Rischio residuo nella macchina.
TL;DR
  • Il rischio residuo è ciò che resta dopo progettazione sicura e protezioni tecniche, non una formula per coprire decisioni mancanti.
  • Un avviso come “non mettere le mani” ha senso solo dopo aver valutato geometria, energia, accessi, ripari, interblocchi e modi operativi.
  • ISO 12100 e Regolamento macchine 2023/1230 indicano l’ordine corretto: prima progettare, poi proteggere, infine informare.
  • Il fabbricante non può scaricare rischi irrisolti sull’utilizzatore; l’utilizzatore deve gestire procedure, formazione e supervisione.
  • Per macchine connesse, accessi remoti, account, aggiornamenti e configurazioni vanno valutati anche per l’impatto sulla sicurezza.

Rischio residuo macchina: non mettere le mani non basta

C’è una zona che l’operatore può raggiungere con la mano. C’è un organo mobile che può afferrare le dita. C’è un’operazione che qualcuno farà davvero: rimozione di un inceppamento, pulizia, messa a punto, controllo dopo l’arresto.

Poi, nella tabella della valutazione del rischio, compare la riga: rischio residuo — informazione nel manuale — non mettere le mani.

Sulla carta sembra tutto in ordine. Pericolo descritto. Rischio nominato. Manuale aggiornato. Peccato che, nella sicurezza delle macchine, una riga così spesso non chiarisce il tema: lo copre.

Perché il rischio residuo non è il sacco comune dove buttare ciò che non è stato risolto nel progetto. Non è nemmeno il modo elegante per spostare la responsabilità dal fabbricante all’utilizzatore. È il rischio che rimane dopo il lavoro serio: dopo aver verificato se il pericolo si può eliminare con la progettazione, dopo aver scelto le misure di protezione tecniche, dopo aver controllato se quelle misure riducono davvero l’esposizione della persona.

Solo allora si può dire onestamente: qui qualcosa resta, e l’utilizzatore deve saperlo.

Nella pratica, però, il confine si sfuma. Il fabbricante dice: «Lo abbiamo scritto nel manuale». L’integratore dice: «L’utilizzatore deve formare il personale». L’utilizzatore sente: «Ormai è un problema vostro di organizzazione del lavoro». Ma ISO 12100 e il Regolamento macchine (UE) 2023/1230 mettono questa responsabilità in un ordine preciso: prima il progetto, poi le misure di protezione, alla fine l’informazione.

Lo stesso problema torna oggi sulle macchine connesse. Accesso remoto, account di servizio, configurazione del controllore, aggiornamenti e dati non sono solo affari dell’IT dell’utilizzatore, se possono influire sulla sicurezza della macchina. Anche qui non basta scrivere: «L’utilizzatore deve proteggere la rete». Il fabbricante deve fornire una macchina che consideri questi rischi fin dall’inizio.

Quindi la domanda non è: l’avvertenza è finita nel manuale? La domanda vera è: che cosa ha fatto il fabbricante prima di scriverla?

Il rischio residuo non è un campo libero nella tabella

In ISO 12100 vale la pena fermarsi su una figura, non solo sulla definizione e non solo sul metodo dei tre passi. La figura che mostra la riduzione del rischio dal punto di vista del fabbricante è una mappa molto concreta delle responsabilità.

Prima c’è il rischio legato alla macchina. Poi c’è il contributo del fabbricante: progettazione intrinsecamente sicura, misure di protezione tecniche, misure di protezione complementari e informazioni per l’uso. Dopo compare il rischio residuo che resta dopo le misure adottate dal fabbricante. Poi arriva il contributo dell’utilizzatore: organizzazione del lavoro, procedure, supervisione, sistemi di autorizzazione, eventuali misure tecniche aggiuntive, DPI e formazione. Alla fine resta il rischio residuo dopo tutte le misure.

Non è un disegno decorativo da corso di formazione. È una linea di confine. E quella linea non va cancellata con una frase comoda.

Il rischio residuo sta davvero sul confine tra fabbricante e utilizzatore, ma non nel senso che ognuno può metterci dentro ciò che gli conviene. Il fabbricante non può spostare in quella zona un pericolo che non ha voluto affrontare in progettazione. L’utilizzatore, dall’altra parte, non può far finta che manuale, formazione e procedure non contino quando il fabbricante ha descritto in modo corretto rischi che non potevano essere eliminati lato progetto.

Proprio per questo l’etichetta «rischio residuo» è pericolosa. Suona tecnica. Sembra autorevole. E così copre facilmente una decisione progettuale mancata.

Qualcuno vede un punto di trascinamento. Qualcuno sa che l’operatore rimuoverà inceppamenti. Qualcuno sa che durante la pulizia bisognerà arrivare vicino a un organo mobile. Eppure in tabella compare: «rischio residuo — non mettere le mani». Questa riga non dimostra ancora che siamo davanti a un rischio residuo. Dimostra solo che qualcuno ha chiamato così il problema.

Per usare quel concetto in modo corretto bisogna mostrare il percorso. Che cosa è stato fatto nella costruzione? Si potevano cambiare geometria, distanza, energia, velocità, accesso o modalità di messa a punto? Sono stati valutati ripari, interblocchi, bloccaggi, modalità operative o funzioni di sicurezza? Perché una parte del rischio deve davvero essere comunicata all’utilizzatore?

Solo una risposta così porta il tema fuori dal livello «lo abbiamo scritto nel manuale» e lo mette dentro una valutazione del rischio coerente con ISO 12100. La norma è chiara: le misure adottate in progettazione sono preferibili a quelle lasciate all’utilizzatore, perché in genere sono più efficaci. ISO/TR 14121-2 rafforza lo stesso punto: l’informazione per l’utilizzatore deve guidare l’uso corretto e sicuro della macchina e avvertire sui rischi rimasti dopo la riduzione ottenuta con progetto e protezioni.

Procedure, formazione e LOTO hanno il loro posto. Ma non servono a riparare ciò che il fabbricante non ha lavorato nel progetto. Altrimenti non stiamo parlando di rischio residuo. Stiamo parlando di rischio lasciato all’utilizzatore.

Tre casi in cui il rischio residuo diventa un comodo alibi

1. Organo mobile, mano dell’operatore e avviso nel manuale

Partiamo da una situazione semplice. La macchina ha un organo mobile. L’operatore può raggiungerlo durante la rimozione di un inceppamento, la pulizia, l’alimentazione manuale di un pezzo o la messa a punto. Nella valutazione del rischio compare il pericolo di afferramento. Nella colonna delle misure di protezione compare: «avvertenza nel manuale». Nel manuale si legge: «non inserire le mani nella zona di lavoro della macchina».

Suona familiare?

A prima vista il documento è compilato. Il pericolo c’è. Il rischio c’è. L’avvertenza c’è. Ma la sicurezza della macchina non funziona perché ogni casella vuota della tabella ha ricevuto una frase. La domanda è un’altra: che cosa è successo prima di quell’avvertenza?

Qualcuno ha provato a eliminare il punto di afferramento modificando la geometria? Sono state ridotte forza, velocità o energia del movimento? La messa a punto poteva essere spostata fuori dalla zona pericolosa? È stata prevista una modalità di messa a punto a rischio ridotto? Sono stati valutati riparo, interblocco, bloccaggio, comando ad azione mantenuta o dispositivo di consenso? Qualcuno ha verificato come l’operatore rimuoverà davvero l’inceppamento, non come dovrebbe farlo nel manuale ideale?

Se la risposta è: «No, però abbiamo scritto di non mettere le mani», allora non siamo ancora nel rischio residuo. Siamo davanti a un rischio ribattezzato in quel modo perché era la strada più facile.

Qui torna utile la logica di ISO 12100. Lato fabbricante ci sono progettazione intrinsecamente sicura, misure di protezione tecniche, misure di protezione complementari e informazione per l’uso. Lato utilizzatore ci sono organizzazione del lavoro, procedure, supervisione, autorizzazioni, misure aggiuntive, DPI e formazione.

Sì, il rischio residuo è una zona di confine. Tocca entrambe le parti. Ma comune non significa indefinito. Comune non significa: «Il fabbricante scrive un avviso e l’utilizzatore se la cava». Comune significa: il fabbricante mostra che cosa ha fatto, che cosa non si è potuto eliminare e quali informazioni trasferisce; l’utilizzatore organizza il lavoro in coerenza con quelle informazioni.

2. Pulizia, manutenzione e accessi: dove deve stare la persona?

Il secondo caso è ancora più concreto. Un filtro va sostituito ogni settimana. Un sensore va pulito a ogni cambio formato. Un punto di lubrificazione è a due metri dal pavimento. Un componente va estratto periodicamente dall’interno della macchina. Il fabbricante scrive nel manuale: «Eseguire le operazioni nel rispetto delle regole di sicurezza, usando mezzi di accesso adeguati».

Bene. Quali mezzi?

La scala trovata in reparto? Una piattaforma portata dalla manutenzione? Salire sul telaio della macchina? Mettere un piede su un profilo strutturale perché «abbiamo sempre fatto così»? O forse l’operatore dovrebbe tenersi al riparo con una mano, svitare con l’altra e con una terza mano, che non ha, trattenere l’utensile?

Questo è il punto in cui la teoria incontra la fabbrica.

Se il fabbricante prevede un’operazione regolare di servizio, pulizia, manutenzione o regolazione, deve chiedersi: come ci arriva la persona in modo sicuro, dove appoggia i piedi e come esegue il lavoro senza improvvisare?

Non ogni lavoro in quota su una macchina richiede automaticamente una grande passerella fissa. Ma non si può nemmeno andare all’estremo opposto e fingere che l’accesso a un punto di intervento frequente sia solo un problema dell’utilizzatore. ISO 12100 indica che le attività ordinarie di servizio, messa a punto e manutenzione dovrebbero essere eseguite da terra, se possibile. Se non è possibile, va previsto un accesso sicuro: piattaforme, scale, passerelle, parapetti o altre soluzioni. Qui entra in gioco la serie ISO 14122 sui mezzi di accesso permanenti alle macchine.

E qui la discussione diventa seria. Se esiste una misura tecnica che permette di eseguire in sicurezza sostituzioni, regolazioni o manutenzioni frequenti, perché partiamo subito dall’idea che l’utilizzatore debba risolvere tutto con l’organizzazione? Perché una piattaforma fissa non è stata prevista nel progetto? Perché il manuale richiede un’operazione settimanale in un punto difficile da raggiungere, ma la macchina non offre un posto di lavoro sicuro?

Queste non sono domande accademiche. Sono domande da collaudo, da audit, da reparto. Se l’utilizzatore deve fare regolarmente un’operazione, l’accesso non è un optional. È parte della sicurezza della macchina o almeno parte dei requisiti di installazione che il fabbricante deve indicare con chiarezza.

Altrimenti ricompare la scorciatoia: «rischio residuo — l’utilizzatore deve usare mezzi di accesso adeguati». Spesso quella frase non descrive un rischio residuo. Descrive una decisione progettuale non presa.

3. Cybersicurezza e accesso remoto: non è solo un tema IT

Il terzo caso sembra moderno, ma il meccanismo è identico. La macchina ha accesso remoto. Ha un controllore, HMI, computer industriale, account di servizio, possibilità di aggiornamento, trasferimento dati e magari collegamento a un sistema superiore. Il fabbricante dice: «L’utilizzatore deve proteggere la rete». L’IT riceve il problema dopo l’avviamento. La manutenzione vuole che l’assistenza possa collegarsi subito. La produzione vuole che la macchina lavori. Tutti hanno le loro ragioni.

Ma la domanda è semplice: una violazione di questo strato può influire sulla sicurezza della macchina?

Se l’accesso remoto consente di cambiare parametri, modalità operative, logica di comando, configurazione HMI o dati rilevanti per funzioni di sicurezza, non è solo questione di firewall aziendale. Se la macchina arriva con password predefinite, account non descritti, accesso remoto aperto o procedura di aggiornamento poco chiara, è difficile sostenere che tutto il rischio di cybersicurezza sia lato utilizzatore.

L’utilizzatore ha certamente le sue responsabilità: rete, account, accessi, backup, aggiornamenti, segmentazione e procedure di modifica. Ma il fabbricante non può consegnare una macchina nello stato «poi la proteggete voi» e chiamarlo rischio residuo. Soprattutto con il Regolamento macchine (UE) 2023/1230, che avvicina chiaramente la cybersicurezza alla sicurezza delle macchine quando una violazione di hardware, software o dati può portare a una situazione pericolosa.

Anche qui vale la stessa sequenza: prima progetto, poi misure tecniche, poi informazione all’utilizzatore. Non il contrario.

Perciò, in tutti e tre i casi — afferramento, accessi e cybersicurezza — bisogna tornare alla domanda scomoda: il fabbricante ha davvero ridotto il rischio o lo ha solo descritto all’utilizzatore?

Se il fabbricante ha fatto la sua parte, l’utilizzatore deve prendere sul serio le informazioni. Deve formare le persone, mantenere efficienti i ripari, organizzare il lavoro e non bypassare le misure di protezione. Ma se quella parte non è stata fatta, il manuale non ripara il progetto.

Quando il rischio è davvero rischio residuo?

Dopo questi esempi si vede una cosa: non ogni rischio rimasto sulla macchina merita subito il nome di rischio residuo.

Che cosa significa davvero «rimasto»? Rimasto dopo una modifica costruttiva? Rimasto dopo un riparo, un interblocco, un bloccaggio o una modalità di messa a punto? Rimasto dopo aver spostato un punto di lubrificazione fuori dalla zona pericolosa? Rimasto dopo aver progettato un accesso fisso al punto di manutenzione? O rimasto perché nessuno voleva metterci mano e la soluzione più rapida era scrivere un’avvertenza?

Sono due situazioni completamente diverse.

ISO 12100 separa il tema con precisione: c’è il rischio residuo dopo le misure adottate dal fabbricante e c’è il rischio residuo dopo tutte le misure, comprese quelle lato utilizzatore. Tra i due punti c’è lo spazio in cui l’informazione fornita dal fabbricante deve diventare lavoro reale nell’organizzazione dell’utilizzatore.

Il controllo pratico può essere questo.

DomandaSe la risposta è sìSe la risposta è no
Il pericolo è descritto in modo concreto: dove, quando, chi è esposto e durante quale attività?Si può continuare a valutare se parliamo di rischio residuo.Non è ancora una valutazione del rischio, ma solo una descrizione generica.
Il fabbricante ha verificato se il pericolo si può eliminare con la progettazione?La logica segue ISO 12100.L’avvertenza nel manuale arriva troppo presto.
Sono state considerate misure di protezione: ripari, interblocchi, bloccaggi, modalità operative, comando ad azione mantenuta, limitazione di energia, velocità o forza?Si può motivare perché una parte del rischio resta.Il rischio probabilmente non è residuo: è non risolto.
Il fabbricante ha spiegato perché una certa misura non è stata adottata?La documentazione mostra una decisione ingegneristica.C’è una lacuna. E una lacuna non diventa rischio residuo solo perché viene chiamata così.
L’informazione per l’utilizzatore è specifica?L’utilizzatore sa che cosa fare, quando, come, con quali mezzi e in quali condizioni.«Prestare attenzione» o «non mettere le mani» non basta.
L’utilizzatore ha davvero controllo sulla misura richiesta?Può essere un ambito lato utilizzatore: formazione, LOTO, supervisione, procedura, manutenzione, DPI, organizzazione.Non si può fingere che l’utilizzatore gestisca ciò che non può controllare efficacemente.
La misura lato utilizzatore è sostenibile nella pratica?Si può parlare di responsabilità condivisa.Se richiede solo di «sorvegliare le persone» e una misura tecnica era possibile, il problema torna al progetto.
Dopo la misura di protezione è stato verificato che non siano nati nuovi rischi?La valutazione del rischio chiude il ciclo.Il processo non è finito; ISO/TR 14121-2 ricorda di verificare l’efficacia e i nuovi pericoli.

Questa tabella non è un algoritmo formale. È un filtro di buon senso. Se alla fine resta solo la frase «l’operatore deve stare attento», siamo troppo presto. Non siamo ancora arrivati al rischio residuo.

Vale anche la pena separare subito le responsabilità.

AreaChe cosa deve fare il fabbricanteChe cosa assume realmente l’utilizzatore
Afferramento, schiacciamento, contatto con movimentoProgetto, geometria, limitazione dell’energia, ripari, interblocchi, modalità operative, funzioni di sicurezza, descrizione chiara del rischio non eliminabile.Formazione, supervisione, manutenzione di ripari e interblocchi, procedure per gli inceppamenti, divieto di bypass delle misure di protezione.
Pulizia, messa a punto, manutenzioneConsiderare queste attività nella valutazione del rischio, ridurre l’accesso alle zone pericolose, prevedere modalità di servizio, punti di regolazione fuori zona e accesso sicuro.Organizzazione del lavoro, qualifiche del personale, LOTO, piano di manutenzione, controllo dello stato delle misure di protezione.
Accesso in quota, piattaforme, passerelleValutare se l’attività è frequente e prevedibile; progettare o definire i requisiti del mezzo di accesso permanente se necessario.Mantenere liberi e integri gli accessi, autorizzare il personale idoneo, applicare procedure e mezzi indicati dal fabbricante.
Cybersicurezza e accesso remotoArchitettura sicura, limitazione degli accessi, gestione degli account, descrizione delle interfacce, regole di aggiornamento, protezione di dati e software rilevanti per la sicurezza.Segmentazione della rete, gestione account, procedure di modifica, backup, supervisione degli accessi di assistenza.
Informazione nel manualeAvvertenze specifiche, descrizione del rischio, condizioni di uso sicuro, misure richieste lato utilizzatore, divieti e limiti d’uso.Applicazione pratica: formazione, istruzioni di postazione, supervisione, verifica del rispetto delle regole.

Ecco il punto. Il rischio residuo può essere condiviso. Ma condiviso non significa opaco. Condiviso non significa: «Il fabbricante ha scritto, quindi risponde l’utilizzatore». Condiviso non significa: «Il reparto sicurezza fa una procedura, quindi il progetto è a posto».

Condiviso significa qualcosa di più esigente: il fabbricante deve mostrare che cosa ha fatto lato macchina; l’utilizzatore deve prendere in carico ciò che dipende davvero da organizzazione del lavoro, supervisione, manutenzione e condizioni di esercizio.

In una buona valutazione del rischio, la riga «rischio residuo» non è l’ultima tavola di salvataggio. È la conclusione di un ragionamento onesto: qui c’era il pericolo, questo è stato fatto nel progetto, queste misure di protezione sono state applicate, questo non può essere eliminato senza creare un problema maggiore, queste informazioni e questi requisiti passano all’utilizzatore.

Solo allora rischio residuo suona come una conclusione della valutazione del rischio. Non come una coperta tirata sopra decisioni mancate.

La tabella aiuta, ma non sostituisce il lavoro vero

La divisione delle responsabilità funziona solo quando scende dalle formule generiche alla singola attività sulla macchina. È facile scrivere: «l’utilizzatore garantisce l’organizzazione del lavoro», «l’utilizzatore usa mezzi di accesso adeguati», «l’utilizzatore protegge la rete». È più difficile verificare se l’utilizzatore ha ricevuto una macchina che si può usare, pulire, mantenere e aggiornare in sicurezza.

Prendiamo una piattaforma di servizio.

Sul disegno sembra tutto corretto. Struttura metallica, grigliato, parapetto, accesso. L’accesso è previsto? Sì. Tema chiuso? Non per forza.

Prima domanda: per quale lavoro serve quella piattaforma?

Se una persona ci sale una volta l’anno per leggere un indicatore, la situazione è una. Se dalla stessa piattaforma bisogna sostituire regolarmente un motore, un riduttore, un cilindro, un rullo, una testa, un filtro o un altro componente soggetto a usura, non parliamo più solo di accesso. Parliamo di una postazione di lavoro per la manutenzione.

E allora la frase generica nel manuale non basta.

Chi sale lì? Una persona o due tecnici di manutenzione? Che cosa portano: cassetta attrezzi, chiave dinamometrica, imbracature, ricambio? Che cosa smontano: un coperchio da 20 kg, un motoriduttore da 80 kg, un riduttore da 150 kg o un motore da 500 kg? Dove appoggiano il componente dopo lo smontaggio? Sulla piattaforma, su un carrello, su un sollevatore? Sono previsti un varco di movimentazione, un punto di sospensione, un paranco, la traiettoria di estrazione e lo spazio per due persone? La portata della piattaforma considera solo l’uomo o anche utensili, parti, carichi localizzati e forze generate durante lo smontaggio?

Queste sono domande da reparto, non da presentazione.

Se il manuale dice che un motore da 500 kg si sostituisce dalla piattaforma, la piattaforma deve essere adatta a quel lavoro. Non al lavoro immaginario dell’operatore con un cacciavite, ma al compito reale: due persone, utensili, componente smontato, possibilità di manovra, protezione contro la caduta, trasporto del pezzo e discesa sicura al pavimento.

Altrimenti abbiamo una soluzione apparente. La piattaforma c’è, ma non risolve il compito. L’accesso esiste, ma non consente una manutenzione sicura. Il manuale descrive l’operazione, ma il progetto non crea le condizioni per eseguirla.

E qui torna la domanda principale: è davvero rischio residuo?

Se il fabbricante ha previsto un’attività di servizio regolare, ma non ha previsto come eseguirla in sicurezza, è difficile parlare di rischio residuo descritto correttamente. È piuttosto un concetto di manutenzione lasciato a metà. L’utilizzatore risponde di organizzazione del lavoro, qualifiche, LOTO, supervisione e mantenimento della piattaforma in buono stato. Ma non dovrebbe scoprire dopo l’accettazione che per cambiare un gruppo pesante deve improvvisare.

Il tema cybersicurezza funziona allo stesso modo.

La macchina arriva con un account di servizio. Login: admin. Password: admin. L’accesso remoto è attivo perché «l’assistenza deve collegarsi in qualche modo». La documentazione dice che l’utilizzatore deve proteggere la rete. L’IT viene coinvolto dopo l’avviamento. La manutenzione non vuole bloccare l’accesso perché la macchina deve produrre. L’assistenza vuole reagire in fretta. Ognuno ha il suo argomento.

Ma la domanda è semplice: il fabbricante ha consegnato la macchina in una configurazione predefinita sicura?

Non si tratta di far rispondere il fabbricante di tutta la rete dello stabilimento dell’utilizzatore. Sarebbe fuori dalla realtà. L’utilizzatore deve gestire accessi, segmentazione, backup, procedure di modifica, account, aggiornamenti e supervisione delle connessioni di assistenza.

Ma il fabbricante non può consegnare una macchina con una debolezza evidente e dire: «È un problema del vostro IT». Se accesso remoto, account, software, configurazione HMI o dati possono influire sul comportamento della macchina, quello strato fa parte della valutazione della sicurezza. Come un riparo, un interblocco o una modalità di servizio.

admin/admin non è un dettaglio. È l’equivalente digitale della piattaforma che esiste sulla carta ma non regge il lavoro vero. In documentazione qualcosa c’è. Nella realtà l’utilizzatore riceve un problema da correggere.

Per questo una buona informazione per l’utilizzatore non dice solo: «Proteggere la rete». Dice quali account esistono, quali ruoli di accesso sono previsti, che cosa va cambiato al primo avviamento, come funziona l’assistenza remota, chi può aggiornare il software, quali elementi di configurazione sono rilevanti per la sicurezza, come ripristinare le impostazioni e quali condizioni di rete il fabbricante ha considerato per il funzionamento sicuro della macchina.

Solo a quel punto si può parlare seriamente della responsabilità dell’utilizzatore. Perché l’utilizzatore sa che cosa sta prendendo in carico. E il rischio residuo si colloca davvero sul confine tra macchina e organizzazione del lavoro.

Senza questo, è solo scarico del problema.

Perciò il concetto di rischio residuo non va usato con leggerezza. Non serve a chiudere domande scomode. Serve a mostrare che cosa rimane lato fabbricante, che cosa passa all’utilizzatore e quali condizioni devono rispettare entrambe le parti affinché la macchina resti sicura nell’esercizio normale.

Perché la macchina non finisce con la dichiarazione di conformità. Continua a lavorare: nei cambi formato, nelle pulizie, nella manutenzione, nei guasti, negli aggiornamenti, negli accessi di assistenza e nella sostituzione di gruppi pesanti.

Se il progetto non prevede queste situazioni, il manuale non le ripara.

Domande frequenti

Che cos’è il rischio residuo in una macchina?

Il rischio residuo è il rischio che permane dopo l’applicazione delle misure di riduzione del rischio da parte del progettista della macchina. Nell’approccio ISO 12100 occorre innanzitutto puntare a una progettazione intrinsecamente sicura, quindi scegliere misure di protezione tecniche e complementari, e solo successivamente fornire all’utilizzatore informazioni sui pericoli residui.

Non è quindi un «contenitore» per problemi non risolti nel progetto. Per poter parlare di rischio residuo, occorre dimostrare quali azioni di riduzione del rischio siano state precedentemente considerate e applicate.

La dicitura «non introdurre le mani» è sufficiente come misura di protezione?

Di solito no. Un semplice avvertimento nelle istruzioni non sostituisce un riparo, un interblocco, un bloccaggio, una limitazione dell’energia, una modifica della geometria né una modalità sicura di regolazione, se tali misure sono possibili e adeguate al pericolo.

Le informazioni per l’utilizzatore hanno senso solo quando il progettista ha dimostrato che il rischio è stato precedentemente ridotto conformemente alla gerarchia delle misure prevista da ISO 12100 e che, nonostante ciò, permane un rischio residuo che richiede di essere descritto.

Chi è responsabile del rischio residuo: il fabbricante o l’utilizzatore?

La responsabilità è ripartita, ma non in modo arbitrario. Il fabbricante è responsabile della valutazione del rischio, della riduzione del rischio in fase di progettazione e dell’informazione accurata sul rischio residuo che non è stato possibile eliminare o ridurre sufficientemente mediante misure di progettazione.

L’utilizzatore è responsabile dell’organizzazione sicura del lavoro, della formazione, della supervisione, delle procedure, dei dispositivi di protezione individuale e dell’applicazione delle istruzioni. Ciò non significa tuttavia che il fabbricante possa scaricare sull’utilizzatore un pericolo che dovrebbe essere affrontato mediante soluzioni costruttive o tecniche.

Come riconoscere che un rischio è stato classificato come residuo troppo presto?

Un segnale di allarme è una situazione in cui nella valutazione del rischio compare un punto accessibile di intrappolamento, schiacciamento o taglio, e l’unica misura è un’avvertenza del tipo «non introdurre le mani». Questo non dimostra ancora che vi sia un rischio residuo reale.

Nella documentazione dovrebbe risultare se siano stati considerati la modifica della progettazione, la limitazione dell’energia o della velocità, lo spostamento delle attività al di fuori della zona pericolosa, i ripari, gli interblocchi, i bloccaggi, le funzioni di sicurezza e i modi di funzionamento a rischio ridotto.

Come documentare il rischio residuo nella valutazione dei rischi della macchina?

Un rischio residuo ben documentato non dovrebbe essere una singola voce in una tabella. Dovrebbe mostrare il percorso logico: pericolo, attività svolta dalla persona, fase di vita della macchina, persone esposte, valutazione del rischio prima della riduzione e misure di protezione adottate.

  • descrivere quali soluzioni progettuali e tecniche sono state considerate,
  • indicare quali misure sono state adottate e come limitano l’esposizione,
  • definire che cosa permane dopo la riduzione del rischio,
  • trasferire informazioni specifiche nelle istruzioni, nelle marcature e nelle procedure d’uso.

Dai una motivazione chiara al rischio residuo

Imposta la valutazione in modo che ogni avvertenza sia collegata alle scelte progettuali e alle misure di protezione adottate. Così documenti con chiarezza ciò che resta dopo la riduzione del rischio.

Crea un account Puoi iniziare da una sola macchina.