Ufficio tecnico, primavera 2026. Sul tavolo c’è una distinta base che ha già passato tre revisioni, una macchina quasi chiusa e la solita domanda fatta a bassa voce: “Questo encoder va ancora bene nel 2027?”. Non è la classica ansia da norma. È un dubbio più scomodo, perché non riguarda il robot intero o il PLC di sicurezza, ma il componente che finora è stato trattato come neutro: misura, manda il dato, fine.
Il punto è che il 20 gennaio 2027 il Regolamento macchine (UE) 2023/1230 sostituirà del tutto la Direttiva 2006/42/CE. Il calendario non è più materia da convegno: StaLab, Sicureos e OMRON Italia lo richiamano da tempo nelle loro note operative. Nel frattempo, ad aprile 2025 sono arrivate le nuove UNI EN ISO 10218-1 e 10218-2 per robot industriali e integrazione nelle celle. La domanda, detta senza giri, è questa: quanto pesa il dato di posizione dentro una valutazione di conformità che ormai guarda sicurezza funzionale, arresti, rete e cybersecurity come un pezzo unico? Più di quanto molti acquisti vogliano sentire.
Tavolo normativo: il componente “non safety” entra lo stesso in stanza
Il Regolamento 2023/1230 non dice che ogni encoder diventa un safety device. Sarebbe troppo facile, e falso. Dice però una cosa meno comoda: se un componente contribuisce a una funzione che incide sulla sicurezza della macchina, il suo comportamento non può più essere liquidato come dettaglio d’automazione. Origine del dato, integrità della trasmissione, logica di arresto e possibilità di alterazione diventano parte della discussione.
Nelle celle robotizzate il cambio di clima normativo si vede bene. Le edizioni 2025 della UNI EN ISO 10218-1 e 10218-2, segnalate in primavera da Quadra e LAS AES, hanno rimesso al centro le funzioni di arresto, la ripartenza, l’integrazione tra robot, attrezzature, protezioni e controllo. Tradotto in officina: se la posizione, la velocità o il limite corsa arrivano da una catena sensore-rete-controllore, quella catena smette di essere invisibile. E quando smette di essere invisibile, finisce nel fascicolo tecnico, nelle verifiche e nelle domande dell’ente o del cliente evoluto.
Qui nasce l’equivoco più diffuso. “Ma questo non è certificato safety”. Vero. Però può stare dentro una funzione che, se degrada o viene manipolata, cambia il profilo di rischio della macchina. Il confine non è il catalogo; è l’uso reale nel sistema. Chi progetta lo sa da anni. Il problema è che spesso il reparto lo ammette solo dopo il primo verbale di non conformità.
Tavolo progettazione elettrica e rete: il feedback non viaggia più da solo
Fino a ieri bastava chiedersi se il segnale arrivasse. Nel 2027 la domanda corretta sarà un’altra: come arriva, chi può alterarlo, cosa succede se si interrompe, se degrada o se viene parametrizzato male. Perché un encoder assoluto su Profinet, EtherCAT, EtherNet/IP, CANopen o IO-Link non porta soltanto posizione. Porta identità di nodo, diagnostica, parametri, tempi di aggiornamento, dipendenza dal firmware, dipendenza dalla topologia. Ogni voce apre una responsabilità.
È il pezzo che in molte distinte base resta scritto in modo pigro: “encoder assoluto fieldbus”. Troppo poco. Se la macchina usa quel dato per rallentare, fermarsi entro una zona, gestire una camma elettronica che evita collisioni o validare una quota prima del riavvio, servono criteri precisi su latenza, perdita di comunicazione, gestione del guasto, coerenza tra unità di misura e comportamento al reboot. Non è burocrazia. È ingegneria di difesa.
La parte elettrica, poi, paga un vecchio vizio: separare cablaggio e cybersecurity come se fossero mondi distinti. Non lo sono più. Un connettore esposto, una rete di servizio lasciata aperta, un parametro riscrivibile senza tracciamento, un file macchina clonato fra linee diverse con indirizzi ereditati: basta poco per trasformare un componente ordinario in un varco. E il brutto è che in collaudo, spesso, fila tutto liscio.
Mettiamo il caso di una cella robotizzata per packaging con asse di alimentazione e controllo posizione su rete industriale. In test, tutto regolare. Sei mesi dopo, durante una modifica di formato, viene caricato un set parametri non coerente con la riduzione meccanica reale. Il robot riceve tempi giusti da un lato e quote sbagliate dall’altro. Nessun guasto plateale, solo arresti sporadici e ripartenze incerte. Chi lo firma, quel comportamento? Il software? Il sensore? L’integratore? La risposta che piace in riunione è “dipende”. La risposta che regge in audit è un’altra: dipende da cosa era stato previsto e documentato.
Tavolo acquisti e retrofit: il pezzo equivalente che equivalente non è
Qui la pressione economica conta. L’Osservatorio ANIE Automazione 2025 descrive un 2024 di forte contrazione per il mercato interno, con una stabilizzazione attesa nel 2025. Nello stesso richiamo al preconsuntivo 2024, il comparto resta attorno agli 8 miliardi di euro. Traduzione secca: i budget sono tirati, ma il settore non è fermo. E quando i margini si assottigliano, la tentazione di comprare il feedback come fosse una commodity torna subito sul tavolo.
È la scorciatoia più pericolosa del lotto. Un retrofit fatto con il criterio “stesso ingombro, stesso connettore, prezzo più basso” può passare al montaggio e fallire nella conformità. Perché nel frattempo sono cambiati il protocollo disponibile, la diagnostica, la gestione degli errori, il profilo di comunicazione, la disponibilità di tracciamento dei parametri e, in certi casi, il modo in cui quel componente entra nella logica di arresto o nella verifica di posizione al riavvio.
Non serve arrivare al robot per vedere il problema. Vale su macchine per lamiera, legno, carta, vetro, plastica, tessile, alimentare – dove encoder, trasduttori lineari, potenziometri e visualizzatori sembrano accessori di contorno finché non manca la prova documentale che spieghi limiti d’impiego, interfacce, condizioni ambientali, comportamento di guasto. A quel punto il costo non sta nel componente. Sta nelle ore di rilavorazione del fascicolo, nelle prove ripetute, nella messa in servizio rinviata, nelle discussioni col cliente finale.
È qui che il 2027 si nasconde. Non nella grande scelta “rifaccio la macchina o no”, ma nella riga di acquisto scritta male e nel retrofit ereditato da una linea del 2019. Su https://www.elap.it/ il catalogo mostra bene quanto ampia sia la famiglia di dispositivi che finisce dentro questi ragionamenti: encoder incrementali e assoluti, trasduttori lineari e rotativi, sistemi di visualizzazione e controllo. Nessuno di questi nasce automaticamente come dispositivo di sicurezza. Però può entrare nel perimetro di conformità appena il suo dato governa un comportamento che cambia il rischio residuo della macchina.
La checklist che decide se la distinta base regge il 2027
In molte aziende la domanda giusta arriva tardi. Non “quale codice ordino”, ma se quel componente ha un ruolo reale dentro la sicurezza operativa e digitale della macchina. Se la risposta è vaga, il problema è già partito.
- Scrivere la funzione reale: il dispositivo misura soltanto o condiziona arresto, limitazione, ripartenza, quota valida, sincronismo.
- Legare il componente al rischio: quale pericolo cresce se il dato manca, deriva, si blocca o viene alterato.
- Definire il comportamento di guasto: errore rilevato, valore congelato, valore plausibile ma falso, perdita di nodo, riavvio dopo blackout.
- Bloccare i parametri sensibili: chi può modificarli, con quale tracciamento, con quale procedura di rilascio.
- Verificare la coerenza di rete: protocollo, ciclo, diagnostica, naming, indirizzamento, versioni firmware, backup configurazioni.
- Chiedere documenti prima dell’ordine: non il catalogo commerciale, ma dati tecnici, limiti d’uso, compatibilità, condizioni ambientali, manualistica di integrazione.
- Separare equivalenza meccanica da equivalenza funzionale: stesso albero e stessa flangia non bastano.
- Aggiornare il fascicolo retrofit: se cambia il feedback, cambia la macchina. Su carta e in responsabilità.
Chi fa OEM o system integration conosce già la scena finale. La macchina parte, il cliente produce, tutti tirano il fiato. Poi arriva la richiesta secca: dimostrare perché proprio quel componente, in quella rete, con quei parametri, è stato ritenuto adatto al rischio dichiarato. Nel 2026 questa domanda sembra prematura. Nel 2027 sarà normale. E le distinte base che reggono saranno quelle scritte da chi ha capito una cosa semplice: il feedback non è più neutro.