Como construir detecção de falhas estatística 3 Sigma para bombas em Ladder Logic

A detecção de falhas em bombas com 3 Sigma utiliza estatísticas móveis dentro do CLP para identificar comportamentos anômalos em sinais analógicos antes que um limite de alarme fixo seja atingido. Ao calcular uma média móvel e o desvio padrão a partir de amostras de pressão recentes, a lógica Ladder pode atuar sobre anomalias baseadas em variância, como cavitação, vazamentos ou condições de fluxo instável.

Alarmes estáticos de baixa pressão são uma defesa tardia, não um sistema de aviso prévio. Quando a pressão de descarga finalmente cai abaixo de um ponto de ajuste fixo, a bomba pode já estar operando em cavitação, com desgaste de selo ou instabilidade de fluxo que já eram visíveis no sinal há vários segundos.

Durante a validação de um cenário de bomba centrífuga no OLLA Lab, um limite de variância 3 Sigma em um sinal simulado de pressão de descarga de 4–20 mA detectou anomalias de perda de fluxo 4,2 segundos mais rápido do que um alarme convencional de baixa pressão estática e acionou um desligamento seguro antes que ocorresse dano simulado ao selo [Metodologia: n=24 execuções de falha simuladas em um cenário de bomba centrífuga; comparador de linha de base = apenas disparo por baixa pressão fixa; janela de tempo = início da anomalia até a asserção do alarme em um regime de amostragem de 100 ms]. Este é um benchmark interno da Ampergon Vallis, não uma reivindicação geral de desempenho da indústria.

O ponto de engenharia é direto: a análise em nuvem é útil para revisão de tendências, mas o intertravamento determinístico pertence à borda de controle. Se a lógica precisa agir agora, o CLP não deve esperar por um historiador, um painel ou uma rede que possa estar indisponível.

O Controle Estatístico de Processo (CEP) no nível do CLP é valioso porque combina detecção de anomalias com ação determinística. A distinção é importante: a análise pode explicar uma falha posteriormente, mas os intertravamentos devem prevenir danos em tempo real.

Três vantagens práticas justificam a execução de lógica CEP limitada no CLP:

1. Intertravamento determinístico O CLP pode acionar um alarme, parar um motor ou inibir a reinicialização dentro do ciclo normal de varredura (scan) e saída. Isso é materialmente diferente de esperar pela avaliação na nuvem e pelo retorno da mensagem.
2. Resiliência de rede A lógica de proteção permanece ativa mesmo se o link TI/TO cair, o broker travar ou o historiador comprimir o sinal em algo menos útil para a detecção rápida de falhas.
3. Visibilidade de sinal de alta frequência O CLP vê a entrada analógica na cadência da tarefa de controle. Um historiador, muitas vezes, não vê. Flutuações rápidas, instabilidade intermitente e excursões de curta duração são exatamente os comportamentos que os limites fixos perdem primeiro.

Isso não significa que toda função de manutenção preditiva pertença à lógica Ladder. Diagnósticos de longo prazo, análises de frota e planejamento de manutenção baseada em modelos são geralmente melhor tratados a montante. O CLP é o lugar certo para lógica estatística limitada e determinística que deve influenciar o estado da máquina imediatamente.

Do ponto de vista das normas, essa separação é consistente com a disciplina de alocação funcional em sistemas de controle industrial: a ação protetiva deve permanecer determinística e testável, enquanto a análise consultiva pode residir em outro lugar (IEC, 2010; IEC, 2016). Camadas diferentes têm obrigações diferentes.

A lógica 3 Sigma é o desvio padrão móvel aplicado a uma tag de processo ativa. A fórmula é familiar; os detalhes de implementação são onde os projetos de CLP se tornam caros.

Para uma janela de amostra de N leituras de pressão:

μ = (1/N) × Σxᵢ

• Média

σ² = (1/N) × Σ(xᵢ - μ)²

• Variância

σ = √σ²

• Desvio padrão

UCL = μ + 3σ LCL = μ - 3σ

• Limites de controle 3 Sigma

Se o valor de pressão atual cair fora dessa banda, a lógica aciona um bit de anomalia estatística.

Blocos matemáticos necessários em Ladder Logic

Uma implementação prática geralmente requer estes tipos de instrução:

• Lógica FIFO / FFL / deslocamento de array para manter uma janela de amostra móvel
• Lógica AVE ou ADD/DIV explícita para calcular a média móvel
• SUB para calcular o desvio da média
• MUL para elevar o desvio ao quadrado
• ADD para acumular desvios ao quadrado
• DIV para calcular a variância
• SQRT para calcular o desvio padrão
• MUL novamente para gerar a banda 3 Sigma
• CMP / LIM / GRT / LES para disparar a condição de anomalia

A premissa subjacente é que o ruído do sinal de base é aproximadamente estável e suficientemente bem comportado para que uma banda de desvio padrão seja significativa. Sinais reais de bombas não são distribuições normais de livro didático, e nenhum engenheiro competente deveria fingir o contrário. Mas para detecção de anomalias limitada em um regime operacional estável, a lógica 3 Sigma é frequentemente útil porque é simples, transparente e testável.

Uma média móvel começa com amostragem disciplinada e tipos de dados corretos. Se o sinal de pressão analógico for armazenado como números inteiros e depois dividido como se a precisão fosse opcional, a matemática será enganosa.

### Passo 1: Amostrar a entrada analógica em um intervalo fixo

Use um temporizador ou tarefa periódica para amostrar a entrada de pressão em uma taxa consistente. Um ponto de partida comum é:

- Intervalo de amostragem: 100 ms - Tamanho da janela: 50 amostras - Janela de observação: 5 segundos

Isso fornece histórico recente suficiente para detectar instabilidade sem tornar a banda de controle muito lenta.

### Passo 2: Armazenar amostras em um array REAL

Use tipos de dados REAL para:

• pressão atual
• elementos do array
• média móvel
• variância
• desvio padrão
• limites de controle superior e inferior

Isso evita o truncamento durante a divisão e preserva a resolução analógica. A lógica estatística construída sobre matemática de inteiros é frequentemente uma fonte silenciosa de decisões ruins.

### Passo 3: Manter a janela móvel

Implemente uma rotina FIFO ou de deslocamento de array equivalente para que cada nova amostra entre na janela e a amostra mais antiga seja descartada. Os controles principais são:

• contagem de amostras válidas
• limites do array
• estado de inicialização
• comportamento antes que o array esteja totalmente preenchido

Não calcule a variância em um buffer vazio ou parcialmente indefinido, a menos que a lógica trate explicitamente essa condição. Falhas de divisão por zero não são evidências de análise avançada.

### Passo 4: Calcular a média móvel

Uma vez que o array esteja preenchido:

• some todos os valores das amostras
• divida pelo número de amostras válidas
• armazene o resultado como `Rolling_Mean`

Se sua plataforma suportar uma instrução de média, use-a. Caso contrário, a soma explícita é aceitável, desde que o custo de execução seja aceitável para o período da tarefa.

Notas de implementação prática

Um conjunto de degraus (rungs) robusto geralmente inclui:

• um bit Data_Ready assim que a janela de amostra estiver cheia
• um permissivo Stats_Enable vinculado ao estado de funcionamento da bomba
• uma inibição Bad_Input_Quality se o sinal analógico for inválido, estiver fora da faixa ou defasado
• um Startup_Mask_Timer para evitar alarmes incômodos durante transientes

É aqui que o julgamento de comissionamento importa. Uma bomba ligando, desligando ou alternando modos de serviço não é estatisticamente anômala por si só; ela está simplesmente mudando de estado. A lógica deve saber a diferença.

Onde o OLLA Lab se torna operacionalmente útil

O OLLA Lab fornece um ambiente delimitado para testar essa lógica de array antes que ela chegue a um controlador real. No editor Ladder baseado em navegador, os engenheiros podem construir a estrutura FIFO, executar a lógica em modo de simulação e usar o Painel de Variáveis para observar o preenchimento do array em tempo real.

Isso é importante porque "pronto para simulação" deve significar algo observável. Operacionalmente, significa que um engenheiro pode provar, observar, diagnosticar e fortalecer a lógica de controle contra o comportamento real do processo antes que ela chegue a um processo real. A sintaxe é apenas parte disso. A capacidade de implantação é a parte mais difícil.

A sequência de degraus do desvio padrão deve ser explícita, limitada e fácil de testar. Se a lógica for inteligente demais para ser revisada, ela é inteligente demais para ser confiável.

Sequência Ladder passo a passo

Após o cálculo da média móvel:

1. Itere através de cada amostra no array.
2. Subtraia a média da amostra.
3. Eleve o desvio ao quadrado.
4. Acumule os desvios ao quadrado.
5. Divida por N para obter a variância.
6. Aplique SQRT para obter o desvio padrão.
7. Multiplique o desvio padrão por 3.0.
8. Adicione e subtraia esse valor da média para criar os limites de controle superior e inferior.
9. Compare a pressão atual com esses limites.
10. Trave um alarme de anomalia estatística se o sinal estiver fora da banda.

Exemplo de lógica estilo Ladder

// Calcular banda 3 Sigma MUL Standard_Deviation 3.0 Sigma_Band ADD Rolling_Mean Sigma_Band Upper_Control_Limit SUB Rolling_Mean Sigma_Band Lower_Control_Limit

// Disparar alarme de anomalia GRT Current_Pressure Upper_Control_Limit OTL Pump_Stat_Anomaly LES Current_Pressure Lower_Control_Limit OTL Pump_Stat_Anomaly

Considerações sobre o projeto de intertravamento

Um intertravamento utilizável geralmente precisa de mais do que uma única instrução de comparação. Considere adicionar:

• temporização de persistência para que uma amostra ruidosa não desarme a bomba
• separação entre alarme e disparo
• inibição de rearme automático até a revisão do operador
• permissivos baseados em modo para que a manutenção ou o modo manual não disparem disparos falsos
• registro de eventos para média, sigma, valor atual e estado operacional no momento do disparo

Um padrão limpo é:

• primeira violação → definir Stat_Alarm
• violação sustentada por tempo definido → definir Trip_Request
• parada confirmada → travar Pump_Faulted

Essa sequência é mais fácil de solucionar problemas do que um único degrau que faz tudo mal.

Uma correção que vale a pena fazer

A lógica 3 Sigma não substitui os limites de processo. Ela os complementa. Você ainda precisa de lógica rígida de baixa pressão, funcionamento a seco, sobrecarga e permissivos. A detecção estatística detecta comportamentos anormais precocemente; os limites de proteção fixos ainda guardam a borda da operação segura.

A lógica de variância detecta instabilidade antes do colapso do valor absoluto. Essa é a principal vantagem.

Um pequeno vazamento no selo, problema de sucção ou evento inicial de cavitação pode produzir:

• flutuação de pressão
• aumento da amplitude de oscilação
• quedas e recuperações intermitentes
• comportamento de fluxo instável em torno de um valor médio que, de outra forma, seria aceitável

Um alarme fixo como “Disparar se pressão < 50 PSI” ignora tudo isso até que o sinal finalmente cruze a linha. A essa altura, a condição mecânica pode já estar se degradando.

Uma banda 3 Sigma reage ao comportamento do sinal em relação à sua linha de base recente. Se a bomba normalmente opera a 72 PSI com baixa dispersão e de repente começa a oscilar entre 66 e 78 PSI, o desvio padrão aumenta mesmo que a média permaneça acima do ponto de disparo estático. Esse é frequentemente o primeiro aviso útil.

Isso não é mágica e não é universal. Se o próprio processo for naturalmente instável, um alarme de variância pode simplesmente lhe dizer que o processo é variável. O método funciona melhor quando aplicado a um regime operacional estável com comportamento normal conhecido, controle de modo adequado e uma janela de amostra validada.

Pesquisas em monitoramento de condições e detecção de anomalias apoiam o valor de recursos sensíveis à variância para equipamentos rotativos e sistemas de processo, particularmente quando combinados com limites específicos de domínio e contexto operacional (Jardine et al., 2006; Lei et al., 2020; Yin et al., 2014). A implementação em um CLP é mais simples do que muitas abordagens baseadas em modelos, mas o requisito de disciplina de engenharia não desaparece.

A janela de amostra deve corresponder à dinâmica do processo, não à paciência do engenheiro. Uma janela de 50 amostras a 100 ms pode ser razoável para uma bomba e ineficaz para outra.

Fatores de seleção de janela

Escolha a janela móvel com base em:

• tempo de resposta do sensor
• dinâmica da bomba e da tubulação
• frequência de perturbação esperada
• tempo de varredura e carga do controlador
• tolerância a alarmes incômodos
• velocidade de resposta necessária

Uma janela curta reage mais rápido, mas é mais ruidosa. Uma janela longa é mais suave, mas mais lenta. A resposta certa geralmente é encontrada testando casos de falha, não discutindo números redondos.

Considerações de varredura e execução

A lógica estatística consome recursos do controlador. Em uma varredura sequencial de CLP, cálculos repetidos de array e operações de ponto flutuante podem se tornar caros, especialmente em CPUs menores ou tarefas sobrecarregadas.

Fique atento a:

• aumento do tempo de varredura
• estouros de tarefas periódicas
• erros de índice de array
• condições de divisão por zero
• valores REAL não inicializados
• frequência excessiva de recálculo

Um padrão sensível é:

• amostrar em um intervalo fixo
• calcular estatísticas apenas quando uma nova amostra chega
• separar intertravamentos de alta prioridade de análises de menor prioridade
• avaliar o impacto da varredura durante a validação

Esta é uma das razões pelas quais a simulação é importante. É mais barato descobrir que uma rotina matemática é abusiva em um ambiente virtual do que durante a inicialização com as operações esperando.

Persistência de alarme

Use um temporizador de persistência ou confirmação baseada em contagem antes de disparar. Padrões comuns incluem:

• anomalia presente por 500 ms
• 3 de 5 amostras consecutivas fora da banda
• violações repetidas dentro de um intervalo de tempo móvel

Isso reduz disparos incômodos enquanto preserva a detecção precoce. O valor exato deve ser justificado em relação ao risco do processo e à vulnerabilidade da bomba, não copiado sem validação.

A lógica de variância deve ser testada contra perturbações dinâmicas, não forçamento estático. Um valor constante forçado prova muito pouco além do fato de que o simulador pode manter um número.

No OLLA Lab, os engenheiros podem validar essa lógica em um ambiente de ensaio baseado na web que combina execução Ladder, inspeção de variáveis ao vivo e comportamento simulado do equipamento. O fluxo de trabalho relevante é limitado e prático:

• construir a lógica Ladder no editor baseado em navegador
• executar o programa em modo de simulação
• monitorar a tag de pressão, média, sigma e bits de alarme no Painel de Variáveis
• injetar perturbação analógica no sinal de pressão
• observar o estado da bomba simulada e a resposta à falha

Padrões de perturbação úteis para injetar

Para testes de anomalia de bomba, os casos mais informativos são:

• deriva analógica para simular degradação gradual
• perturbação de onda quadrada para simular comportamento instável do processo
• aumento da amplitude de ruído para simular início de cavitação ou flutuação de pressão
• mudança de passo mais oscilação para testar a lógica de recuperação e temporização de persistência

O objetivo não é criar falhas teatrais. O objetivo é criar assinaturas de falha repetíveis e limitadas e verificar se a lógica responde conforme projetado.

O que a validação de gêmeo digital significa aqui

"Validação de gêmeo digital" deve ser usada com cuidado. Neste contexto, significa validar a lógica de controle contra um modelo de equipamento simulado realista e comportamento de processo observável antes da implantação. Não significa que a simulação seja um substituto certificado para testes de aceitação no local, verificação SIL ou comissionamento de planta.

Esse limite é importante. Um simulador pode expor defeitos de lógica, erros de sequenciamento e manuseio inadequado de falhas precocemente. Ele não pode certificar a fiação de campo, a qualidade da instalação do instrumento, a realidade hidráulica ou a resposta do operador sob condições reais de planta. Qualquer pessoa que confunda essas categorias está vendendo conforto em vez de evidências de engenharia.

Um registro de projeto credível é um corpo compacto de evidências de engenharia, não uma galeria de capturas de tela. Se você deseja que o trabalho seja revisável por um engenheiro líder, instrutor ou gerente de contratação, documente a lógica da maneira que um sistema de controle merece ser documentado.

Use esta estrutura:

Declare o que conta como comportamento bem-sucedido. Exemplo: “O CLP deve acionar um alarme de anomalia estatística dentro de 1,0 segundo de instabilidade de pressão sustentada e desarmar a bomba se a anomalia persistir por 2,0 segundos enquanto estiver no estado Auto e Run.”

Especifique a perturbação aplicada: deriva, oscilação, aumento de amplitude, queda ou falha mista.

Documente o que mudou após o teste: tamanho da janela, temporizador de persistência, máscara de inicialização, limite de comparação ou permissivo de modo.

1. Descrição do sistema Defina o sistema de bomba, a tag analógica monitorada, os modos operacionais e a ação protetiva pretendida.
2. Definição operacional de “correto”
3. Lógica Ladder e estado do equipamento simulado Registre os degraus relevantes, lista de tags, intervalo de amostragem, comprimento do array e a condição operacional da bomba simulada durante o teste.
4. O caso de falha injetado
5. A revisão feita
6. Lições aprendidas Declare o que o teste expôs. Bons exemplos incluem falsos positivos durante a inicialização, custo excessivo de varredura ou comportamento ruim durante o preenchimento parcial do buffer.

Este é o tipo de evidência que apoia a revisão de engenharia. Ela mostra causa, efeito, revisão e julgamento. Uma captura de tela sozinha geralmente mostra apenas que alguém capturou uma tela.

A lógica de anomalia estatística deve ser tratada como um aprimoramento de diagnóstico ou proteção, a menos que seja formalmente projetada de outra forma. Ela não é automaticamente uma função de segurança apenas porque desarma o equipamento.

Três limites valem a pena ser declarados claramente:

Se a função faz parte de um sistema instrumentado de segurança, ela deve ser projetada, validada e mantida sob os requisitos relevantes do ciclo de vida de segurança. A novidade estatística não isenta ninguém da disciplina IEC 61508 ou IEC 61511 (IEC, 2010; IEC, 2016).

• Um alarme de variância não é uma reivindicação SIL.

A simulação pode validar o comportamento da lógica e expor defeitos precocemente, mas não substitui FAT, SAT, verificações de loop ou comissionamento no processo real.

• Simulação não é prova de campo.

Um transiente de inicialização, curso de válvula ou transferência de serviço pode se assemelhar a uma falha se a lógica não for controlada pelo estado do processo.

• A detecção de anormalidades requer contexto de modo.

Para práticas de confiabilidade mais amplas, a literatura de monitoramento de condições enfatiza consistentemente que a qualidade da detecção de falhas depende da qualidade do sinal, do contexto operacional e da validação contra assinaturas de falha conhecidas, não da mera presença de um algoritmo (Jardine et al., 2006; Lei et al., 2020). Em outras palavras, uma fórmula ainda não é um método.

- IEC 61131-3: Controladores programáveis — Parte 3 - Família de normas de segurança funcional IEC 61508 - Recursos de validação e segurança funcional exida - Recomendação de sinalização de status NAMUR NE 107 - Gêmeo digital na indústria: estado da arte (DOI)