Niezawodność platformy Arduino do użytku przemysłowego

Nie jestem inżynierem elektrykiem (tylko mechanik), ale chciałbym wykorzystać część mojego doświadczenia hobbystycznego do mojej pracy i wdrożyć różne zautomatyzowane systemy w środowisku przemysłowym (produkcyjnym).

Tradycyjnie automatyzacja w środowisku przemysłowym składa się z systemów inżynieryjnych lub sterowników PLC. Zaprojektowane systemy są zbyt drogie, a sterowniki PLC nie są elastyczne (i mogą być również dość drogie).

Chciałbym zastąpić tradycyjne sterowniki PLC bardziej elastycznymi, wydajnymi i tańszymi Arduino, ale martwię się o niezawodność Arduino. Sterowniki PLC ewoluowały w środowisku przemysłowym, a zatem są bardzo wytrzymałe i niezawodne, ale jak wypada platforma Arduino?

Zakładając, że podjęte zostaną odpowiednie środki w celu ochrony Arduino przed uszkodzeniami mechanicznymi i elektrycznymi, jak niezawodna jest platforma? Czy możesz zaufać, że zastąpi tradycyjny sterownik PLC, który mówi, że system blokady bezpieczeństwa maszyny zapobiega zbliżaniu się ludzi do maszyny?

Edycja: A co z systemami niekrytycznymi dla bezpieczeństwa? Na przykład wprowadzenie inteligencji do powiedzmy urządzenia, do którego PLC nie byłby zdolny?

Producenci PLC chcieliby, abyś wierzył, że ich oprogramowanie jest bardziej niezawodne i dokładniej przetestowane. Mam wrażenie, że podstawowe elementy systemu operacyjnego sterowników PLC są zwykle dość dobrze zaprojektowane i przetestowane, ale sterowniki dla zewnętrznego sprzętu (systemy ruchu i tym podobne) są często zhakowane przez inżynierów aplikacji, a następnie przekazane firmie. Sprzęt w sterownikach PLC jest często przestarzały - na wielu z nich działają stare, gorące procesory Geode.

Kupując sterowniki PLC od Allen-Bradley, B&R, Siemens lub innych dużych graczy, płacisz głównie za wsparcie, gdy coś pójdzie nie tak. Ich sprzęt jest wykonany przy użyciu tych samych procesów produkcyjnych, co Arduinos, i nie ma nic magicznego w systemach operacyjnych działających w czasie rzeczywistym na sterownikach PLC, co czyni je bezbłędnymi. Myślę jednak, że za wsparcie często warto zapłacić. Jeśli jest to maszyna, która kosztuje firmę 1 mln USD każdego dnia, gdy nie działa, byłbym cholernie pewien, że gdy coś pójdzie nie tak, był zespół specjalistów, którzy mogliby to naprawić, nie tylko ja i Google. W konkretnym przypadku kurtyn świetlnych lub innych blokad bezpieczeństwa chciałbym upewnić się, że producent ma solidną polisę ubezpieczeniową, a nie oświadczenie, które próbuje zrzec się wszelkiej przydatności handlowej do określonego celu.

Mimo to, gdybym projektował (na przykład) trochę prostego pneumatycznego uruchomienia dla jakiegoś urządzenia i chciałbym wziąć na siebie ciężar wsparcia związanego z naprawą maszyny, gdy się zepsuła (lub gdybym nie był w stanie przydzielić zasobów) płacić za PLC), a bezpieczeństwo nie było problemem, chętnie skorzystam z Arduino.

Prawdopodobnie prototypowałbym system za pomocą Arduino, a następnie przepisałem kod w czystym C, gdy tylko działał, tak że mój kod był jedynym kodem na mikrokontrolerze.

Sam Arduino nie nadaje się do zastosowań przemysłowych ze względu na brak odpowiedniej ochrony i ekranowania. Możliwe jest jednak wykonanie przemysłowych kontrolerów AVR:

Powinieneś mieć ekranowanie, filtrowanie mocy / regulację / ochronę, optopairs do sterowania zewnętrznymi rzeczami, przyzwoite nakładki odsprzęgające na każdym chipie cyfrowym.

Powinieneś przetestować to bardzo ostrożnie podczas włączania / wyłączania dużych obciążeń, lepiej sprawdzić, czy masz jakieś usterki na liniach uziemienia / zasilania / danych podczas tej komutacji z oscyloskopem (do zakresu 1ns).

Powinieneś bardzo dokładnie sprawdzić źródło zegara - AVR nie wraca do oscylatora RC w przypadku awarii oscylatora kryształowego. Więc lepiej trzymaj się wewnętrznego RC, jeśli nie potrzebujesz dokładności zegara lub zwróć szczególną uwagę na routing kryształów, ładowanie kondensatorów, jakość PCB (= przypomnienia o strumieniu, ochrona przed wilgocią) i ekranowanie wokół kryształu.

Są lepsze uC do zastosowań przemysłowych, w szczególności z tą funkcją cofania RC.

Przed PLC sterowanie procesami przemysłowymi odbywało się za pomocą przekaźnika logix (do sterowania cyfrowego) i sterowników PID do sterowania analogowego. Przekaźniki były notorycznie niewiarygodne, których awaria w niektórych przypadkach miała poważne konsekwencje. Mimo to sugestia, że ​​może to być lepiej wykonane przez komputer z oprogramowaniemz wyjściami półprzewodnikowymi zamiast przekaźników przeraziło to większość inżynierów elektryków w tym czasie. Argumenty przeciwko przyjęciu PLC w tamtych czasach były podobne do niektórych argumentów w odpowiedziach na tym forum. Opieraj się interesującym sugestiom, a na pewno będziesz w dobrym towarzystwie. Względy ekonomiczne, przestoje i konserwacja przyczyniły się (powoli) do przejścia od sterowania przewodowego do sterowania mikrokontrolerem / oprogramowaniem. Pamiętam ostatnio, jak przerażający był Ethernet i różne związane z nim protokoły w tamtym czasie. Ethernet szybko staje się de facto standardem kontroli procesu.

W dzisiejszych czasach, w najbardziej wyrafinowanych systemach sterowania, procesy o krytycznym znaczeniu dla bezpieczeństwa zawsze mają stabilne / pneumatyczne / hydrauliczne / mechaniczne wsparcie lub przynajmniej stan awaryjny. Interfejs operatora do systemu sterowania jest istotną częścią systemu sterowania, który poza sterowaniem maszyną, w większości przypadków jest komputerem stacjonarnym z lokalnego sklepu PC, z systemem operacyjnym podatnym na błędy / awarie, który działa z błędami / awariami podatne na kontrolę aplikacje. To nie jest przesada. Zaprojektowaliśmy i zbudowaliśmy zakłady w najtrudniejszych środowiskach w przemyśle chemicznym i wydobywczym, w których pyły i opary są częścią życia, nawet w sterowni, i nie zawierają więcej awarii od standardowych gotowych urządzeń konsumenckich / komercyjnych niż od urządzenia przemysłowe. Dyski twarde ulegają awarii, ale są uszczelnione. W każdym razie zawodzą. Regularnie wydmuchujemy chmury pyłu przemysłowego z płyt głównych PC obsługujących interfejsy HMI. Sztuką jest posiadanie podwójnej / potrójnej redundancji we wszystkich ważnych / krytycznych systemach. Wszystko może zawieść. Właśnie dlatego sprzęt o kluczowym znaczeniu dla bezpieczeństwa jest zawsze wspierany przez sprzęt, a jest to wymóg legislacyjnywiększość krajów i zdrowy rozsądek w innych.

Jeśli ktoś chce włączyć lotnictwo do dyskusji, pamiętaj o przerażeniu, z jakim producenci samolotów spoza Airbusa spotkali się z sugestią fly-by-wire. W wypadkach lotniczych błąd ludzki (głównie pilot, ale także personel obsługi technicznej), a nie awaria inżynieryjna / systemowa, jest zdecydowanie przyczyną większości wypadków. W przestrzeni przemysłowej / komercyjnej PLC / mikrokontrolera argumentowałbym, że człowiek w terminalu programistycznym jest nadal najbardziej krytycznym elementem. PROJEKTOWANIE, STRUKTURA I UTRZYMANIE Oprogramowania są istotnymi składnikami, a nie sprzętem.

Rockwell oferuje produkt SoftLogix, który jest oprogramowaniem PLC działającym na standardowym komputerze PC w sklepie. Pomyśl o tym. Argument, że komputery PC działają w bardziej chronionym środowisku elektrycznym / atmosferycznym niż sterowniki PLC / sterowniki, może być prawdziwy w niektórych przypadkach, ale nie w większości i bardzo nielicznych w obsługiwanych przez nas instalacjach. Ironią jest to, że rozprzestrzenianie Ethernetu wymaga przełączników Ethernet w terenie. Z reguły nie używamy przełączników przemysłowych, ale standardowe produkty komercyjne i po 10 latach i setkach instalacji nie udało nam się jeszcze zepsuć przełącznika. Te przełączniki znajdują się w tych samych panelach, co we / wy PLC. Tym, co NIE robi, ale rzadko, jest tani zasilacz, który towarzyszy przełącznikowi. Unikaj tego, a przełącznik nie będzie najbardziej zawodnym elementem instalacji.

Jeśli chodzi o rygorystyczne testy / kontrolę jakości przemysłowych urządzeń PLC, niedawno uruchomiłem zakład, w którym KAŻDY z 8 lub 10 zdalnych analogowych kart wejścia / wyjścia był DOA. Dostawca, jedna z największych marek markowych na świecie, nie mrugnął okiem i natychmiast wymienił wszystko. Myślę, że to była zła partia i mogli wiedzieć o problemie przed naszym raportem. Zamienniki działały idealnie i nadal działają 3 lata później.

W dzisiejszych czasach wszędzie stosuje się strach, aby nas zastraszyć. Użyj rozumu i, jak mówili niektórzy weterani, „ssij i zobacz (na własne oczy)”. Bez wahania wypróbowałbym gdzie indziej mikrokontrolery „nieprzemysłowe”. Wystarczy postępować zgodnie z dobrą praktyką inżynierską, oszacować ryzyko i odpowiednio postępować. Nawiasem mówiąc, pojazdy silnikowe działają w warunkach niezbyt podobnych do niektórych warunków przemysłowych (mokro, gorąco, wibracje), ale mają wiele elektronicznych systemów krytycznych dla bezpieczeństwa. Teraz spróbuj zasugerować inżynierowi systemów sterowania przemysłowego, że masz zamiar wypróbować komponent motoryzacyjny w swoim zakładzie! CANbus czy DNET ktoś? Domyśl (:)

Nie jestem żadnym inżynierem. Jestem technikiem elektroniki w dużej firmie lotniczej i muszę przez cały czas modernizować i / lub unowocześniać maszyny sterowane numerycznie ze względu na starożytny sprzęt, do którego nie możemy już pozyskiwać części. Podczas gdy koszt jest poważnym problemem, ten, który wpędzi cię w poważne kłopoty, stanowi problem bezpieczeństwa.

W wydaniu 2012 NFPA 79 (Norma elektryczna dla maszyn przemysłowych) podsekcja 9.4.3.4.2 stwierdza:

„Układy sterowania zawierające sterowniki oparte na oprogramowaniu i oprogramowaniu układowym wykonujące funkcje związane z bezpieczeństwem muszą być samonadzorujące się i muszą spełniać wszystkie poniższe warunki:

1. W przypadku jakiejkolwiek awarii pojedynczego, awaria powinna:
   a. nie prowadzić do utraty funkcji związanych z bezpieczeństwem
   b. Doprowadzić do wyłączenia systemu w bezpiecznym stanie
   c. Zapobiegaj kolejnej operacji, dopóki awaria komponentu nie zostanie naprawiona
   d. Zapobiegaj niezamierzonemu uruchomieniu sprzętu po usunięciu awarii

2. Zapewniają ochronę równoważną ochronie systemów sterowania zawierających elementy przewodowe / sprzętowe

3. Być zaprojektowane zgodnie z zatwierdzoną normą, która określa wymagania dla takich systemów ”

Jeśli jesteś w stanie zapewnić spełnienie postanowień 1 i 2, wiem, że nie będziesz w stanie spełnić postanowienia 3 (chyba że jesteś przyzwyczajony do kontaktowania się z organami regulacyjnymi)

JEDNAK,

Jeśli używasz arduino tylko do monitorowania i powiadamiania, że ​​wystąpił stan bezpieczeństwa, który nie kontroluje samego obwodu bezpieczeństwa, nie powinieneś naruszać tego wymogu prawnego.

tzn. istnieje łańcuch e-stop, który odłącza zasilanie od wszystkich styczników / napędów silnika od głównego stycznika e-stop, gdy zostanie przerwany przez dowolny wyłącznik e-stop w obwodzie. Byś nie chcą korzystać z Arduino kontrolować obieg e-stop, ale powinno być w porządku za pomocą przełącznika auxilary kontaktowych na przycisków E-Stop, aby poinformować operatora E-stop, który został wciśnięty na wyświetlaczu.

W ten sposób nawet jeśli arduino próbuje napędzać silnik sygnałami sterującymi, faktyczna moc nie będzie dostępna, ponieważ główny stycznik zatrzymania awaryjnego wypadł sterowany przez zasilany energicznie łańcuch zatrzymania awaryjnego - nie przez mikrokontroler .

Upewnij się, że znasz wszystkie przepisy NFPA70E i NFPA79 i spełniasz je wszystkie. Zaufaj mi, że nie chcesz znaleźć się w otoczeniu sporów, próbującym odpowiadać na pytania bez pełnej znajomości tych przepisów, zanim coś zaprojektujesz.

tzn. inne rzeczy do rozważenia to zbyt szybkie zatrzymanie ruchu - czasami rzeczy muszą pozostać pod napięciem przez określony czas przed zatrzymaniem, aby zapobiec zagrożeniu bezpieczeństwa - tj. duża ściernica musi obracać się z ustaloną prędkością, aby nie wybuchła z gwałtownie zatrzymując się - w tym przypadku chciałbyś dużego rezystora, który użyłby silników Counter EMF do bezpiecznego spowolnienia prędkości obrotowej. Chcielibyście, aby stycznik, który wypadł z napędu silnikowego, ustawił ten rezystor w linii z uzwojeniami silnika - a nie arduino

Te scenariusze są również uwzględnione w NFPA79.

Upewnij się, że ty i twój pracodawca czujecie się swobodnie, przestrzegając tych przepisów i przyjmując wszelkie potencjalne zobowiązania.

zdecydowanie użyj ruggeduino (dla dodatkowej ochrony warto 45.oo) i izolacji optycznej dla wszystkiego, co jest podłączone do obwodu powyżej 24 woltów. Większość kontrolnych przekaźników kompatybilnych z arduino w tym samym miejscu to OMRON i są one wykorzystywane do wielu zastosowań przemysłowych. Poproś kogoś z doświadczeniem i kwalifikacjami o sprawdzenie projektu przed wdrożeniem - pamiętaj, że żaden z nas nie jest tak inteligentny jak wszyscy

Jedynym sposobem przetestowania go pod kątem trwałości byłoby zaprojektowanie go i sprawdzenie, jak długo działa. Zdecydowanie mieć identyczny zapasowy gotowy do wymiany na półce, jeśli koszty / czas są ważnymi kwestiami.

Daj mi znać, jeśli masz jakieś pytania.

Istnieje coś, co uważa się za przemysłowego klona Arduino o nazwie Ruggeduino, który ma ochronę wejścia i wyjścia, ich strona internetowa zawiera ciekawą lekturę na temat rugowania Arduino.

Oni sprzedają MSP430 z obwodów do stosowania w samochodach.

Ponieważ nie wiem nic o aprobatach przemysłowych, nie wiem, jaki rodzaj aprobaty dla aplikacji bezpieczeństwa mają te „Micro-PLC”.

Jednak w przypadku blokady bezpieczeństwa nie ufałbym niczego z oprogramowaniem bardziej skomplikowanym niż zwykły przełącznik.

Zasadniczo ... Nie mam wsparcia dla Arduino. Arduino jest narażone, nie ma walizki i nie daje gwarancji na niektóre normy IEC, które musisz spełnić. Na przykład, jak Arduino działa z 2 lub 3 latami kurzu na wierzchu.

Na dłuższą metę, jak już ktoś powiedział, jeśli maszyna kosztuje 1 mln USD dziennie, taniej jest nie używać Arduino. Głównie dlatego, że umrze, później niż za 6 i 10 lat, Arduino, którego dziś używasz, nie będzie już w stanie naprawić maszyny w odpowiednim czasie (będąc open source możesz ją wyprodukować ... ale).

OTOH ... jeśli używasz Arduino jako PLC, musisz opracować obwody pomocnicze, opracować mnóstwo oprogramowania, a na koniec, po tonach czasu i sprzętu, zobaczysz, że będziesz mieć to samo, co Allen Bradley, Siemens i in. ale z wyższym kosztem.

Nie tylko koszty produkcji są ogromne, ale modyfikacja nastąpi za kilka lat, głównie jeśli spróbujesz zintegrować technologię fieldbus, taką jak profibus lub ASi.

Fajnie jest grać ... ale to nie jest rozwiązanie.

Większość odporności pochodzi z EE, które stoi za elektryczną konstrukcją całego schematu i płytki drukowanej. Nie ma nic specjalnego w tych, których używają „certyfikowane” firmy chipowe - są one po prostu tańsze w ilości i być może mają własne certyfikaty. Zakładam jednak, że Atmel i Microchip już do nich pasują. Prawdziwa siła wynika z wielu testów, różnych metod tworzenia kopii zapasowych (detektory przepięć / przepięć, czujniki) i starannego rozmieszczenia. Mam wrażenie, że PIC / Arduino nie są używane na dużą skalę, ponieważ są droższe i zapewniają więcej niż są potrzebne.

Jestem inżynierem elektronikiem i używam mega płyty Arduino do niektórych aplikacji edukacyjnych, a także jestem użytkownikiem modułów Labview DAQ, takich jak DAQ-6009/6008 itd. ... Jestem również użytkownikiem PLC z Allen-bradelly i itp .. ale uważam, że przydatność Arduino musi zostać przetestowana w trudnych warunkach przemysłowych, takich jak wahania temperatury, warunki zapylenia i wilgotności, a także wibracje i promieniowanie elektromagnetyczne, a nawet niezawodne połączenie z czujnikami lub siłownikami, a także z innymi kartami przetwarzającymi dane, które są potrzebne przed dać sygnał i? p, a przed przekazaniem go końcowym efektowcom końcowym, takim jak zawory itp.

z tej strony i dyskusji zamierzam wygenerować narzędzie do testowania kart Arduino do zastosowań przemysłowych .. dla różnych rodzajów środowisk .. i dla różnych parametrów .. itd.

Mikrokontroler Atmel, który obsługuje Arduino, jest również dostępny dla samochodowych i przemysłowych systemów sterowania. Jak na razie dobrze!

[quote] Ich sprzęt jest wykonany przy użyciu tych samych procesów produkcyjnych, co Arduinos [/ quote]

Niestety reszta płyty Arduino prawdopodobnie nie jest tak wzmocniona.

Istnieje szereg kompromisów projektowych, które mogą skrócić okres eksploatacji do niższych kosztów. Na przykład kondensatory mogą nie być oceniane na 10 000 godzin w temperaturze 105 ° C, ale zamiast na 2 000 godzin w temperaturze 80 ° C, i tam jest prawdziwa różnica w czasie życia! Podobnie regulator w Arduino jest tanią wersją z wysokim drop-upem, a nie bardziej wydajną wersją z ultra-low-drop-dropem. (Czy zastanawiałeś się kiedyś, dlaczego Arduino potrzebuje 7 V lub więcej, aby wygenerować 5 V? Właśnie dlatego - z regulatorem ULDO wystarczyłoby 5,3 V.) I czy twój zasilacz kiedykolwiek ulegnie awarii? Skąd wiesz, że cały system jest w stanie bezpiecznym, jeśli tak jest? Na płycie nie ma nawet bezpiecznika!

Podobnie, nie ma prawie żadnej ochrony przed trudnym środowiskiem na płycie Arduino. Styki to tanie, konsumenckie styki żeńskie przeznaczone dla kilkudziesięciu wkładek, a nie styki o stopniu ochrony IP-65 (pod względem kosztów). Styki we / wy polegają na wbudowanej słabej ochronie ESD Atmega MCU, bez zewnętrznych ochrona.

Gdybym miał zbudować system o krytycznym znaczeniu dla bezpieczeństwa, równie dobrze mógłbym użyć mikrokontrolera Atmega, ale nie używałbym płyty Arduino w obecnej postaci. Dla porównania, koszt nakręcenia nowej płyty z nowymi komponentami zaprojektowanymi na tę sytuację byłby niewielki. I na tej płytce mogłem umieścić cały potrzebny sterownik, ochronę interfejsu i używać prawdziwych, wytrzymałych złączy. Nie to, że faktycznie mam kwalifikacje do budowy krytycznego dla bezpieczeństwa systemu elektronicznego - jestem programistą!

Aby zapoznać się z Arduino z pewną ochroną elektryczną (ale nadal bez ochrony w innych trybach awarii), sprawdź Ruggeduino: http://ruggedcircuits.com/html/ruggeduino.html

Myślę, że problemy z kurzem, wilgotnością, wibracjami itp. Można łatwo rozwiązać. Od 30 lat pracuję w samochodowej naprawie kolizji i obsługuję wszelkiego rodzaju sterowniki. Prostym rozwiązaniem stosowanym w samochodach w trudnych warunkach jest zamknięcie modułu sterującego w nieprzewodzącej żywicy, która zapobiega kontaktowi wilgoci lub pyłu ze sterownikiem, a jednocześnie sprawia, że ​​sterownik jest odporny na wibracje.

Jestem także kajakarzem i zbudowałem elektryczny system pomp dla mojej łodzi, aby rozwiązać zagrażający życiu problem próby wypompowania zalanej łodzi w warunkach sztormowych. Przez lata problemem z pompami elektrycznymi w kajakach była elektronika dostępna do użytku, ale chroniona przed słoną wodą. Wydawało się, że nikt nie osiąga niczego poza chwilowym sukcesem.

Okazuje się, że za pomocą przełącznika magnetycznego oraz przełącznika i kontrolera obudowującego uretan mam system, który przetrwał 3 lata soli, a zanurzenie w wodzie, a także wszystkie uderzenia fal i transport samochodowy, mogą rzucić na łódź.

Nie jestem ekspertem od elektroniki, pamiętajcie. Być może więc Arduinos ma słabość, która sprawia, że ​​nie nadają się one do systemów bezpieczeństwa, ale w środowisku nie ma nic, przed czym nie można by ich ochronić przy odrobinie zastanowienia.

Używanie Arduino w środowisku przemysłowym może być dopuszczalne, jeśli:

1. Chronisz swoje wejścia i wyjścia tak dobrze, jak sterowniki PLC
2. W aplikacji lub za pomocą zewnętrznego sprzętu wdrażasz wykrywanie braku zasilania i funkcję nadzoru
3. Twoja aplikacja dba o to, aby Twoje wyjścia były zawsze w znanym bezpiecznym stanie
4. Wszystkie blokady i bezpieczeństwo wdrażasz bezpośrednio w kodzie
5. Spędzasz więcej czasu na testowaniu niż na pisaniu kodu
6. Nie potrzebujesz certyfikacji niestandardowego urządzenia

Prawdopodobnie będziesz musiał dostarczyć interfejs protokołu MODBUS lub PROFIBUS i wykonać sterowniki do interfejsu 0..20mA, 4..20mA, 0..10V, TC, silniki, enkodery (lub użyć kart slave MODBUS / PROFIBUS z wbudowanymi takimi sterownikami ) ...

Jeśli chcesz zaprogramować swoje urządzenie w systemie drabinkowym zamiast C / ASM / PAS / BAS, możesz to zrobić. Oprogramowanie to zapewnia.