici di manutenzione? Che cosa portano: cassetta attrezzi, chiave dinamometrica, imbracature, ricambio? Che cosa smontano: un coperchio da 20 kg, un motoriduttore da 80 kg, un riduttore da 150 kg o un motore da 500 kg? Dove appoggiano il componente dopo lo smontaggio? Sulla piattaforma, su un carrello, su un sollevatore? Sono previsti un varco di movimentazione, un punto di sospensione, un paranco, la traiettoria di estrazione e lo spazio per due persone? La portata della piattaforma considera solo l’uomo o anche utensili, parti, carichi localizzati e forze generate durante lo smontaggio?
Queste sono domande da reparto, non da presentazione.
Se il manuale dice che un motore da 500 kg si sostituisce dalla piattaforma, la piattaforma deve essere adatta a quel lavoro. Non al lavoro immaginario dell’operatore con un cacciavite, ma al compito reale: due persone, utensili, componente smontato, possibilità di manovra, protezione contro la caduta, trasporto del pezzo e discesa sicura al pavimento.
Altrimenti abbiamo una soluzione apparente. La piattaforma c’è, ma non risolve il compito. L’accesso esiste, ma non consente una manutenzione sicura. Il manuale descrive l’operazione, ma il progetto non crea le condizioni per eseguirla.
E qui torna la domanda principale: è davvero rischio residuo?
Se il fabbricante ha previsto un’attività di servizio regolare, ma non ha previsto come eseguirla in sicurezza, è difficile parlare di rischio residuo descritto correttamente. È piuttosto un concetto di manutenzione lasciato a metà. L’utilizzatore risponde di organizzazione del lavoro, qualifiche, LOTO, supervisione e mantenimento della piattaforma in buono stato. Ma non dovrebbe scoprire dopo l’accettazione che per cambiare un gruppo pesante deve improvvisare.
Il tema cybersicurezza funziona allo stesso modo.
La macchina arriva con un account di servizio. Login: admin. Password: admin. L’accesso remoto è attivo perché «l’assistenza deve collegarsi in qualche modo». La documentazione dice che l’utilizzatore deve proteggere la rete. L’IT viene coinvolto dopo l’avviamento. La manutenzione non vuole bloccare l’accesso perché la macchina deve produrre. L’assistenza vuole reagire in fretta. Ognuno ha il suo argomento.
Ma la domanda è semplice: il fabbricante ha consegnato la macchina in una configurazione predefinita sicura?
Non si tratta di far rispondere il fabbricante di tutta la rete dello stabilimento dell’utilizzatore. Sarebbe fuori dalla realtà. L’utilizzatore deve gestire accessi, segmentazione, backup, procedure di modifica, account, aggiornamenti e supervisione delle connessioni di assistenza.
Ma il fabbricante non può consegnare una macchina con una debolezza evidente e dire: «È un problema del vostro IT». Se accesso remoto, account, software, configurazione HMI o dati possono influire sul comportamento della macchina, quello strato fa parte della valutazione della sicurezza. Come un riparo, un interblocco o una modalità di servizio.
admin/admin non è un dettaglio. È l’equivalente digitale della piattaforma che esiste sulla carta ma non regge il lavoro vero. In documentazione qualcosa c’è. Nella realtà l’utilizzatore riceve un problema da correggere.
Per questo una buona informazione per l’utilizzatore non dice solo: «Proteggere la rete». Dice quali account esistono, quali ruoli di accesso sono previsti, che cosa va cambiato al primo avviamento, come funziona l’assistenza remota, chi può aggiornare il software, quali elementi di configurazione sono rilevanti per la sicurezza, come ripristinare le impostazioni e quali condizioni di rete il fabbricante ha considerato per il funzionamento sicuro della macchina.
Solo a quel punto si può parlare seriamente della responsabilità dell’utilizzatore. Perché l’utilizzatore sa che cosa sta prendendo in carico. E il rischio residuo si colloca davvero sul confine tra macchina e organizzazione del lavoro.
Senza questo, è solo scarico del problema.
Perciò il concetto di rischio residuo non va usato con leggerezza. Non serve a chiudere domande scomode. Serve a mostrare che cosa rimane lato fabbricante, che cosa passa all’utilizzatore e quali condizioni devono rispettare entrambe le parti affinché la macchina resti sicura nell’esercizio normale.
Perché la macchina non finisce con la dichiarazione di conformità. Continua a lavorare: nei cambi formato, nelle pulizie, nella manutenzione, nei guasti, negli aggiornamenti, negli accessi di assistenza e nella sostituzione di gruppi pesanti.
Se il progetto non prevede queste situazioni, il manuale non le ripara.