Độ tin cậy của nền tảng Arduino cho sử dụng công nghiệp

Tôi không phải là kỹ sư điện (chỉ là cơ khí) nhưng tôi muốn áp dụng một số kinh nghiệm về sở thích của mình vào công việc và thực hiện các hệ thống tự động khác nhau trong môi trường công nghiệp (sản xuất).

Theo truyền thống, tự động hóa trong môi trường công nghiệp bao gồm các hệ thống được thiết kế hoặc PLC. Các hệ thống được thiết kế quá đắt và PLC thiếu tính linh hoạt (và chúng cũng có thể trở nên khá đắt).

Tôi muốn thay thế các PLC truyền thống bằng Arduinos linh hoạt hơn, mạnh hơn và rẻ hơn nhưng tôi lo ngại về độ tin cậy của Arduino. PLC phát triển trong môi trường công nghiệp và do đó rất chắc chắn và đáng tin cậy nhưng nền tảng Arduino so sánh như thế nào?

Giả sử rằng các biện pháp thích hợp được thực hiện để bảo vệ Arduino khỏi thiệt hại cơ học và điện, thì nền tảng này đáng tin cậy đến mức nào? Bạn có tin tưởng nó thay thế một PLC truyền thống điều khiển hệ thống khóa liên động an toàn của máy để ngăn mọi người đến gần máy hoạt động không?

Chỉnh sửa: Điều gì về các hệ thống quan trọng không an toàn? Ví dụ, giới thiệu trí thông minh để nói một vật cố mà PLC sẽ không có khả năng?

Các nhà sản xuất PLC muốn bạn tin rằng phần mềm của họ đáng tin cậy hơn và được kiểm tra kỹ lưỡng hơn. Ấn tượng của tôi là các thành phần hệ điều hành lõi của PLC thường được thiết kế và kiểm tra khá tốt, nhưng các trình điều khiển cho phần cứng bên ngoài (hệ thống chuyển động và tương tự) thường là các thư viện được các kỹ sư ứng dụng hack và sau đó được chuyển qua công ty. Phần cứng trong PLC thường là lỗi thời - rất nhiều trong số chúng đang chạy các bộ xử lý Geode cũ, nóng.

Khi bạn mua PLC từ Allen-Bradley, B & R, Siemens hoặc bất kỳ người chơi lớn nào khác, bạn chủ yếu trả tiền để được hỗ trợ khi gặp sự cố. Phần cứng của họ được sản xuất với quy trình sản xuất giống như Arduinos và không có gì kỳ diệu về các hệ điều hành thời gian thực chạy trên PLC khiến chúng không có lỗi. Nhưng, tôi nghĩ rằng sự hỗ trợ thường đáng để trả tiền. Nếu đó là một cỗ máy khiến công ty tốn 1 triệu đô la mỗi ngày thì nó không hoạt động, tôi chắc chắn rằng khi có sự cố xảy ra, có một nhóm các chuyên gia có thể giúp khắc phục nó, không chỉ tôi và Google. Đối với trường hợp cụ thể của rèm cửa nhẹ hoặc các khóa an toàn khác, tôi muốn đảm bảo rằng nhà sản xuất có chính sách bảo hiểm lớn, thay vì tuyên bố từ chối mọi thương mại cho bất kỳ mục đích cụ thể nào.

Mặc dù vậy, nếu tôi đang thiết kế (ví dụ) một chút hoạt động khí nén đơn giản cho một số vật cố định, và tôi sẵn sàng gánh vác gánh nặng hỗ trợ sửa chữa máy khi nó bị hỏng (hoặc nếu tôi không thể phân bổ tài nguyên để trả tiền cho PLC) và sự an toàn không phải là vấn đề, tôi vui vẻ sử dụng Arduino.

Tôi có thể tạo nguyên mẫu hệ thống với Arduino và sau đó viết lại mã bằng C thuần khi nó hoạt động, để mã của tôi là mã duy nhất trên vi điều khiển.

Bản thân Arduino không tốt cho các ứng dụng công nghiệp do thiếu sự bảo vệ và che chắn thích hợp. Nhưng có thể tạo ra các bộ điều khiển dựa trên AVR cấp công nghiệp:

Bạn nên có che chắn, lọc / điều tiết / bảo vệ nguồn, optopairs để lái những thứ bên ngoài, nắp tách rời tốt trên mỗi chip kỹ thuật số.

Bạn nên kiểm tra thật cẩn thận khi bật / tắt tải cao, tốt hơn hết là kiểm tra xem bạn có bất kỳ trục trặc nào trên đường dây trên mặt đất / nguồn / dữ liệu trong lần chuyển đổi này với dao động không (phạm vi xuống tới 1ns).

Bạn nên kiểm tra nguồn đồng hồ của mình thật cẩn thận - AVR không rơi vào bộ tạo dao động RC trong trường hợp bộ tạo dao động tinh thể bị hỏng. Vì vậy, tốt hơn hết bạn nên sử dụng RC nội bộ nếu bạn không cần độ chính xác của đồng hồ hoặc chú ý nhiều hơn đến định tuyến tinh thể, tụ điện tải, chất lượng PCB (= nhắc nhở thông lượng, bảo vệ độ ẩm) và che chắn xung quanh tinh thể.

Có uC tốt hơn cho các ứng dụng công nghiệp, đáng chú ý là có tính năng RC-fall-back này.

Trước PLC , điều khiển quy trình công nghiệp được thực hiện bằng logix rơle (đối với điều khiển kỹ thuật số) và bộ điều khiển PID cho điều khiển tương tự. Rơle nổi tiếng là không đáng tin cậy, sự thất bại trong một số trường hợp có hậu quả nghiêm trọng. Mặc dù vậy, gợi ý rằng điều này có thể được thực hiện tốt hơn bởi một máy tính chạy phần mềmvới đầu ra chất bán dẫn thay vì rơ le làm kinh hoàng hầu hết các kỹ sư điện tại thời điểm đó. Các lập luận chống lại việc áp dụng PLC trong những ngày đó tương tự như một số đối số trong các câu trả lời trong diễn đàn này. Chống lại những lời đề nghị thú vị và bạn chắc chắn sẽ ở trong một công ty tốt. Kinh tế, thời gian chết và cân nhắc bảo trì đã thúc đẩy (từ từ) quá trình chuyển đổi từ điều khiển có dây cứng sang điều khiển vi điều khiển / phần mềm. Tôi nhớ lại gần đây, nỗi kinh hoàng mà Ethernet và các giao thức liên quan khác nhau tại thời điểm đó được chào đón bởi cơ sở kiểm soát. Ethernet hiện đang nhanh chóng trở thành tiêu chuẩn thực tế để kiểm soát quá trình.

Ngày nay, trong các hệ thống điều khiển tinh vi nhất, các quy trình quan trọng về an toàn luôn có một bản sao lưu cứng / khí nén / thủy lực / cơ khí, hoặc ít nhất là ở trạng thái không an toàn. Giao diện vận hành cho hệ thống điều khiển là một phần thiết yếu của hệ thống điều khiển, ngoài khả năng điều khiển máy, trong hầu hết các trường hợp, một máy tính để bàn từ cửa hàng PC địa phương, với hệ điều hành dễ bị lỗi / lỗi chạy lỗi / sự cố- dễ bị các ứng dụng kiểm soát quá trình. Đây không phải là cường điệu. Chúng tôi đã thiết kế và xây dựng các nhà máy trong những môi trường khó khăn nhất trong các ngành công nghiệp hóa chất và khai thác mỏ, nơi bụi và khói là một phần của cuộc sống, ngay cả trong phòng điều khiển và không có nhiều thất bại từ các thiết bị tiêu dùng / thương mại tiêu chuẩn hơn so với thiết bị công nghiệp. Ổ cứng không thành công nhưng chúng được niêm phong. Dù sao họ cũng thất bại. Chúng tôi thường xuyên thổi những đám mây bụi công nghiệp của bo mạch chủ PC chạy HMI. Bí quyết là có dự phòng kép / ba trong tất cả các hệ thống quan trọng / quan trọng. Bất cứ điều gì cũng có thể thất bại. Đó là lý do tại sao các công cụ quan trọng về an toàn luôn được hỗ trợ bởi phần cứng và đây là một yêu cầu lập pháp tronghầu hết các quốc gia và lẽ thường ở những nước khác.

Nếu một người muốn đưa ngành hàng không vào cuộc thảo luận, hãy nhớ nỗi kinh hoàng mà các nhà sản xuất máy bay không phải của Airbus đã đáp ứng đề xuất của fly-by-wire. Trong các vụ tai nạn hàng không, lỗi của con người (chủ yếu là phi công nhưng cũng là nhân viên bảo trì), không phải do lỗi kỹ thuật / hệ thống vẫn chiếm phần lớn tai nạn. Trong không gian công nghiệp / thương mại PLC / vi điều khiển, tôi cho rằng con người ở thiết bị đầu cuối lập trình vẫn là yếu tố quan trọng nhất. THIẾT KẾ, CẤU TRÚC VÀ MAINTAINABILITY là các thành phần thiết yếu hơn là phần cứng.

Rockwell cung cấp sản phẩm SoftLogix là phần mềm PLC chạy trên PC lưu trữ tiêu chuẩn. Hãy suy nghĩ về nó. Lập luận rằng PC chạy trong môi trường điện / khí quyển được bảo vệ nhiều hơn so với PLC / bộ điều khiển có thể đúng trong một số trường hợp, nhưng không phải trong hầu hết, và rất ít trong các nhà máy chúng tôi phục vụ. Điều trớ trêu là sự phổ biến của Ethernet đòi hỏi các bộ chuyển mạch Ethernet trong trường. Theo quy định, chúng tôi không sử dụng các thiết bị chuyển mạch công nghiệp, nhưng các công cụ thương mại tiêu chuẩn và vẫn chưa có lỗi chuyển đổi sau 10 năm và hàng trăm lần cài đặt. Các công tắc này nằm trong cùng bảng với I / O PLC. Những gì DOES thất bại, nhưng hiếm khi, là nguồn cung cấp năng lượng rẻ đi kèm với công tắc. Tránh điều đó và công tắc sẽ không phải là thành phần không đáng tin cậy nhất trong quá trình cài đặt.

Để kiểm tra nghiêm ngặt / kiểm soát chất lượng thiết bị PLC công nghiệp, gần đây tôi đã ủy thác một nhà máy trong đó MỌI MỘT trong số 8 hoặc 10 thẻ đầu vào tương tự I / O từ xa là DOA. Nhà cung cấp, một trong những thương hiệu tên tuổi lớn nhất thế giới, đã không chớp mắt và thay thế tất cả ngay lập tức. Tôi đoán đó là một đợt tồi tệ và họ có thể đã biết về vấn đề này trước báo cáo của chúng tôi. Việc thay thế hoạt động hoàn hảo và vẫn làm 3 năm sau đó.

Nỗi sợ hãi được sử dụng ở mọi nơi trong những ngày này để đe dọa chúng ta. Sử dụng lý do và như một số đồng hồ cũ đã từng nói, 'hút nó và xem (cho chính mình)'. Tôi sẽ không ngần ngại trong việc thử nghiệm các bộ điều khiển vi mô 'phi công nghiệp' ở bất cứ đâu. Chỉ cần làm theo thực hành kỹ thuật tốt, định lượng rủi ro và hành động phù hợp. Ngẫu nhiên, xe cơ giới hoạt động trong điều kiện không quá giống với một số điều kiện công nghiệp (ẩm ướt, nóng, rung) nhưng có nhiều hệ thống quan trọng an toàn điện tử. Bây giờ hãy thử đề xuất với một kỹ sư hệ thống điều khiển công nghiệp rằng bạn sắp thử nghiệm một thành phần ô tô trong nhà máy của bạn! CANbus hay DNET có ai không? Đi đi (:)

Tôi không phải là một kỹ sư của bất kỳ loại. Tôi là một kỹ thuật viên điện tử tại một công ty hàng không vũ trụ lớn và phải trang bị thêm và / hoặc nâng cấp máy móc điều khiển số như thế này mọi lúc do thiết bị cổ xưa mà chúng tôi không còn có thể cung cấp các bộ phận. Mặc dù chi phí là một vấn đề lớn, nhưng điều khiến bạn gặp rắc rối lớn là vấn đề an toàn.

Trong phiên bản 2012 của NFPA 79 (Tiêu chuẩn điện cho máy móc công nghiệp), phần phụ 9.4.3.4.2 có ghi:

"Các hệ thống điều khiển kết hợp các bộ điều khiển dựa trên phần mềm và phần sụn thực hiện các chức năng liên quan đến an toàn sẽ tự giám sát và tuân thủ tất cả các điều sau đây:

1. Trong trường hợp có bất kỳ thất bại nào, thì sự thất bại sẽ:
   a. không dẫn đến mất các chức năng liên quan đến an toàn
   b. Dẫn đến việc tắt hệ thống ở trạng thái an toàn
   c. Ngăn chặn hoạt động tiếp theo cho đến khi lỗi thành phần đã được sửa chữa
   d. Ngăn chặn khởi động thiết bị ngoài ý muốn khi sửa lỗi

2. Cung cấp bảo vệ tương đương với hệ thống điều khiển kết hợp các thành phần cứng / phần cứng

3. Được thiết kế phù hợp với tiêu chuẩn được phê duyệt cung cấp các yêu cầu cho các hệ thống như vậy "

Nếu bạn có khả năng đảm bảo bạn đáp ứng các điều khoản 1 và 2, tôi biết bạn sẽ không thể đáp ứng điều khoản 3 (trừ khi bạn quen với việc giao dịch với các cơ quan quản lý)

TUY NHIÊN,

Nếu bạn sử dụng arduino chỉ để theo dõi và thông báo rằng tình trạng an toàn đã xảy ra không kiểm soát chính mạch an toàn thực tế thì bạn không nên vi phạm yêu cầu pháp lý này.

tức là một chuỗi dừng e được đặt ở vị trí ngắt kết nối nguồn từ tất cả các công tắc tơ / ổ đĩa từ một công tắc tơ E-stop chính khi bị hỏng bởi bất kỳ công tắc dừng điện tử nào trong mạch. Bạn sẽ không muốn sử dụng arduino để điều khiển mạch dừng e nhưng bạn vẫn ổn khi sử dụng công tắc tiếp xúc phụ trên các nút E-stop để báo cho người vận hành biết E-stop đã được nhấn trên màn hình.

Theo cách này, ngay cả khi arduino đang cố lái một động cơ có tín hiệu điều khiển, sẽ không có bất kỳ nguồn điện thực tế nào vì một công tắc tơ E-stop chính đã bị loại bỏ bởi một chuỗi dừng điện tử mạnh mẽ - không phải là vi điều khiển của bạn .

Hãy chắc chắn rằng bạn biết về tất cả các quy định trong NFPA70E và NFPA79 và đáp ứng tất cả các quy định đó. Tin tôi đi, bạn không muốn thấy mình trong một vụ kiện tụng đang cố gắng trả lời các câu hỏi mà không có kiến ​​thức đầy đủ về các quy định này trước khi bạn thiết kế một cái gì đó.

tức là những thứ khác cần xem xét là dừng chuyển động quá nhanh - đôi khi mọi thứ phải duy trì năng lượng trong một khoảng thời gian xác định trước khi dừng để tránh nguy cơ an toàn - tức là một bánh mài lớn phải quay xuống với tốc độ đã đặt để nó không nổ dừng đột ngột - trong trường hợp này, bạn sẽ muốn một điện trở lớn sử dụng động cơ Counter EMF để giảm tốc độ quay một cách an toàn. Bạn sẽ muốn công tắc tơ rơi ra khỏi động cơ để đặt điện trở này phù hợp với cuộn dây động cơ - không phải là arduino

Những kịch bản này cũng được đề cập trong NFPA79.

Hãy chắc chắn rằng bạn và chủ lao động của bạn thoải mái đáp ứng các quy định này và chấp nhận bất kỳ trách nhiệm pháp lý tiềm năng nào.

chắc chắn sử dụng một ruggeduino (nó đáng giá 45.oo để bảo vệ thêm) và cách ly quang học cho bất cứ thứ gì được gắn vào mạch trên 24 volt. Hầu hết các điều khiển rơle tương thích arduino trên cùng một trang là OMron và được sử dụng cho nhiều ứng dụng công nghiệp. Có ai đó có kinh nghiệm và trình độ xem xét thiết kế của bạn trước khi thực hiện - hãy nhớ rằng không ai trong chúng ta thông minh như tất cả chúng ta

Cách duy nhất để kiểm tra độ bền của ứng dụng là thiết kế và xem nó hoạt động được bao lâu. Chắc chắn có một phụ tùng giống hệt sẵn sàng để thay thế trên kệ nếu chi phí / thời gian là những cân nhắc lớn.

Hãy cho tôi biết nếu bạn có bất kỳ câu hỏi.

Có một thứ được cho là bản sao Arduino chất lượng công nghiệp có tên Ruggeduino có bảo vệ đầu vào và đầu ra, trang web của họ làm cho việc đọc thú vị về chủ đề gồ ghề một Arduino.

Họ đang bán MSP430 với mạch để sử dụng trong xe hơi.

Bởi vì tôi không biết gì về các phê duyệt công nghiệp, tôi không biết loại phê duyệt nào cho các ứng dụng an toàn mà các "Micro-PLC" này có.

Tuy nhiên, đối với khóa liên động an toàn, tôi sẽ không tin bất cứ điều gì với phần mềm phức tạp hơn một công tắc đơn giản.

Về cơ bản ... tôi không có hỗ trợ cho Arduino. Arduino bị lộ, nó không có vỏ và không bảo hành về một số tiêu chuẩn IEC bạn phải đáp ứng. Ví dụ như cách Arduino chạy với bụi 2 hoặc 3 năm trên đỉnh của nó.

Về lâu dài, như ai đó đã nói, nếu một chiếc máy có giá 1 triệu đô la mỗi ngày, thì không nên sử dụng Arduino. Chủ yếu là vì nó sẽ chết, sớm hơn và trong 6 đến 10 năm nữa, Arduino bạn sử dụng ngày nay sẽ không còn có sẵn để bạn sửa chữa máy trong một thời gian thích hợp (là nguồn mở bạn có thể sản xuất nó ... nhưng).

OTOH ... nếu bạn sử dụng Arduino làm PLC, bạn phải phát triển các mạch phụ trợ, phát triển hàng tấn phần mềm và cuối cùng, sau hàng tấn thời gian và thiết bị, bạn sẽ thấy rằng bạn sẽ có cùng một Allen Bradley, Siemens et al. nhưng với chi phí vượt trội.

Không chỉ chi phí sản xuất là rất lớn, mà việc sửa đổi nó trong một vài năm sẽ là, chủ yếu là nếu bạn cố gắng tích hợp công nghệ bus trường như profibus hoặc ASi.

Thật thú vị khi chơi ... nhưng nó không phải là giải pháp.

Most of the ruggedness comes from the EE put behind the electrical design of the whole schematic and PCB. There is nothing special about the chips 'certified' companies are using - they are just cheaper in quantities and perhaps have certifications of their own. But I would assume Atmel and Microchip already match those. Real strength comes from a lot of testing, various backup methods (brownout/overvoltage detectors, watchdogs) and careful layout. My impression is that PIC/Arduino aren't used on a large scale because they are more expensive and provide more than needed actually.

I am electronic Engineer and using Arduino mega board for my some educational applications and I am also the user of Labview DAQ Modules like DAQ-6009 /6008 and etc... i am also the user of PLC from allen-bradelly and etc... but I find the suitability of Arduino must be tested in industrial harsh environments like temperature fluctuation , dust and humidity conditions and also the vibration and EM radiations and even reliable connection to the sensors or actuators and also to the other data processing cards need prior to give the signal i?p and before giving it to the final end-effectors like valves and etc...

from this web page and discussion I am going to generate the testing facility of Arduino cards for industrial applications.. for different types of environments.. and for different parameters.. etc.

The Atmel microcontroller that runs the Arduino is also available for automotive and industrial control systems. So far, so good!

[quote]Their hardware is made with the same manufacturing processes as Arduinos[/quote]

Unfortunately, the rest of the Arduino board probably isn't so ruggedized.

There's a number of design compromises that may reduce lifetime to lower cost. For example, capacitors may not be rated for 10k-hours at 105C, but instead for2k-hours at 80C, and there's a real difference in lifetime there! Similarly, the regulator on the Arduino is a cheap high-dropout version, rather than a more capable ultra-low-dropout version. (Ever wondered why the Arduino needs 7V or more to generate 5V? This is why -- with an ULDO regulator, 5.3V would have been enough.) And will your power supply ever go into brown-out? How do you know the entire system is in a safe state if it does? There's not even a fuse on the board!

Similarly, there is next to no protection against a harsh environment on the Arduino board. The contacts are cheap, consumer-grade female contacts rated for a few dozen insertions, not IP-65 rated contacts (for cost.) The I/O pins rely on the built-in weak ESD protection of the Atmega MCU, with no external protection.

If I were to build a safety-critical system, I may very well use an Atmega MCU, but I would not use the Arduino board as-is. The cost of spinning a new board with new components designed for the situation would be small by comparison. And on that board, I could put all the driver hardware I need, and interface protection, and use real, ruggedized connectors. Not that I'm actually qualified to build a safety-critical electronic system -- I'm a software guy!

For a take on the Arduino with some electrical protection (but still no protection on the other failure modes,) check out the Ruggeduino: http://ruggedcircuits.com/html/ruggeduino.html

I think the issues with dust, humidity, vibration, etc., can be easily addressed. I have worked in automotive collision repair for 30 years and service all manner of controllers. The simple solution used in automobiles to address the harsh environment is to encase the control module in a non-conductive resin which prevents any moisture or dust from coming in contact with the controller and at the same time it makes the controller impervious to vibrations.

I am also a kayaker and built an electric pump system for my boat to address the life threatening issue of trying to pump out a flooded boat in storm conditions. Over the years the issue with electric pumps in kayaks has been the electronics being accessible to use but protected from salt water. No one seemed to have anything but temporary success doing it.

Turns out, by using a magnetic switch and encasing switch and controller in urethane, I have a system that has survived 3 years of salt, and fresh, water submersions as well as all the poundings the waves, and car transport, can throw at the boat.

I am no expert on electronics, mind you. So maybe there is a weakness in Arduinos that makes them unsuitable for safety systems but there is nothing in the environment that they couldn't be protected against with a little thought.

Using Arduino in industrial environment can be acceptable if:

1. You protect your inputs and outputs as good as PLCs do
2. You implement brown out detection and watchdog in your application or with help of external hardware
3. Your application takes care that your outputs are always in a known safe state
4. You implement all interlocks and safety directly in code
5. You spend more time testing then writing code
6. You do not need certification for your custom built device

You will probably need to provide MODBUS or PROFIBUS protocol interface, and make drivers to interface 0..20mA, 4..20mA, 0..10V, TC, motors, encoders (or use MODBUS/PROFIBUS slave cards with built in such drivers)...

If you want to program your device in ladder logic instead of C/ASM/PAS/BAS, you can. This software provides that.