a. i concetti espressi nella ISO 13849-1 sono gli stessi discussi e referenziati nella IEC 61511, per cui anche se con accezioni e applicazioni differenti, le argomentazioni e i ragionamenti sono abbastanza simili.
b. fino all'anno scorso ero progettista e fornitore di impianti su specifiche del cliente, ora sono cliente, e ti posso assicurare che spesso il Cliente inserisce nei capitolati richieste tecniche e normative del tutto inapplicabili... ahimè è la mera verità!! Diamo però per assodato che hai già verificato che la richiesta di applicare la ISO 13849-1 è applicabile.
CONCLUSIONI, PER QUANTI NON AVRANNO LA FORZA DI LEGGERE TUTTO
Candy a mio avviso i tuoi ragionamenti sono del tutto esatti (più qualche mio punto oscuro), non capisco perché non ritieni proprio il requisito di rispettare la ISO 13849-1 il tuo punto di forza nel richiedere l'utilizzo di un PLC di sicurezza.
TESTO INTEGRALE
Candy sto cercando di inquadrare meglio la tua richiesta, o meglio il problema che ci hai sottoposto, ma per ora faccio ancora fatica, per cui provo a fare un po di chiarezza (nella mia mente, almeno).
Abbiamo un macchinario in cui un organo meccanico può essere pericoloso se avvicinato mentre ancora è in movimento. A tal fine si racchiude questo macchinario all'interno di un cabinato con una porta di accesso. Il macchinario è controllato da un PLC funzionale (per cui che gestisce le logiche di "normale funzionamento", ovvero operative, comprese l'avvio e la fermata normale.
A questo punto due possibili scenari:
1. Se apro la porta di accesso al cabinato, tutti gli organi meccanici al suo interno devono fermarsi in tempo (diciamo) ZERO per evitare pericoli all'operatore
2. Se voglio entrare all'interno del cabinato, dovrò aspettare che tutti gli organi meccanici all'interno dello stesso siano fermi, perché solo allora un blocco meccanico applicato alla porta dovrà permettere l'apertura della stessa.
Ora, delle due situazioni credo di poter scartare la 1. perché per quello che scrivi si capisce che non esiste la possibilità di imporre una fermata immediata degli organi meccanici, ma anche perché non mi sembra sia quello che chiedi, sia nel post [1] che [7].
Sopratutto, il post [7] mi sembra che sia chiaro in merito a quello che ti viene richiesto: l'operatore fa una richiesta di accesso (mediante pulsante, mediante PLC funzionale, non ha importanza), a quel punto il PLC gestisce la richiesta come un normale comando di fermata operativa (quindi non di emergenza), e solo a organi meccanici fermi il blocco porta deve "sbloccarsi".
Credo che fin qui non ci sia nulla di errato nella mia ricostruzione (speriamo).
Allora, la soluzione B del Costruttore sarebbe accettabile se (E SOLO SE) il PLC è certificato per operazioni di sicurezza (quindi con grado PL adeguato) AND il produttore di tale Safety PLC può certificare che dal punto di vista funzionale (sia HW che SW) la sezione di controllo e la sezione di sicurezza implementate sul PLC siano assolutamente e completamente distinte e non interferibili l'uno con l'altro. Altrimenti la stessa ISO 13849-1 impone due sistemi distinti (sicuramente vale per la IEC 61508/61511, bisogna leggersi la ISO per trovare il punto in cui ciò è scritto).
Ci sono però dei punti che ancora mi sono oscuri.
Nel post [1], alla fine, parli di
. Cos'è? Come è collegato al resto?modulo di sicurezza
Veniamo ora ad un altro particolare:
In che modo toglie energia ai motori? Aprendo un contattore sull'alimentazione degli stessi all'interno dell'inverter? se è così, immagino che il modulo di sicurezza (ancora non so cosa sia) apra un contatto predisposto all'uopo nell'inverter, il quale agisce sui suoi contattori interni. l'inverter è certificato per operazioni di sicurezza? Oppure agisci su un contattore esterno all'inverter? Scarterei questa seconda opzione perché l'inverter dovrebbe essere informato dell'apertura del carico (i motori) e reagire di conseguenza. In ogni caso, questi microinterruttori garantirebbero la sicurezza ma solo perché assicurano che una volta aperta la porta gli organi meccanici non possono ripartire; ma non risolve il problema dell'apertura stessa della porta.il microinterruttore Interviene sul modulo di sicurezza che toglie energia ai motori. Attenzione: toglie energia. Non li ferma.
Quanto riportato nel post [6] da WALTERmwp non mi quadra, perché anche ad avere una ridondanza nella rilevazione dello stato "safe", queste informazioni verrebbero comunque processate da un PLC funzionale, il quale potrebbe fallire non essendo certificato, e quindi essere un elemento debole nella catena di sicurezza. A questo punto a cosa sarà servita la ridondanza?
Post [7]: mi sembra tutto perfetto e coerente. Uniche cose che non capisco sono:
1. ancora, cosa è un modulo di sicurezza (poi anche chiamato modulo principale di sicurezza e ancora modulo master)?
2. il contatto che forza il blocco della porta non dovrebbe essere n.a., chiuso per porta sbloccata? in questo modo se perdi il comando (filo tranciato, etc..) resti in sicurezza non permettendo l'apertura della porta.