Надійність платформи Arduino для промислового використання

Я не інженер-електрик (просто механічний), але хотів би застосувати частину свого досвіду любителів у своїй роботі та впроваджувати різні автоматизовані системи у виробничих (виробничих) умовах.

Традиційно автоматизація в промислових умовах складається або з інженерних систем, або з PLC. Розроблені інженерні системи занадто дорогі і PLC не мають гнучкості (і вони також можуть бути досить дорогими).

Я хотів би замінити традиційні PLC на більш гнучкі, потужні та дешевші Arduinos, але мене турбує надійність Arduino. PLC еволюціонували в промислових умовах і, таким чином, дуже міцні та надійні, але як порівняти платформу Arduino?

Якщо припустити, що вживаються належні заходи для захисту Arduino від механічних та електричних пошкоджень, наскільки надійною є платформа? Чи можете ви довіряти йому замінити традиційний ПЛК, який управляє, наприклад, системою блокування безпеки машини, щоб люди не наблизилися до машини в роботі?

Редагувати: Що з критичними для безпеки системами? Наприклад, введення розвідки в приладдя, що говорить, на який ПЛК не був би здатний?

Виробники ПЛК хотіли б, щоб ви повірили, що їх програмне забезпечення є більш надійним і ретельнішим. Моє враження, що основні компоненти ОС PLC зазвичай досить добре розроблені та протестовані, але драйвери для зовнішнього обладнання (системи руху тощо) часто є бібліотеками, взломаними інженерами програм, а потім передаються навколо компанії. Апаратне забезпечення в PLC часто застаріло - багато з них працюють зі старими, гарячими процесорами Geode.

Коли ви купуєте PLC від Allen-Bradley, B&R, Siemens або будь-якого іншого великого гравця, ви в основному платите за підтримку, коли справи йдуть не так. Їх обладнання виробляється з тими ж виробничими процесами, що і Arduinos, і немає нічого магічного в оперативних системах реального часу, що працюють на ПЛК, що не робить їх помилками. Але я думаю, що за підтримку часто варто платити. Якщо це машина, яка щодня коштує компанії 1 мільйон доларів, вона не працює, я буду проклятий, що коли щось пішло не так, була команда професіоналів, яка могла б допомогти виправити це, не тільки я та Google. Що стосується конкретних випадків світлих штор або інших запобіжних блоків, я хотів би переконатися, що виробник мав обґрунтований страховий поліс, а не заяву, яка намагається відмовитись від будь-якої товарності з будь-якою конкретною метою.

Тим не менш, якби я проектував (наприклад) трохи простого пневматичного приводу для якогось кріплення, і я був готовий взяти на себе тягар опори, щоб закріпити машину, коли вона зламалася (або якщо я не змогла отримати виділені ресурси платити за PLC), і безпека не була проблемою, я б із задоволенням використовував Arduino.

Я, мабуть, прототипував систему з Arduino, а потім переписав код у чистий C, як тільки він працював, так що мій код був єдиним кодом на мікроконтролері.

Arduino сам по собі не підходить для промислових застосувань через відсутність належного захисту та екранування. Але можна виготовити промислові контролери на основі AVR:

Ви повинні мати екранування, фільтрацію / регулювання / захист живлення, оптопари для керування зовнішніми речами, пристойні кришки для роз'єднання на кожному цифровому мікросхемі.

Ви повинні дуже ретельно перевірити це при вмиканні / вимкненні високих навантажень, краще перевірити, чи є під час цієї комутації за допомогою осцилографа (до діапазону до 1с) будь-які збої на землях / лініях живлення / даних.

Ви повинні дуже ретельно перевірити джерело годинника - AVR не потрапляє в RC генератор у разі виходу з ладу кристалічного генератора. Тож вам краще дотримуватися внутрішнього RC, якщо вам не потрібна точність годинника або приділяйте додаткову увагу маршрутизації кристалів, конденсаторам навантаження, якості друкованої плати (= нагадування потоку, захист від вологи) та екрануванню навколо кристала.

Існують кращі uC для промислових застосувань, зокрема, що мають цю функцію RC-back-back.

До ПЛК управління промисловим процесом здійснювалося реле-логикою (для цифрового управління) та ПІД-контролерами для аналогового управління. Реле були сумно ненадійними, провал яких у деяких випадках мав серйозні наслідки. Незважаючи на це, припущення про те, що це можна краще виконати за допомогою комп'ютера з програмним забезпеченнямз напівпровідниковими виходами замість реле жахнуло більшість інженерів-електриків на той час. Аргументи проти прийняття PLC в ті часи були схожими на деякі аргументи у відповідях на цьому форумі. Протистояти цікавим пропозиціям, і ви впевнені, що будете в хорошій компанії. Економічність, простої та технічне обслуговування призвели (повільно) до переходу від провідного управління до мікроконтролера / програмного управління. Я пригадую зовсім недавно, жах, з яким Ethernet та різні пов'язані з ним протоколи в той час зустрічали управління контролю. Зараз Ethernet швидко стає фактичним стандартом для управління процесами.

Сьогодні в найскладніших системах управління в критично важливих для безпеки процесах завжди є провідне / пневматичне / гідравлічне / механічне резервне копіювання або, принаймні, безвідмовно. Інтерфейс оператора до системи управління є невід'ємною частиною системи управління, яка, поза межами управління машиною, в більшості випадків являє собою настільний комп'ютер з місцевого магазину ПК, з операційною системою, пов’язаною з помилками та збоями, яка працює за допомогою помилок / збоїв. схильні програми управління процесами. Це не перебільшення. Ми спроектували і побудували установки в найскладніших умовах хімічної та гірничої промисловості, де пил і пари є частиною життя, навіть у контрольній залі, і не мають більше відмов від стандартного позаштатного споживчого / комерційного обладнання, ніж від промислове обладнання. Жорсткі диски виходять з ладу, але вони герметичні. Вони все одно провалюються. Ми регулярно видуваємо хмари промислового пилу материнських плат ПК, які працюють із HMI. Трюк у тому, щоб мати подвійне / потрійне надмірність у всіх важливих / критичних системах. Що-небудь може вийти з ладу. Ось чому важливі для безпеки речі завжди підкріплюються апаратними засобами, і це законодавча вимога ву більшості країн та здоровий глузд в інших.

Якщо хтось хоче залучити авіацію до дискусії, згадайте жах, з яким виробники літаків, які не входять у Airbus, зустріли пропозицію пролетіти. У повітряних аваріях на сьогоднішній день більшість нещасних випадків досі припадає на помилки людини (переважно пілотного, але й обслуговуючого персоналу), а не на технічні / системні збої. У виробничому / комерційному просторі PLC / мікроконтролера я б заперечував, що людина на терміналі програмування все ще є найважливішим елементом. ПРОЕКТУВАННЯ, СТРУКТУРА та ПРОГРАМА ПЗ є основними компонентами, а не апаратними засобами.

Компанія Rockwell пропонує продукт SoftLogix, який представляє собою програмне забезпечення PLC, що працює на звичайному ПК. Подумай над цим. Аргумент того, що ПК працює в більш захищеному електричному / атмосферному середовищі, ніж PLC / контролери, може бути правдивим для деяких випадків, але не в більшості, і дуже мало на підприємствах, які ми обслуговуємо. Іронія полягає в тому, що для розповсюдження Ethernet потрібні перемикачі Ethernet в полі. Як правило, ми не використовуємо промислові вимикачі, а стандартні комерційні речі та ще не мали помилок комутатора через 10 років та сотні встановлень. Ці вимикачі розташовані на тих же панелях, що і введення / виведення PLC. Що не дає, але рідко, це дешевий блок живлення, який супроводжує комутатор. Уникайте цього і перемикач не буде найбільш надійним компонентом в установці.

Що стосується суворого тестування / контролю якості промислового ПЛК-обладнання, я нещодавно замовив завод, де ВСЕ ОДНЕ з 8 або 10 віддалених аналогових вхідних карт вводу-виводу було DOA. Постачальник, один з найбільших світових брендів у світі, не кинув очей і замінив усіх негайно. Я думаю, що це була погана партія, і вони, можливо, знали про проблему ще до нашого звіту. Заміни спрацювали чудово і досі роблять 3 роки пізніше.

Страх використовується скрізь сьогодні, щоб залякати нас. Використовуйте розум і, як казали деякі старожили, «висмоктуйте його і бачите (для себе)». Я б не вагався, коли б десь випробовував "непромислові" мікроконтролери. Просто дотримуйтесь належної інженерної практики, кількісно оцінюйте ризик та дійте належним чином. Між іншим, автотранспортні засоби працюють в умовах, не надто подібних до деяких виробничих умов (вологі, гарячі, вібраційні), але мають багато електронно важливих систем безпеки. Тепер спробуйте запропонувати інженеру систем промислового управління, що ви збираєтеся випробувати автомобільний компонент на своєму заводі! CANbus чи DNET когось? Піди розберися (:)

Я не інженер будь-якого типу. Я технік з електроніки у великій аерокосмічній компанії, і мені постійно доопрацьовувати та / або модернізувати цифрові керовані машини, як це завдяки старовинному обладнанню, яке ми вже не можемо використовувати. Хоча вартість є великою проблемою, той, який доставить вас у великі проблеми, - це питання безпеки.

У підпункті 9.4.3.4.2 видання NFPA 79 (Електричний стандарт на промислові машини) зазначається:

"Системи управління, що включають контролери на основі програмного забезпечення та програмного забезпечення, що виконують функції, пов'язані з безпекою, повинні здійснювати самоконтроль і відповідати усім наступним:

1. У разі будь-якого єдиного відмови відмова повинен:
   a. не призводять до втрати функцій, пов'язаних з безпекою
   b. Привести до відключення системи в безпечному стані
   c. Запобігати подальшій експлуатації до виправлення несправності компонента
   d. Запобігайте випадковому запуску обладнання після виправлення несправності

2. Забезпечте захист, еквівалентний захищеному системам управління, що включає в себе кабелі / обладнання

3. Розроблено відповідно до затвердженого стандарту, який забезпечує вимоги до таких систем "

Якщо ви здатні забезпечити виконання положень 1 і 2, я знаю, що ви не зможете виконати положення 3 (якщо ви не звикли мати справу з регулюючими органами)

ЗАРАЗ

Якщо ви використовуєте ардуїно просто для моніторингу та надання консультацій щодо того, що стався стан безпеки, щоб не контролювати фактичну схему безпеки, ви не повинні порушувати цю законодавчу вимогу.

тобто є ланцюг електронної зупинки, який відключає живлення від усіх контакторів / приводів двигуна від головного контактора E-stop, коли порушується будь-який перемикач електронної зупинки в ланцюзі. Ви не хочете використовувати ардуїно для управління ланцюгом e-stop, але вам слід добре використовувати допоміжний контактний перемикач на кнопках E-stop, щоб повідомити оператору, яку E-стоп натиснуто на дисплеї.

Таким чином, навіть якщо arduino намагається керувати двигуном з керуючими сигналами, фактична потужність не буде доступна, оскільки основний контактор E-stop випав, керований ланцюгом e-stop з жорстким напругою - не ваш мікроконтролер .

Переконайтеся, що ви обізнані з усіма нормами NFPA70E та NFPA79 та дотримуєтесь усіх. Повірте мені, що ви не хочете опинитися в судовому порядку, намагаючись відповісти на запитання без повного знання цих норм, перш ніж щось розробляти.

тобто інші речі, які слід враховувати, - зупиняти рух занадто швидко - іноді для зупинки безпеки для запобігання небезпеці для безпеки доводиться залишатись під напругою протягом певного періоду часу, тобто великий шліфувальний круг повинен відкручуватися з встановленою швидкістю, щоб він не вибухнув від різко зупиняючись - у цьому випадку ви хочете мати великий резистор, який би використовував протипоказальні ЕРС двигунів для безпечного сповільнення швидкості обертання. Ви хочете, щоб контактор, який вийшов з двигуна, привів цей резистор у відповідність до обмоток двигуна - не ардуїно

Ці сценарії також висвітлюються в NFPA79.

Переконайтесь, що ви та ваш роботодавець комфортно дотримуєтесь цих положень та приймаєте будь-які потенційні зобов’язання.

неодмінно використовуйте ruggeduino (для додаткового захисту варто 45.oo) та оптичну ізоляцію для всього, що підключається до схеми понад 24 вольт. Більшість релейних керуючих пристроїв, сумісних з arduino, на одному і тому ж місці є OMRON і використовуються для багатьох промислових застосувань. Попросіть когось із досвідом та кваліфікацією переглянути ваш дизайн перед впровадженням - пам’ятайте, що ніхто з нас не такий розумний, як усі ми

Єдиний спосіб перевірити його на ваш додаток на міцність - це спроектувати його і побачити, як довго він працює. Однозначно, готовий замінити на полиці однаковий запасний запас, якщо вартість / час є великими міркуваннями.

Повідомте мене, якщо у вас є питання.

Є те, що, як стверджується, промисловий якісний клон Arduino на ім'я Ruggeduino, який має захист введення та виведення, їх веб-сайт робить цікаві читання на тему грубої ардуіно.

Вони продають MSP430 з схемою для використання в автомобілях.

Оскільки я нічого не знаю про промислові схвалення, я не знаю, яке схвалення для застосувань безпеки мають ці "мікро-ПЛК".

Однак для безпечного блокування я б нічого не довіряв програмному забезпеченню, складнішому за простий комутатор.

В основному ... у мене немає підтримки для Arduino. Arduino викритий, він не має жодної справи і не дає гарантії щодо деяких стандартів IEC, яким ви повинні відповідати. Наприклад, як Arduino працює з 2 або 3 роками пилу на своїй верхівці.

Зрештою, як уже хтось сказав, якщо машина коштує 1 млн доларів на день, Arduino дешевше не використовувати. В основному тому, що він помре, пізніше, ніж раніше, і через 6 - 10 років, Arduino, яким ви користуєтесь сьогодні, більше не буде доступним для вас, щоб в належний час відремонтувати машину (будучи відкритим ресурсом, ви можете її виготовити ... але).

OTOH ... якщо ви використовуєте Arduino як PLC, вам доведеться розробляти допоміжні схеми, розробляти тонни програмного забезпечення і, врешті-решт, через тони часу та обладнання ви побачите, що у вас буде те саме, що Аллен Бредлі, Сіменс та ін. але з вищою вартістю.

Не тільки вартість виготовлення величезна, але змінити її через кілька років буде, головним чином, якщо ви спробуєте інтегрувати технологію fieldbus на зразок profibus або ASi.

Це весело грати ... але це не рішення.

Більша частина міцності походить від ЕЕ, поставленого за електричною конструкцією всієї схеми та друкованої плати. Немає нічого особливого в тому, що компанії, які сертифіковані чіпами, використовують - вони просто дешевші за кількістю та, можливо, мають власні сертифікати. Але я б припустив, що Atmel і Microchip вже відповідають цим. Справжня сила виходить з безлічі тестувань, різних методів резервного копіювання (Brownout / перенапруги детекторів, сторожових собак) та ретельного планування. Моє враження, що PIC / Arduino не використовуються у великих масштабах, оскільки вони дорожчі та забезпечують більше, ніж потрібно насправді.

Я електронний інженер і використовую мега-борту Arduino для моїх навчальних програм, а також я користуюся Labview DAQ модулями, такими як DAQ-6009/6008 і т. Д. ... Я також користувач PLC від allen-bradelly та ін. але я вважаю, що придатність Arduino повинна бути перевірена в суворих промислових умовах, таких як коливання температури, умови пилу і вологості, а також вібрація та випромінювання ЕМ і навіть надійне підключення до датчиків або приводів, а також до інших карт оброблення даних, необхідних до подайте сигнал i? p і перед тим, як подавати його до кінцевих кінцевих ефекторів, таких як клапани тощо.

На цій веб-сторінці та обговоренні я збираюся створити тестовий комплекс карт Arduino для промислових застосувань .. для різних типів середовища та для різних параметрів .. і т.д.

Мікроконтролер Atmel, який управляє Arduino, також доступний для автомобільних та промислових систем управління. Все йде нормально!

[цитата] Їх обладнання виготовляється з тими ж виробничими процесами, що і Arduinos [/ quote]

На жаль, решта дошки Arduino, ймовірно, не настільки міцна.

Існує ряд компромісних дизайнів, які можуть скоротити термін експлуатації та зменшити вартість. Наприклад, конденсатори не можуть бути оцінені на 10 к годин при 105 ° С, а натомість для 2 к годин при 80 ° С, і там реальна різниця в житті! Аналогічно, регулятор на Arduino - це дешева версія з високим випадом, а не більш спроможна версія з низьким рівнем випаду. (Ніколи не замислювались, чому для створення генератора 5 В Arduino потрібно 7 В або більше? Ось чому - з регулятором ULDO вистачило б 5,3 В.) А чи буде ваш джерело живлення коли-небудь переходить у коричневий колір? Як ви знаєте, що вся система знаходиться в безпечному стані, якщо вона є? На платі немає навіть запобіжника!

Так само на борту Arduino поруч із захистом від суворих умов не існує захисту. Ці контакти є дешевими, споживчими жіночими контактами, які мають декілька десятків вставок, а не IP-65 (за вартістю.) Штифти вводу / виводу покладаються на вбудований слабкий захист ESD Atmega MCU без зовнішніх захист.

Якби я будував критично важливу систему, я б цілком міг би використовувати Atmega MCU, але я б не використовував плату Arduino як є. Вартість прядіння нової дошки з новими компонентами, розробленими для ситуації, буде невеликою порівняно. І на цій дошці я міг би поставити все необхідне для мене драйвер драйверів, захист інтерфейсу та використовувати справжні розроблені роз'єми. Не те, що я насправді кваліфікований для створення критично важливої ​​для безпеки електронної системи - я програмний хлопець!

Щоб взяти на себе Arduino з деяким електричним захистом (але все ще немає захисту в інших режимах відмови), перегляньте Ruggeduino: http://ruggedcircuits.com/html/ruggeduino.html

Я думаю, що проблеми з пилом, вологістю, вібрацією тощо можна легко вирішити. Я працюю в ремонті автомобільних зіткнень протягом 30 років і обслуговую всі контролери. Просте рішення, яке використовується в автомобілях для вирішення суворих умов, полягає в тому, щоб увімкнути модуль управління в непровідну смолу, яка запобігає потраплянню вологи або пилу в контакт з контролером, і в той же час робить контролер непроникним для вібрацій.

Я також є каяком і створив систему електричного насоса для свого човна, щоб вирішити небезпечну для життя проблему спроби викачати затоплений човен у штормових умовах. Протягом багатьох років проблема з електричними насосами в байдарках стала електронікою, доступною для використання, але захищеною від солоної води. Здається, ніхто не мав нічого, крім тимчасового успіху, роблячи це.

Виявляється, за допомогою магнітного вимикача та кожухового вимикача та контролера в уретані я маю систему, яка пережила 3 ​​роки солі, і свіжа, підводка для води, а також усі стуки хвиль та автомобільний транспорт можуть кидати на човен.

Я не фахівець з електроніки, зауважте. Тож, можливо, у Ардуїноса є слабка сторона, яка робить їх непридатними для систем безпеки, але в середовищі немає нічого, від чого їх не можна було б захистити, задумавшись.

Використання Arduino в промислових умовах може бути прийнятним, якщо:

1. Ви захищаєте свої входи та виходи так само добре, як і PLC
2. Ви впроваджуєте виявлення коричневого кольору та сторожового собаки у своїй програмі або за допомогою зовнішнього обладнання
3. Ваша програма дбає про те, щоб ваші результати завжди знаходились у відомому безпечному стані
4. Ви реалізуєте всі блокування та безпеку безпосередньо в коді
5. Ви витрачаєте більше часу на тестування, ніж на написання коду
6. Вам не потрібна сертифікація для вашого вбудованого пристрою

Ймовірно, вам потрібно буде надати інтерфейс протоколу MODBUS або PROFIBUS і змусити драйвери до інтерфейсу 0..20mA, 4..20mA, 0..10V, TC, двигунів, кодерів (або використовувати картки ведомості MODBUS / PROFIBUS з вбудованими в такі драйвери ) ...

Якщо ви хочете запрограмувати свій пристрій у логіці сходів замість C / ASM / PAS / BAS, ви можете. Це програмне забезпечення забезпечує це.