Ultima modifica: 09/11/2024
Tra le funzioni di un macchinario, quella dei pulsanti di emergenza e dell’arresto di emergenza è probabilmente quella che salta più all’occhio; non è tuttavia la più semplice da comprendere.
La norma di riferimento è la UNI EN ISO 13850, la cui ultima edizione è del novembre 2015: “Sicurezza del Macchinario – Funzione di arresto di emergenza – Principi di progettazione”. L’edizione precedente è del 2008.
La definizione è la seguente (§3.1): “Funzione prevista per evitare al loro sorgere o ridurre i pericoli esistenti per le persone, i danni al macchinario o alla lavorazione in corso; e essere attivata mediante una singola azione umana”.
Nel presente articolo si chiariscono alcuni aspetti importanti; si rimanda alla lettura della normativa EN ISO 13850, al fine di comprendere tutte le prescrizioni necessarie ad una corretta implementazione della funzione.
1. La funzione di arresto di emergenza non svolge funzioni di riduzione del rischio.
In altri termini non è possibile, durante l’attività di analisi e riduzione del rischio, di fronte ad un pericolo generato, per esempio, da un nastro trasportatore le cui parti in movimento non sono correttamente protette, decidere che, grazie alla presenza di una fune di emergenza, il rischio è accettabile.
La direttiva macchine è chiara [RESS 1.2.4.3]: “I dispositivi di arresto di emergenza devono offrire soluzioni di riserva ad altre misure di protezione e non sostituirsi ad esse”.
La norma ISO 13850 riprende il concetto al §4.1.1.3 “La funzione di arresto di emergenza è una misura di protezione complementare e non deve essere applicata in sostituzione di misure di protezione e di altre funzioni o funzioni di sicurezza”.
Un altro modo per esprimere lo stesso concetto è dire che l’arresto di emergenza non è una funzione di sicurezza, anche se realizzata all’interno di un sistema di sicurezza. La definizione di funzione di sicurezza è la seguente (§3.5): “Funzione di una macchina il cui guasto può determinare un immediato aumento del(i) rischio(i)”.
Questa, si può dire, è la posizione ISO, ovvero normativa tecnica armonizzata per i macchinari.
Una versione leggermente diversa, sempre all’interno di alcune norme ISO è che il pulsante d’emergenza sia una funzione di sicurezza, dato che deve avere un livello di affidabilità (PL c è il minimo richiesto), tuttavia non deve essere utilizzato per ridurre il rischio.
Posizione ancora più estrema è sostenuta da una minoranza di tecnici a livello di normativa ISO ma da una maggiornanza a livello di normativa USA. Tanto è vero che la B11.19 riconosce la possibilità, in casi estremi dove non vi è altra soluzione, di ridurre il rischio grazie ad un pulsante o ad una fune d’emergenza. Ecco il passaggio normativo:
[B11.19: 2019] 10.12 Emergency stop (E-stop) devices
10.12.1 General requirements for E-stop devices
10.12.1.1 Emergency stop devices used to reduce risk to individuals shall comply with all applicable requirements of clause 9 and subclause 10.1.
L’argomento è dibattuto. GT Enginering ritiene che la funzione di arresto d’emergenza non debba mai essere utilizzata per ridurre il rischio, dato che è possibile sempre trovare una soluzione corretta.
2. La funzione di arresto di emergenza non deve necessariamente togliere tutte le energie al macchinario.
“Lo scopo della funzione di arresto di emergenza è evitare situazioni di emergenza effettive derivanti dal comportamento di persone o da un evento pericoloso inatteso” §4.1.1.1.
Si pensi, per esempio, ad un robot che movimenta, grazie a delle ventose, delle lastre di vetro. La movimentazione corretta del carico da parte del robot è garantita dalla presenza dell’aspirazione nelle ventose. Si ipotizzi che l’attivazione della funzione di arresto di emergenza spenga anche la pompa del vuoto. Se l’attivazione della funzione avviene durante una movimentazione del carico, questo comporterebbe lo stacco della lastra e la sua proiezione contro le barriere. In questo caso è meglio non legare il taglio della pompa del vuoto all’emergenza e gestire il rischio della presenza di energia con manualistica e cartellonistica.
3. La funzione di arresto di emergenza non deve necessariamente spegnere tutti i macchinari di una linea di produzione.
In presenza di una linea di produzione, o di un impianto costituito da più macchinari, nasce spontaneo il voler arrestare tutti i macchinari della linea o dell’impianto. È chiaro che questa dovrebbe essere la prima condizione da considerare. Si immagini una linea di nastri che attraversano diverse zone di una grande impianto. L’arresto di un nastro della linea dovrebbe comportare l’arresto di tutti quelli a monte, ma non necessariamente di quelli a valle.
La norma in oggetto dettaglia questa situazione al §4.1.2.
[ISO 13850:2015] 4.1.2 Ampiezza di comando del dispositivo di arresto di emergnza
L’ampiezza di comando di ogni dispositivo di arresto di emergenza deve coprire l’intera macchina. Come eccezione, un’unica ampiezza di comando può non essere appropriata quando, per esempio, l’arresto di tutti i macchinari collegati potrebbe generare pericoli aggiuntivi o influenzare in maniera non necessaria la produzione. Ogni ampiezza di comando può interessare una o più sezioni di una macchina, una macchina intera o un gruppo di macchine”.
La Direttiva Macchine stessa ha un RESS dedicato a questo aspetto
[2006/42/CE] 1.2.4.4. Assemblaggi di macchine
Nel caso di macchine o di elementi di macchine progettati per lavorare assemblati, le macchine devono essere progettate e costruite in modo tale che i comandi di arresto, compresi i dispositivi di arresto di emergenza, possano bloccare non soltanto le macchine stesse ma anche tutte le attrezzature collegate, qualora il loro mantenimento in funzione possa costituire un pericolo.
Nasce naturalmente l’esigenza di indicare, in modo intuitivo per l’utilizzatore, quale parte dell’impianto viene arrestata dallo specifico pulsante di emergenza. La norma, sempre all’interno del paragrafo, fornisce ulteriori prescrizioni al riguardo.
4. Non è consentito l’utilizzo della funzione di arresto di emergenza per eseguire attività di manutenzione sul macchinario.
Spesso il pulsante di emergenza è dotato di chiave. Il motivo è che, una volta estratta la chiave, il pulsante, una volta attivato, non può essere riarmato se non si re-inserisce la chiave. Questo è per dare importanza sia all’attivazione che al riarmo.
La chiave però viene, a volte, utilizzata dalla manutenzione per garantire che nessuno riarmi la funzione e avvii il macchinario: una sorta di Lockout-Tagout, o, come si scrive in gergo, di prevenzione dell’avviamento inatteso.
Questo utilizzo è scorretto, come scritto nella norma EN ISO 13850, nota del §4.1.1.2. “La funzione di arresto di emergenza non può essere considerata una misura di prevenzione di avviamenti inattesi come descritto nella ISO 12100”. La norma EN ISO 14118, pubblicata a maggio 2018 riporta un testo simile nella nota del §6.3.2.
Può trarre in inganno il fatto che alcuni pulsanti di emergenza sono forniti di chiave. Uno potrebbe dedurre che lo scopo della chiave è di, una volta attivato il pulsante di emergenza per mettere la macchina in sicurezza, estragga la chiave che porto con me, così nessuno può riavviare il macchinario. In realtà non è così: la norma sconsiglia l’utilizzo di pulsanti di emergenza con la chiave. Ecco il passaggio a cui ci si riferisce.
[ISO 13850: 2015] 4.3.6. […] Emergency stop device requiring a key on the actuator to be disengaged (unlatched) should be avoided. When an emergency stop actuator can only be disengaged by using a key, to avoid injuries to hands, instruction for use of the machine shall describe the correct use of the key and provide a warning that the key should only be in the actuator of the device to disengage the actuator.
Quindi: usate solo Pulsanti di Emergenza senza chiave!
5. Lo sfondo del pulsante di emergenza deve essere giallo.
Ecco l’estratto normativo, §4.3.6: “L'attuatore del dispositivo di arresto di emergenza deve essere di colore ROSSO. Se dietro all'attuatore è presente uno sfondo e nella misura in cui sia possibile, lo sfondo deve essere di colore GIALLO”.
L’apparente “eccezione” data dalla frase “se è presente uno sfondo e nella misura in cui sia possibile” non si riferisce al classico fungo di emergenza, il quale deve essere rosso su sfondo giallo.
6. Sebbene la funzione di arresto di emergenza non riduca il rischio, questa deve avere un livello di affidabilità minimo: SIL 1 o PLr=c.
La nuova edizione della norma riporta la seguente prescrizione al §4.1.5.1 “La determinazione del livello di prestazione (PL) o del SIL richiesto dovrebbe tenere in considerazione lo scopo della funzione di arresto di emergenza, ma il livello minimo richiesto è PLr c o SIL 1”.
7. Normalmente, il pulsante di emergenza non deve avere ostacoli che limitino la possibilità di attivarlo.
Tuttavia la norma riconosce il problema che il pulsante di emergenza può essere attivato accidentalmente. Questo può portare a comportamenti scorretti come quelli della foto. È quindi ammesso, come eccezione, di proteggere il pulsante con un colletto o altro metodo di protezione; ecco quanto prescrive la norma al §4.5: “L'utilizzo di un colletto di protezione attorno al dispositivo di arresto di emergenza dovrebbe essere evitato, tranne quando necessario per impedire l'azionamento accidentale e altre misure non sono possibili”.
La norma continua però prescrivendo che tali colletti “non devono impedire od ostacolare l'azionamento con il palmo della mano”.
8. Non vi è l’obbligo di mettere un pulsante di emergenza su ogni stazione di comando.
La norma in oggetto ha sempre contemplato il fatto che, sebbene sia corretto, non è strettamente necessario un pulsante di emergenza su ogni stazione di comando. Questa decisione va vagliata a seguito di un’analisi del rischio, come prescritto al §4.3.2.
L’obbligo deriva tuttavia dall’attuale edizione della EN 60204-1. Tuttavia, sta per essere pubblicata la nuova edizione di tale norma, nella quale ci si allinea alla norma di prodotto della funzione di arresto di emergenza; si veda come è stato modificato il testo del §10.7.1 nella nuova edizione della EN 60204-1.
9. La funzione di arresto di emergenza può attivare dei movimenti, se questi sono finalizzati all’arresto di funzioni pericolose. Si pensi, per esempio, all’arresto in sicurezza di una linea di colata continua dell’acciaio. Questo arresto può avvenire solamente chiudendo la linea e impedendo quindi che l’acciaio continui a colare nella camera di raffreddamento. Questo avviene inserendo una busetta, chiamata “cieca”, che chiude il foro della paniera.
È chiaro che l’analisi del rischio deve portare ad attuare delle precauzioni affinché il movimento della busetta, causato dall’attivazione della funzione d’arresto di emergenza, non comporti rischi per l’operatore. Si veda quanto riportato al §4.1.1.5 della norma.
10 I dispositivi di arresto che coprono l'avvio e il pulsante di arresto non possono fornire la funzione di arresto di emergenza.
Il pulsante di emergenza che riveste il pulsante di avvio e il pulsante di arresto, come il "flap-stop", è un tipo speciale di "dispositivo di arresto" prodotto normalmente al di fuori dell'UE, e usato come un normale pulsante di emergenza per diversi macchinari, in particolare per le macchine più piccole, come i trapani da banco.
Il flap-stop è un interruttore di avvio e di arresto, che è dotato di un'aletta gialla e di un pulsante a fungo rosso (Fig. 4), che copre sia il pulsante di avvio che quello di arresto.
Quando il pulsante di emergenza a fungo viene attivato, il flap-stop preme il pulsante di arresto. Il flap può essere tenuto in una posizione aperta che non può assicurare la disponibilità in ogni momento.
Questo sistema non può quindi fornire la funzione di arresto di emergenza come richiesto nell'allegato I sezione 1.2.4.3 della direttiva macchine 2006/42/CE.
11. Il pulsante o la fune di emergenza non necessita di una funzione di RESET.
La funzione di RESET (ripristino, in Italiano) è necessaria (ovvero è una funzione di sicurezza), quando per esempio la si vuole utilizzare per ridurre il rischio di Whole Body Access.
Dato che alla funzione di arresto di emergenza non è associata ad alcuna presenza di aree segregate, all’interno delle quali vi può essere presenza di personale al momento del riavvio del macchinario, non necessita di un tasto di ripristino.
È invece obbligatorio che abbia una funzione di RIARMO meccanico, chiamato Disinserimento. Ecco il passaggio della ISO 13850:
[ISO 13850: 2015] Disinserimento (per esempio sgancio) del dispositivo di arresto di emergenza
L’effetto di un dispositivo di arresto di emergenza deve essere sostenuto fino a quando l’attuatore del dispositivo di arresto di emergenza non sia stato disinserito. Questo disinserimento deve essere possibile solo mediante un’azione umana intenzionale sul dispositivo da cui il comando è stato attivato. Il disinserimento del dispositivo non deve riavviare il macchinario, ma solo consentirne il ravvio.
Quindi ad esempio non è possibile utilizzare una costa sensibile come funzione di arresto di emergenza, dato che non ha un inserimento fisico.
12. Un SEZIONATORE di potenza può essere usato come la funzione di Arresto di Emergenza.
Viene riportato il testo della Guida alla DIRETTIVA MACCHINE:
[Guide to the Machinery Directive : 2019] Disconnecting device as emergency stop
According to market observations, also the disconnecting device as shown in figure at the side is used as emergency stop device. The supply disconnecting device is sometimes being locally operated to serve the function of emergency stop with regard to EN 60204-1 Safety of machinery – Electrical equipment of machines – Part 1: General requirements in which it is stated under section 10.7.4 “Local operation of the supply disconnecting device to effect emergency stop”:
Nella Guida si legge quindi che è possibile utilizzare un dispositivo di sezionamento come arresto di emergenza. Il dispositivo di sezionamento dell’alimentazione può essere azionato localmente per svolgere la funzione di arresto di emergenza conformemente a quanto è presente nella norma EN 60204-1 Sicurezza del macchinario – Equipaggiamento elettrico delle macchine – Parte 1: Requisiti generali” in cui è indicato al punto 10.7.4 “Funzionamento del dispositivo di sezionamento dell’alimentazione per effettuare un arresto di emergenza”.
Tuttavia, quando il sezionatore di potenza è utilizzato come Arresto di emergenza, non ha senso parlare di livello di affidabilità secondo ISO 13849-1 o IEC 62061. Il motivo è che tale componente non fa parte del sistema di controllo del macchinario, dato che agisce solo nella parte di potenza.