Bygga in säkerhet i arduino projekt.

[orvar-e]

Funderar på hur man öka säkerheten i sina arduino styrda maskiner. Jag håller på med en vedmaskin och den ska kanske styras med en lite arduino om säkerheten på en sådan är hög nog.
Som jag kan komma på kan man öka säkerheten genom att ex har dubbla sensorer för varje rörelse, eller kanske dubbla arduinokort som jobbar simultant, men hur övervakar man då att dessa två gör rätt, ska man sätta dit ett tredje som övervakar de andra två.
I en vedmaskin så vill man ju ex inte att klyvcylindern går ut samtidigt som såg svärdet är ner, då kan man köra sönder. Det går säkert att lösa viss uppkomst till fel i vedmaskinens konstruktion men jag är mer intresserad av tankar och ideér på elektroniksidan och programmeringssidan.
Tankar och ideér går ju allt som ofta att implementera i andra projekt och andra styrsystem.

[Pajn]

SIL klassade enheter som innehåller µC brukar ju ha två som övervakar varandra så att man aldrig har en
part som kan fela och ställa till det (vilket du har med tre µC där endast en sköter övervakning).
Hur det går till längre än så vet jag dock inte.

En tanke kanske skulle vara att använda AND bryggor så att båda kontrollrarna måste vara överens om att
en utgång ska gå hög t.ex. Men då kommer vi ju till frågan om att AND bryggan kan gå sönder...

[grottan]

Generellt sett så bör t.ex klyvcylinderns manöver och sågsvärdet styras av ett externt relä där respektive funktion förreglar varandra, d.v.s manövern till sågsvärdet bryts upp av en normal-closed kontakt på det relä som manövrerar klyvcylindern (och då även tvärtom). Går även att lösa med gränslägesbrytare.

Du bör i alla fall inte göra förreglingen mjukvarumässigt om du vill var helt säker.

Ren personsäkerhet bör nog hanteras med för ändamålet avsedda säkerhetsreläer / komponenter.

[Icecap]

Att ha en µC för att styra en sekvens är helt OK - men som grottan skriver: styrningen ska vara gjort så att det är omöjligt att gå fel, hur signalerna från styrningen än ser ut.

[Mindmapper]

Funderar på hur man öka säkerheten i sina arduino styrda maskiner. Jag håller på med en vedmaskin och den ska kanske styras med en lite arduino om säkerheten på en sådan är hög nog.
Som jag kan komma på kan man öka säkerheten genom att ex har dubbla sensorer för varje rörelse, eller kanske dubbla arduinokort som jobbar simultant, men hur övervakar man då att dessa två gör rätt, ska man sätta dit ett tredje som övervakar de andra två.
I en vedmaskin så vill man ju ex inte att klyvcylindern går ut samtidigt som såg svärdet är ner, då kan man köra sönder. Det går säkert att lösa viss uppkomst till fel i vedmaskinens konstruktion men jag är mer intresserad av tankar och ideér på elektroniksidan och programmeringssidan.
Tankar och ideér går ju allt som ofta att implementera i andra projekt och andra styrsystem.

Du kan ju t.ex övervaka att signalen från givaren som indikerar att svärdet börjar gå ner försvinner en viss tid efter det att rörelsen aktiverats.
Ett annat bra sätt att övervaka fel är att känna så att inte signal att en cylinder befinner sig i flera lägen samtidigt då detta indikerar att en av givarna är trasig.

Att införa ett tredje system tillför egentligen inte så mycket av säkerhet. Har du två system där båda två övervakar det andra och slår stopp om de inte är överens så har du ett väldigt säkert system utan att lägga dit ett dedikerat säkerhetssystem.

Genom att göra sådana enkla felkontroller går det att analysera farligheter utan att dubblera sensorer och styrsystem. I ditt fall så borde det räcka. Fast utan en säker uppbyggnad i övrigt är ju detta helt värdelöst.

[blueint]

Jag skulle satsat på mekanisk konstruktion som gör att man inte kan göra fel och i andra hand reläer och brytare som förhindrar samma.

[RoPa]

Som blueint, icecap och grottan skriver ska säkerheten vara "by design" och inte "by control".
Däremot kan man ha dubblerade system för dritfsäkerhet i meningen tillgänglighet, om en arduino "brinner" kan den andra fortsätta att köra maskinen, lika så med sensorerna.
Sensor "indikation" ska även vara baserad på påverkad givare och inte på "normal" läge, dock gärna i kombination.

[Josasp]

Jag brukar alltid tänka så att en maskin ska kunna köra manuellt utan µC och sen att processorn kör maskinen så att säga
Alltså, att man bygger säkerheten precis som om du skulle köra maskinen med knappar och rattar manuellt, att säkerheten ligger på den nivån.

Sen att man låter en µC köra maskinen.
Att man designar med det tankesättet.

Eftersom en processor kan alltid gå sönder och då kan allt möjligt hända.
Det finns även risk att man har designat något fel i koden, inte tagit hänsyn till storleken på en integer t.ex.

[orvar-e]

För mig är det självklart att man ska göra bygga in säkerhet i designen i på alla nivåer. Från det mekaniska till det elektromekaniska ner till processor nivå. Jag har i mitt arbete får chansen att så flera usla exempel där hissen inte nått ända upp hos konstruktören.
I den industrin som jag finner som vardag, har man vill jag påstå mycket sällan dubbla styrsystem för att styra ex en ventil utan säkerheten ligger då dels i PLC:n i programmet och dels på den elektromekaniska nivån då menar jag reläkontakter som blockerar varandra, och sedan bygger man i allt bakom staket och grindar som bryter vald zon.
Många produktionssträckor så har man failsafe moduler och nödstopsreläer, men dom sköter bara skal skyddet dvs håller koll på sensorer och brytare i grindar och staket.

På min garagepular nivå så gäller så klart andra spelregler det finns ingen byråkrati som beskriver hur jag ska bete mig så länge jag inte lånar ut eller säljer den. (vad jag vet)

[Gimbal]

Grundidén är ju att ETT fel inte får utlösa en farlig rörelse. Helst ska ju felet också upptäckas automatisk, så att maskinen inte jobbar vidare med ett klibbat relä exempelvis.

Knappar och givare bör också vara kopplade så att ett säkert läge erhålls om kablarna rycks/klipps av. Typ normalt slutet för stoppknappar/nödstopp, och normalt öppet för start/initiering av farliga rörelser.

Grindar och burar är ju säkert och bra, men det gäller också att de farliga sakerna innanför står still på ett säkert sätt när grindarna och burarna öppnas. dvs tvåkanaligt stopp på allt farligt, även om burar finns.

[blueint]

PV: Råttor orsaken till tågolyckan i Frankrike den 17 juli 2014

wp: Therac-25 är ett klassiskt exempel på att säkerhet-med-mjukvara inte är något bra. Den förstörde livet för ett antal patienter 1985 - 1987.

RISKS digest har ett antal beskrivningar om hur saker kan gå fel. Ända från 1985. Rätt lärorikt och visar att man aldrig kan ta något för givet.

[aske]

Finns ju lite olika sätt att tänka. En kombination jag tycker om är FTA (Fault Tree Analysis) kombinerat med FMEA (Fault Mode and Effects Analysis) för att se vad kan gå fel och hur allvarligt det felet skulle vara. Väldigt akademiskt...

Har inte funderat så mycket på felsäkra rent mekaniskt/hårdvara, däremot så är det populärt att använda switch case eftersom det är tydligt vad parametrarna ut är i ett case och vad som krävs för att gå till ett annat.

Vad jag såg så kom alla andra med konkreta och vettiga förslag; speciellt Pajn, använd en färdig µC som är säker istället för att försöka med två eller tre egna µC, större risk för misstag från din sida.

Sist men inte minst, det låter som en smutsig miljö med vibrationer; snåla inte på kontaktdon och sensorer så att de klarar miljön.

[blueint]

Se upp med glappkontakt och interferens..

[PTC]

På en del maskiner jag programmerat med PLC, har jag ibland programmerat i stegkedjor med avläsning av sensorer och reläer mellan varje steg så inte nästkommande rörelse kan inträffa utan att allt ligger í fas.
Innan nästa steg i kedjan kontrollerar systemet att det inte finns några förreglingar som stoppar.

Som en del varit inne på använder jag ofta NC på sensorer, stoppknappar och nödstopp och NO på startknappar samt förreglingar på relän så bara ett kan dras åt gången (vid t.ex. rörelser plus och minus eller motorer medurs kontra moturs)

Med detta tycker jag man kommer rätt så långt.

Sen tycker jag det är en självklarhet att man har nödstopp på de ställe man kan befinna sig under maskinens arbete.


//Per

[orvar-e]

Ja nödstopp kommer bli ett stort steg i rätt riktning för säkerheten lika så lätt åtkomlig arbetsbrytare. Lite tveksam om jag ska ha dubbelhandsfattning för att köra, det kan bli så stelt och onödigt komplicerat när man ska producera kubikmeter ved efter kubikmeter ved.

Mjukvaran och µC igen.
Att köpa en µC som är anpassad till det jag ska ha den till låter som ett skämt för en enkel garagepulare. ..... vad skulle det vara för µC och ryms den i så fall inom budgetramarna, tveksamt på fråga två. En arduino är det ända raka för mig, för då kan jag lägga in funktioner jag är intresserad av. Tex räkna antalet sågningar, räkna antalet kubik som är sågat, hålla koll på hur lång tid en såg intervall tar för att avgöra om kedjan är slöa osv.
Men säkerheten är så klart viktigast.