Confiabilidade da plataforma Arduino para uso industrial

Não sou engenheiro elétrico (apenas mecânico), mas gostaria de aplicar parte da minha experiência amadora ao meu trabalho e implementar vários sistemas automatizados em um ambiente industrial (de fabricação).

Tradicionalmente, a automação no cenário industrial consiste em sistemas de engenharia ou CLPs. Os sistemas de engenharia são muito caros e os PLCs não têm flexibilidade (e também podem ser bem caros).

Gostaria de substituir PLCs tradicionais por Arduinos mais flexíveis, poderosos e mais baratos, mas estou preocupado com a confiabilidade do Arduino. Os PLCs evoluíram no cenário industrial e, portanto, são muito robustos e confiáveis, mas como a plataforma Arduino se compara?

Supondo que sejam tomadas as medidas adequadas para proteger o Arduino de danos mecânicos e elétricos, qual é a confiabilidade da plataforma? Você confiaria na substituição de um CLP tradicional que controla, digamos, o sistema de intertravamento de segurança de uma máquina para impedir que as pessoas se aproximem demais de uma máquina em operação?

Edit: E quanto a sistemas não críticos para a segurança? Por exemplo, introduzindo inteligência, por exemplo, um dispositivo elétrico do qual um PLC não seria capaz?

Os fabricantes de PLC gostariam que você acreditasse que o software deles é mais confiável e testado mais detalhadamente. Minha impressão é que os principais componentes do sistema operacional dos PLCs geralmente são bem projetados e testados, mas os drivers para hardware externo (sistemas de movimento e similares) geralmente são bibliotecas invadidas por engenheiros de aplicativos e distribuídas pela empresa. O hardware dos CLPs geralmente é antiquado - muitos deles estão executando processadores Geode antigos e quentes.

Quando você compra um PLC da Allen-Bradley, B&R, Siemens ou qualquer um dos outros grandes players, você está pagando principalmente por suporte quando as coisas dão errado. Seu hardware é fabricado com os mesmos processos de fabricação do Arduinos, e não há nada mágico nos sistemas operacionais em tempo real executados em CLPs que os tornam livres de erros. Mas acho que vale a pena pagar pelo suporte. Se é uma máquina que custa à empresa US $ 1 milhão todos os dias, ela não está funcionando, tenho certeza de que, quando algo der errado, haverá uma equipe de profissionais que poderá ajudar a consertá-la, não apenas eu e o Google. Para o caso específico de cortinas de luz ou outros bloqueios de segurança, eu gostaria de garantir que o fabricante tenha uma apólice de seguro robusta em lugar de uma declaração que tente negar toda a comercialização de qualquer finalidade específica.

Mesmo assim, se eu estivesse projetando (por exemplo) um pouco de atuação pneumática simples para algum equipamento, e estivesse disposto a arcar com o ônus do suporte de consertar a máquina quando ela quebrasse (ou se não fosse possível obter os recursos alocados para pagar pelo PLC) e a segurança não era um problema, eu usaria felizmente um Arduino.

Provavelmente, eu prototipava o sistema com um Arduino e depois reescrevia o código em C puro quando ele funcionava, para que meu código fosse o único código no microcontrolador.

O Arduino em si não é bom para aplicações industriais devido à falta de proteção e blindagem adequadas. Mas é possível criar controladores baseados em AVR de nível industrial:

Você deve ter blindagem, filtragem / regulação / proteção de energia, optopairs para acionar coisas externas, tampas de desacoplamento decentes em cada chip digital.

Você deve testá-lo com muito cuidado ao ligar / desligar cargas altas; é melhor verificar se há alguma falha nas linhas de terra / energia / dados durante essa comutação com osciloscópio (até a faixa de 1ns).

Você deve verificar sua fonte de relógio com muito cuidado - o AVR não entra no oscilador RC em caso de falha do oscilador de cristal. Portanto, é melhor você seguir a RC interna se não precisar da precisão do relógio ou prestar atenção extra ao roteamento de cristal, capacitores de carga, qualidade de PCB (= lembretes de fluxo, proteção contra umidade) e blindagem em torno de cristal.

Existem uC melhores para aplicações industriais, principalmente com esse recurso RC-fall-back.

Antes do PLC , o controle do processo industrial era realizado pelo relé logix (para controle digital) e pelos controladores PID para controle analógico. Os relés eram notoriamente não confiáveis, cuja falha em alguns casos teve sérias conseqüências. Apesar disso, a sugestão de que isso poderia ser melhor executado por um computador executando um softwarecom saídas de semicondutores, em vez de relés, horrorizou a maioria dos engenheiros elétricos da época. Os argumentos contra a adoção de CPs naquela época eram semelhantes a alguns dos argumentos das respostas neste fórum. Resista a sugestões interessantes e você certamente estará em boa companhia. As considerações de economia, tempo de inatividade e manutenção conduziram (lentamente) a transição do controle com fio para o controle por microcontrolador / software. Recordo-me mais recentemente, o horror com o qual a Ethernet e os vários protocolos associados na época foram recebidos pelo estabelecimento de controle. A Ethernet agora está se tornando rapidamente o padrão de fato para o controle de processos.

Atualmente, nos sistemas de controle mais sofisticados, os processos críticos de segurança sempre têm um backup com fio / pneumático / hidráulico / mecânico, ou pelo menos um estado à prova de falhas. A interface do operador com o sistema de controle é uma parte essencial do sistema de controle, que fora do controle da máquina, na maioria dos casos, é um computador de mesa da loja local de computadores, com um sistema operacional com erros / propulsão a falhas que executa bugs / falhas aplicativos de controle de processo propensos. Isso não é exagero. Projetamos e construímos plantas nos ambientes mais desafiadores das indústrias química e de mineração, onde poeira e fumaça fazem parte da vida, mesmo na sala de controle, e não apresentam mais falhas em equipamentos comerciais / consumidores padrão do que em equipamento industrial. Os discos rígidos falham, mas estão selados. Eles falham de qualquer maneira. Sopramos regularmente nuvens de poeira industrial de placas-mãe de PC que executam as IHMs. O truque é ter redundância dupla / tripla em todos os sistemas importantes / críticos. Tudo pode falhar. É por isso que as coisas críticas à segurança são sempre apoiadas por hardware, e esse é um requisito legislativo emna maioria dos países e senso comum em outros.

Se alguém quiser trazer a aviação para a discussão, lembre-se do horror com o qual os fabricantes de aeronaves que não são da Airbus atenderam à sugestão do fly-by-wire. Em acidentes aéreos, o erro humano (principalmente o piloto, mas também a equipe de manutenção), e não a falha de engenharia / sistemas, ainda é responsável pela maioria dos acidentes. No espaço industrial / comercial de PLC / microcontrolador, eu argumentaria que o ser humano no terminal de programação ainda é o elemento mais crítico. DESIGN, ESTRUTURA e MANUTENÇÃO de software são os ingredientes essenciais e não o hardware.

A Rockwell oferece o produto SoftLogix, que é um CLP de software em execução em um PC de loja padrão. Pense nisso. O argumento de que os PCs funcionam em um ambiente elétrico / atmosférico mais protegido do que os PLCs / controladores pode ser verdadeiro em alguns casos, mas não na maioria e muito poucos nas plantas em que trabalhamos. A ironia é que a proliferação da Ethernet requer comutadores Ethernet em campo. Como regra, não usamos comutadores industriais, mas coisas comerciais padrão e ainda temos uma falha no comutador após 10 anos e centenas de instalações. Esses comutadores residem nos mesmos painéis da E / S do PLC. O que falha, mas raramente, é a fonte de alimentação barata que acompanha o switch. Evite isso e o switch não será o componente não confiável na instalação.

Quanto aos rigorosos testes / controle de qualidade dos equipamentos industriais de PLC, recentemente comissionei uma planta em que TODA UMA das 8 ou 10 placas de entrada analógica de E / S remotas era DOA. O fornecedor, uma das maiores marcas de nome do mundo, não piscou um olho e substituiu tudo imediatamente. Eu acho que foi um lote ruim e eles podem ter conhecido o problema antes do nosso relatório. As substituições funcionaram perfeitamente e ainda o fazem 3 anos depois.

O medo é usado em todos os lugares hoje em dia para nos intimidar. Use a razão e, como costumavam dizer os veteranos, 'chupe e veja (por si mesmo)'. Eu não hesitaria em testar microcontroladores 'não industriais' em qualquer lugar. Basta seguir as boas práticas de engenharia, quantificar o risco e agir adequadamente. Aliás, os veículos a motor operam em condições não muito diferentes de algumas condições industriais (úmidas, quentes, vibrações), mas possuem muitos sistemas eletrônicos críticos para a segurança. Agora tente sugerir a um engenheiro de sistemas de controle industrial que você está prestes a testar um componente automotivo em sua planta! CANbus ou DNET alguém? Vai saber (:)

Eu não sou um engenheiro de qualquer tipo. Sou técnico em eletrônica de uma grande empresa aeroespacial e preciso atualizar e / ou atualizar máquinas numericamente controladas como essa o tempo todo, devido a equipamentos antigos para os quais não podemos mais adquirir peças. Embora o custo seja um grande problema, aquele que o colocará em grandes problemas é a preocupação com a segurança.

Na edição de 2012 da NFPA 79 (norma elétrica para máquinas industriais), subparte 9.4.3.4.2, declara:

"Os sistemas de controle que incorporam controladores baseados em software e firmware que executam funções relacionadas à segurança devem ser automonitorados e estar em conformidade com o seguinte:

1. No caso de uma falha única, a falha deve:
   a. não levar à perda das funções relacionadas à segurança
   b. Levar ao desligamento do sistema em um estado seguro
   c. Impeça a operação subseqüente até que a falha do componente seja corrigida
   d. Impedir a inicialização não intencional do equipamento após a correção da falha

2. Fornecer proteção equivalente à dos sistemas de controle que incorporam componentes conectados / hardware

3. Ser projetado em conformidade com um padrão aprovado que forneça requisitos para esses sistemas "

Se você é capaz de garantir o cumprimento das disposições 1 e 2, sei que não poderá cumprir a disposição 3 (a menos que esteja acostumado a lidar com autoridades reguladoras)

CONTUDO,

Se você usar o arduino apenas para monitorar e avisar que ocorreu uma condição de segurança que não controla o circuito de segurança real em si, não deve violar este requisito legal.

ou seja, existe uma corrente de parada de emergência que desconecta a energia de todos os contatores / inversores de motor de um contator de parada de emergência principal quando interrompida por qualquer chave de parada de emergência no circuito. Você não gostaria de usar o arduino para controlar o circuito de parada de emergência, mas deve usar um interruptor de contato auxiliar nos botões de parada de emergência para informar ao operador qual parada de emergência foi pressionada em um visor.

Dessa forma, mesmo que o arduino esteja tentando acionar um motor com sinais de controle, não haverá energia disponível porque um contator de parada de emergência principal caiu controlado por uma corrente de parada de emergência com energia forte - e não pelo seu microcontrolador .

Verifique se você conhece todos os regulamentos do NFPA70E e NFPA79 e cumpra todos eles. Confie em mim, você não deseja se encontrar em um cenário de litígio tentando responder a perguntas sem o conhecimento completo desses regulamentos antes de criar algo.

ou seja, outras coisas a considerar estão parando o movimento muito rapidamente - às vezes, as coisas precisam permanecer energizadas por um período de tempo definido antes de parar para evitar um risco à segurança - ou seja, um rebolo grande deve girar para baixo a uma taxa definida para que não exploda parando abruptamente - nesse caso, você desejaria um resistor grande que usasse os motores Counter EMF para diminuir com segurança a velocidade de rotação. Você deseja que o contator que desligou o acionamento do motor coloque esse resistor em consonância com os enrolamentos do motor - não no arduino

Esses cenários também são abordados no NFPA79.

Certifique-se de que você e seu empregador se sintam à vontade para atender a esses regulamentos e aceitar possíveis responsabilidades.

definitivamente use um ruggeduino (vale 45.oo para proteção adicional) e isolamento óptico para qualquer coisa conectada ao circuito acima de 24 volts. A maioria dos controles de relé compatíveis com arduino no mesmo local é OMRON e usada para muitas aplicações industriais. Peça a alguém com experiência e qualificação que revise seu design antes da implementação - lembre-se de que nenhum de nós é tão inteligente quanto todos nós

A única maneira de testá-lo para durabilidade do seu aplicativo seria projetá-lo e ver quanto tempo ele funciona. Definitivamente, tem um sobressalente idêntico pronto para substituir na prateleira se o custo / tempo forem grandes considerações.

Deixe-me saber se você tiver alguma dúvida.

Existe o que é reivindicado ser um clone do Arduino de qualidade industrial chamado Ruggeduino que possui proteção de entrada e saída. Seu site faz uma leitura interessante sobre o tópico do reforço de um Arduino.

Eles estão vendendo o MSP430 com circuitos para uso em carros.

Como não sei nada sobre aprovações industriais, não sei que tipo de aprovação para aplicações de segurança esses "Micro-PLCs" possuem.

No entanto, para um bloqueio de segurança, eu não confiaria em nada com um software mais complicado do que um simples interruptor.

Basicamente ... Eu não tenho suporte para Arduino. O Arduino está exposto, não tem caso e não oferece garantia sobre alguns padrões IEC que você deve atender. Por exemplo, como o Arduino funciona com 2 ou 3 anos de poeira no topo.

A longo prazo, como alguém já disse, se uma máquina custa US $ 1 milhão por dia, é mais barato não usar o Arduino. Principalmente porque ele morrerá, mais tarde e em 6 a 10 anos, o Arduino que você usa hoje não estará mais disponível para você reparar uma máquina em um momento adequado (sendo de código aberto, você pode produzi-lo ... mas).

OTOH ... se você usar o Arduino como PLC você tem que desenvolver circuitos auxiliares, desenvolver toneladas de software e, no final, depois de toneladas de tempo e equipamento que você vai ver que você vai ter a mesma que Allen Bradley, Siemens et al. mas com um custo superior.

Não apenas o custo de fabricação é enorme, mas a modificação em alguns anos será, principalmente se você tentar integrar a tecnologia de barramento de campo como profibus ou ASi.

É divertido de jogar ... mas não é a solução.

A maior parte da robustez vem do EE, que está por trás do projeto elétrico de todo o esquema e da PCB. Não há nada de especial no uso das empresas 'certificadas' de chips - elas são apenas mais baratas em quantidades e talvez tenham certificações próprias. Mas eu assumiria que Atmel e Microchip já correspondem a eles. A força real vem de muitos testes, vários métodos de backup (detectores de queda de tensão / sobretensão, cães de guarda) e layout cuidadoso. Minha impressão é que o PIC / Arduino não é usado em larga escala porque são mais caros e fornecem mais do que o necessário.

Sou engenheiro eletrônico e estou usando a mega placa Arduino para minhas aplicações educacionais e também sou usuário de módulos Labview DAQ como DAQ-6009/6008 e etc ... também sou usuário de CLP da allen-bradelly e etc. mas acho que a adequação do Arduino deve ser testada em ambientes industriais severos, como flutuação de temperatura, condições de poeira e umidade e também as vibrações e radiações EM e até a conexão confiável aos sensores ou atuadores e também aos outros cartões de processamento de dados necessários antes da instalação. dê o sinal i? pe antes de dar aos efeitos finais finais como válvulas e etc ...

a partir desta página da web e discussão, vou gerar o recurso de teste de placas Arduino para aplicações industriais .. para diferentes tipos de ambientes .. e para diferentes parâmetros .. etc.

O microcontrolador Atmel que roda o Arduino também está disponível para sistemas de controle automotivo e industrial. Por enquanto, tudo bem!

Seu hardware é fabricado com os mesmos processos de fabricação que os Arduinos.

Infelizmente, o resto da placa Arduino provavelmente não é tão robusto.

Há uma série de compromissos de design que podem reduzir a vida útil para reduzir custos. Por exemplo, os capacitores podem não ser classificados para 10k horas a 105C, mas sim para2k horas a 80C, e há uma diferença real na vida útil lá! Da mesma forma, o regulador do Arduino é uma versão barata de alta evasão, em vez de uma versão mais ultra-baixa de abandono. (Você já se perguntou por que o Arduino precisa de 7V ou mais para gerar 5V? É por isso - com um regulador ULDO, 5,3V teria sido suficiente.) E sua fonte de alimentação nunca ficará marrom? Como você sabe que todo o sistema está em um estado seguro? Não há nem um fusível no quadro!

Da mesma forma, quase não há proteção contra um ambiente hostil na placa Arduino. Os contatos são contatos femininos baratos e de consumo, classificados para algumas dezenas de inserções, e não contatos classificados para IP-65 (a custo). protecção.

Se eu fosse construir um sistema crítico de segurança, poderia muito bem usar um Atmega MCU, mas não usaria a placa Arduino como está. O custo de girar uma nova placa com novos componentes projetados para a situação seria pequeno em comparação. E nessa placa, eu poderia colocar todo o hardware do driver necessário e a proteção da interface e usar conectores reais e robustos. Não que eu esteja realmente qualificado para construir um sistema eletrônico crítico para a segurança - eu sou um cara de software!

Para conhecer o Arduino com alguma proteção elétrica (mas ainda sem proteção nos outros modos de falha), confira o Ruggeduino: http://ruggedcircuits.com/html/ruggeduino.html

Acho que os problemas com poeira, umidade, vibração etc. podem ser facilmente resolvidos. Trabalho com reparo de colisão automotiva há 30 anos e atendo a todos os tipos de controladores. A solução simples usada nos automóveis para lidar com o ambiente hostil é envolver o módulo de controle em uma resina não condutora que evita que qualquer umidade ou poeira entre em contato com o controlador e, ao mesmo tempo, torna o controlador impermeável a vibrações.

Também sou caiaque e construí um sistema de bomba elétrica para o meu barco, para tratar da questão com risco de vida de tentar bombear um barco inundado em condições de tempestade. Ao longo dos anos, o problema das bombas elétricas nos caiaques tem sido a eletrônica acessível, mas protegida da água salgada. Ninguém parecia ter nada além de sucesso temporário ao fazê-lo.

Acontece que, usando um interruptor magnético e um interruptor e um controlador embutidos em uretano, eu tenho um sistema que sobreviveu a 3 anos de sal e submersões de água doce, bem como todas as pancadas que as ondas e o transporte de carros podem causar. barco.

Não sou especialista em eletrônica, lembre-se. Portanto, talvez exista uma fraqueza nos Arduinos que os tornem inadequados para os sistemas de segurança, mas não há nada no ambiente que eles não possam ser protegidos com um pouco de reflexão.

O uso do Arduino em ambiente industrial pode ser aceitável se:

1. Você protege suas entradas e saídas tão bem quanto os CLPs
2. Você implementa a detecção de escurecimento e o watchdog em seu aplicativo ou com a ajuda de hardware externo
3. Seu aplicativo cuida para que suas saídas estejam sempre em um estado seguro conhecido
4. Você implementa todos os bloqueios e segurança diretamente no código
5. Você passa mais tempo testando e escrevendo código
6. Você não precisa de certificação para seu dispositivo personalizado

Você provavelmente precisará fornecer a interface de protocolo MODBUS ou PROFIBUS e fazer com que os drivers interajam com 0..20mA, 4..20mA, 0..10V, TC, motores, codificadores (ou use placas escravas MODBUS / PROFIBUS com esses drivers incorporados ) ...

Se você deseja programar seu dispositivo na lógica ladder, em vez de C / ASM / PAS / BAS, é possível. Este software fornece isso.