Como programar uma máquina de estados de misturador automatizado em Ladder Logic

Para programar uma máquina de estados de misturador automatizado em Ladder Logic, os engenheiros devem separar a sequência em estados mutuamente exclusivos e controlar cada transição com permissivos explícitos. Este artigo mostra como construir os estados de Enchimento, Mistura e Drenagem no preset de Misturador do OLLA Lab e validá-los contra condições anormais antes de qualquer implementação em tempo real.

Uma sequência de misturador não se torna segura adicionando mais contatos. Ela se torna mais segura ao tornar a intenção da sequência explícita. No controle de batelada, a lógica booleana aninhada pode parecer aceitável na tela e, ainda assim, comportar-se mal durante o ciclo de varredura (scan), especialmente quando mudanças de sensores, feedbacks assíncronos ou condições de reinicialização ocorrem fora de ordem.

Testes internos da Ampergon Vallis corroboram essa distinção dentro deste contexto de treinamento específico. Durante os testes de validação do preset de Misturador do OLLA Lab em 2026, usuários que construíram a sequência com um modelo de estados explícito baseado em inteiros produziram 82% menos falhas de sobreposição de válvulas não intencionais do que usuários que confiaram em lógica de contatos paralelos aninhados. Metodologia: n=34 tentativas de construção por alunos na mesma tarefa de misturador de 3 estados; comparador de base = arquitetura de degraus (rungs) booleanos aninhados; janela de tempo = jan-fev 2026. Isso sustenta o valor do design de estados isolados dentro desta tarefa de laboratório específica. Não estabelece uma taxa de defeito universal para todos os projetos de PLC ou todos os engenheiros.

O ponto prático é simples: sintaxe não é implementabilidade. Um degrau pode compilar e ainda estar estruturalmente incorreto para um processo real.

O sequenciamento booleano aninhado falha porque não impõe exclusividade mútua entre as fases do processo. Em um misturador de batelada, o problema de controle não é apenas "quando esta saída deve ligar?", mas "em qual fase o processo está e quais saídas são proibidas em todas as outras fases?".

A norma ISA-88 fornece a estrutura conceitual correta aqui. O padrão separa o controle procedimental em fases e estados definidos, em vez de tratar toda a batelada como um bloco expansível de lógica condicional (ANSI/ISA-88.01, 2010). Essa distinção é importante porque equipamentos de batelada são sequenciais por natureza. Encher, misturar e drenar não são equivalentes. São fases ordenadas com condições de entrada e saída explícitas.

Um padrão comum entre iniciantes é a "lógica de cebola": adicionar camadas de contatos ao redor de cada saída até que ela pareça protegida. O problema é que proteção por acúmulo não é o mesmo que proteção por estrutura. Se uma chave de nível oscilar, um feedback de motor atrasar um ciclo de varredura ou uma reinicialização ocorrer após uma interrupção, múltiplos degraus podem satisfazer brevemente condições conflitantes.

Os perigos da lógica sem estados

- Sobreposição não intencional: Comandos de enchimento e drenagem podem ser energizados simultaneamente se os permissivos estiverem distribuídos em degraus separados sem uma variável de fase governante única. - Ambiguidade no ciclo de varredura (scan): PLCs resolvem a lógica sequencialmente por varredura, não por intenção humana. "Isso nunca deveria acontecer" não é uma estratégia de controle. - Dificuldade na solução de problemas: Falhas de sequência tornam-se difíceis de isolar porque a fase ativa do processo é inferida a partir de muitas condições, em vez de declarada explicitamente. - Recuperação de interrupção precária: Após uma parada de emergência (E-stop), mudança de modo ou ciclo de energia, a lógica aninhada frequentemente reinicia a sequência com base em condições brutas, em vez de uma recuperação de estado controlada. - Tratamento fraco de estados anormais: Falhas como uma chave de nível travada ou feedback de agitador com falha podem produzir oscilação, transições repetidas ou combinações de saída inválidas.

O equívoco é que mais intertravamentos significam automaticamente mais segurança. Às vezes, significam apenas mais lugares para esconder o erro.

Uma máquina de estados de PLC é uma arquitetura de sequência na qual um estado declarado representa a fase atual de operação, e as transições ocorrem apenas quando condições definidas são atendidas. Na prática, isso geralmente significa um valor de passo inteiro ou um padrão de bits "one-hot" que permite apenas uma fase ativa por vez.

Para esta construção de misturador, usaremos uma variável de sequência baseada em inteiros:

• Estado 10 = Enchimento
• Estado 20 = Mistura
• Estado 30 = Drenagem

Essa abordagem é matematicamente mais limpa do que a lógica de saída dispersa, porque cada comando pode ser vinculado a um estado ativo. Se `Seq_Step = 20`, o misturador está em Mistura. Não "mais ou menos misturando se três outras condições permanecerem verdadeiras". Apenas Mistura.

Definição operacional de "correto" para este misturador

Uma máquina de estados de misturador está operacionalmente correta quando demonstra todos os seguintes comportamentos observáveis:

• Apenas uma fase de processo está ativa por vez.
• As saídas de enchimento e drenagem não podem ser comandadas simultaneamente.
• A mistura não pode começar até que o vaso atinja a condição de nível necessária.
• A drenagem não pode começar até que o intervalo de mistura esteja completo.
• Uma mudança anormal de sensor em um estado não força um salto para trás inválido, a menos que projetado explicitamente para isso.
• Condições de parada ou falha desenergizam as saídas de forma determinística.

Esse é o padrão que vale a pena usar na simulação. "O Ladder parece razoável" não é um teste de aceitação de engenharia.

Os três estados operacionais são Enchimento, Mistura e Drenagem. Cada estado deve ter um propósito claro, um conjunto de saídas limitado e permissivos de transição explícitos.

Dicionário de E/S do Misturador no OLLA Lab

O mapeamento a seguir reflete a lógica de construção do artigo para o preset de Misturador do OLLA Lab.

| Estado | Nome da Fase | Saída de Comando Primária | Condição de Entrada Típica | Condição de Transição | |---|---|---|---|---| | 10 | Enchimento | `Valve_Inlet_Cmd` | Solicitação de início, vaso não cheio, agitador desligado | `Level_High_Sw = 1` | | 20 | Mistura | `Agitator_Cmd` | Vaso cheio e válvula de entrada fechada | `Timer_Mix_Done.DN = 1` | | 30 | Drenagem | `Valve_Outlet_Cmd` | Mistura completa e agitador desligado | `Level_Low_Sw = 1` ou condição de drenagem completa |

### Estado 10: Enchimento

Propósito: Adicionar material ao vaso até que a condição de nível alto seja atingida.

Permissivos típicos:

• `Start_Cycle`
• `Level_Low_Sw`
• `Agitator_Off`
• Nenhuma falha ativa ou condição de parada

Comportamento de saída esperado:

• `Valve_Inlet_Cmd = 1`
• `Agitator_Cmd = 0`
• `Valve_Outlet_Cmd = 0`

### Estado 20: Mistura

Propósito: Agitar o vaso cheio por um intervalo definido.

Permissivos típicos:

• `Level_High_Sw`
• Válvula de entrada confirmada como fechada
• Nenhuma falha ativa ou condição de parada

Comportamento de saída esperado:

• `Agitator_Cmd = 1`
• `Valve_Inlet_Cmd = 0`
• `Valve_Outlet_Cmd = 0`

### Estado 30: Drenagem

Propósito: Esvaziar o vaso após a conclusão da mistura.

Permissivos típicos:

• `Timer_Mix_Done.DN`
• `Agitator_Off`
• Nenhuma falha ativa ou condição de parada

Comportamento de saída esperado:

• `Valve_Outlet_Cmd = 1`
• `Valve_Inlet_Cmd = 0`
• `Agitator_Cmd = 0`

Transições de estado explícitas são programadas verificando o valor do passo atual, verificando o permissivo de transição e, em seguida, movendo o próximo valor de passo para o registrador de sequência. O ponto chave é que o degrau de transição deve provar tanto onde o processo está agora quanto por que ele tem permissão para avançar.

Um padrão simples é:

[Language: Ladder Diagram]

// Transição do Estado 10 (Enchimento) para o Estado 20 (Mistura) |---[ EQU ]-------[ XIC ]-------[ XIO ]-----------------( MOV )---| | Source A: Level_High Agitator_Run Source: 20| | Seq_Step Feedback Dest: | | Source B: 10 Seq_Step |

Este degrau é importante porque `EQU Seq_Step 10` impede que a transição ocorra em qualquer lugar, exceto na fase de Enchimento. Sem essa verificação, uma condição verdadeira espúria pode mover o processo fora da sequência. PLCs são obedientes de uma maneira ligeiramente perigosa.

### Passo 1: Criar o registrador de sequência

Crie uma tag inteira como:

• `Seq_Step`

Inicialize-a com um valor de repouso ou diretamente em `10` no início do ciclo, dependendo da sua filosofia de controle.

Um padrão comum é:

• `0 = Repouso`
• `10 = Enchimento`
• `20 = Mistura`
• `30 = Drenagem`

Espaçar os valores dos passos de dez em dez não é obrigatório, mas facilita edições posteriores.

### Passo 2: Construir degraus de saída orientados por estado

Cada saída deve ser comandada a partir do estado ativo, não de uma coleção solta de condições.

Intenção da lógica de exemplo:

• Se `Seq_Step = 10`, comande a válvula de entrada.
• Se `Seq_Step = 20`, comande o agitador.
• Se `Seq_Step = 30`, comande a válvula de saída.

Conceitualmente:

|---[ EQU Seq_Step 10 ]--------------------------------( Valve_Inlet_Cmd )---| |---[ EQU Seq_Step 20 ]--------------------------------( Agitator_Cmd )------| |---[ EQU Seq_Step 30 ]--------------------------------( Valve_Outlet_Cmd )--|

Em seguida, adicione lógica de permissivo ou veto de falha conforme necessário, mas mantenha a declaração de estado como o driver principal.

### Passo 3: Programar a transição de Enchimento para Mistura

Avance de Enchimento para Mistura apenas quando o vaso atingir o nível necessário e a sequência ainda estiver no Estado 10.

Condições de transição típicas:

• `Seq_Step = 10`
• `Level_High_Sw = 1`
• Confirmação opcional de que nenhuma saída incompatível permanece ativa

Conceitualmente:

|---[ EQU Seq_Step 10 ]---[ XIC Level_High_Sw ]----------------( MOV 20 -> Seq_Step )---|

### Passo 4: Programar o temporizador de Mistura e a transição de Mistura para Drenagem

Use uma instrução de temporizador durante o Estado 20. Quando o temporizador terminar, mova para o Estado 30.

Estrutura lógica típica:

|---[ EQU Seq_Step 20 ]--------------------------------( TON Timer_Mix )---|

|---[ EQU Seq_Step 20 ]---[ XIC Timer_Mix.DN ]---[ XIO Agitator_Run ]----( MOV 30 -> Seq_Step )---|

Se você exige que o feedback `Agitator_Run` esteja desligado antes da drenagem, isso depende se você comanda a parada primeiro e confirma velocidade zero antes da transição. Em equipamentos reais, essa distinção não é decorativa.

### Passo 5: Programar a transição de conclusão da Drenagem

A conclusão da drenagem pode retornar a sequência para o repouso ou para um estado de prontidão.

Condições de transição típicas:

• `Seq_Step = 30`
• `Level_Low_Sw = 1` ou confirmação de vaso vazio

Conceitualmente:

|---[ EQU Seq_Step 30 ]---[ XIC Level_Low_Sw ]----------------( MOV 0 -> Seq_Step )---|

### Passo 6: Adicionar tratamento de parada e falha fora da progressão normal

Falhas não devem ser tratadas como transições comuns. Elas devem interromper ou substituir a progressão da sequência de forma controlada.

Ações típicas de falha ou parada incluem:

• Desenergizar saídas comandadas
• Congelar o passo atual para diagnóstico ou mover para um estado de falha dedicado
• Exigir reinicialização do operador antes de reiniciar
• Registrar qual permissivo falhou ou qual condição anormal ocorreu

Um estado de falha é frequentemente mais limpo do que tentar "cair" para um comportamento seguro usando apenas intertravamentos de saída.

O OLLA Lab é útil aqui porque permite construir a sequência, executá-la em simulação, inspecionar variáveis e comparar o estado do Ladder com o comportamento do equipamento simulado em um único ambiente. Esse é o valor delimitado: não empregabilidade por osmose, mas ensaio repetível de tarefas de validação de alto risco.

Fluxo de trabalho de construção no editor Ladder do OLLA Lab

Use o fluxo de trabalho guiado nesta ordem:

2. Defina as tags principais:

• `Seq_Step`
• `Start_Cycle`
• `Level_High_Sw`
• `Level_Low_Sw`
• `Valve_Inlet_Cmd`
• `Agitator_Cmd`
• `Valve_Outlet_Cmd`
• `Timer_Mix`

1. Crie um novo projeto ou abra o preset de Misturador.
2. Construa os degraus de saída a partir de `Seq_Step`.
3. Construa degraus de transição usando `EQU` e `MOV`.
4. Adicione lógica de temporizador para o Estado 20.
5. Adicione comportamento de parada, reset e falha.
6. Execute a simulação e observe as mudanças nas tags ciclo a ciclo.

O que observar no Painel de Variáveis

O Painel de Variáveis é onde a sequência se torna testável, em vez de apenas legível. Monitore:

• `Seq_Step` atual
• Estados das chaves de entrada
• Estados dos comandos de saída
• Bits acumulados e de conclusão do temporizador
• Quaisquer tags analógicas ou de status vinculadas ao preset do misturador
• Resposta do equipamento simulado na visualização 3D

A pergunta de engenharia é sempre a mesma: o estado do Ladder concorda com o estado do equipamento? Se a resposta for "mais ou menos", continue testando.

O OLLA Lab ajuda a validar o comportamento da máquina de estados dando aos engenheiros um ambiente determinístico para observar transições de estado, forçar entradas anormais e verificar se a sequência não entra em combinações proibidas. Neste contexto, "pronto para simulação" significa capaz de provar, observar, diagnosticar e endurecer a lógica de controle contra o comportamento real do processo antes que ele chegue a um processo real.

Isso é importante porque o risco de comissionamento reside em casos extremos, não no caminho feliz. A maioria das sequências ruins parece boa até que o sensor errado mude no momento errado.

Usando o Painel de Variáveis para injeção de falhas

Use o Modo de Simulação para injetar falhas e testar se a máquina de estados permanece estruturalmente correta.

Testes de falha recomendados para o misturador:

- Resultado esperado: o processo deve permanecer na Drenagem ou na lógica de falha; não deve saltar de volta para a Mistura

• Chave de nível alto travada durante a Drenagem
• Force `Level_High_Sw = 1` enquanto `Seq_Step = 30`

- Resultado esperado: nenhum comando de drenagem inválido deve ocorrer

• Chave de nível baixo prematura durante o Enchimento
• Alterne `Level_Low_Sw` inesperadamente durante o Estado 10

- Resultado esperado: a transição para a Drenagem deve ser bloqueada ou falhar, dependendo do design

• Incompatibilidade de feedback do agitador
• Comande a mistura, mas simule a ausência de feedback de funcionamento

- Resultado esperado: as saídas desenergizam deterministicamente e o comportamento de reinicialização segue a lógica de recuperação definida

• Ciclo interrompido
• Aplique parada ou reset no meio da batelada

Esses testes não são extras acadêmicos. Eles são a diferença entre validação de sequência e otimismo de sequência.

O que significa a validação de gêmeo digital aqui

Validação de gêmeo digital (digital twin), neste contexto delimitado, significa testar a lógica Ladder contra um modelo de máquina realista para que o engenheiro possa comparar o estado da sequência pretendida com o comportamento observado do equipamento antes de tocar em ativos físicos. Não significa aceitação formal da planta, certificação SIL ou prova de prontidão do local por si só.

Essa distinção é importante. Um simulador pode expor defeitos de lógica precocemente. Ele não pode substituir a revisão de perigos específica da planta, o procedimento de comissionamento ou a gestão de mudanças.

Um artefato de portfólio útil é um corpo compacto de evidências de engenharia, não uma galeria de capturas de tela. O objetivo é mostrar que você pode definir a correção, testar condições anormais, revisar a lógica e explicar por que a revisão é importante.

Use esta estrutura exatamente:

Declare os critérios de aceitação: uma fase ativa por vez, sem sobreposição de válvulas, mistura temporizada, comportamento de parada determinístico e conclusão de drenagem válida.

Explique a mudança na lógica: permissivo adicionado, trava de falha, veto de transição ou estado de recuperação.

1. Descrição do Sistema Defina o processo do misturador, E/S, fases da sequência e objetivo operacional.
2. Definição operacional de "correto"
3. Lógica Ladder e estado do equipamento simulado Mostre o registrador de sequência, degraus de transição e o comportamento correspondente do misturador simulado.
4. O caso de falha injetada Documente uma condição anormal, como uma chave de nível travada, feedback de agitador ausente ou ciclo interrompido.
5. A revisão feita
6. Lições aprendidas Declare o que a falha revelou sobre o design da sequência, comportamento de varredura ou suposições de reinicialização.

Esse tipo de evidência é mais credível do que "aqui está minha tela de Ladder". A pergunta útil é se a lógica sobrevive ao contato com o comportamento do processo.

Esta construção se alinha com a ISA-88 porque separa fases procedimentais em estados de sequência explícitos e vincula a ação do equipamento a esses estados, em vez de enterrar o processo dentro de lógica booleana indiferenciada. Isso não é gerenciamento completo de receitas de batelada, mas segue a mesma disciplina: clareza de fase, condições de transição e execução controlada.

Também se alinha com práticas mais amplas de comissionamento e segurança de uma maneira limitada, mas significativa:

- Pensamento IEC 61508: Comportamento determinístico e resposta a falhas definida são fundamentais para o design de sistemas de controle seguros, embora este artigo não faça uma reivindicação formal de segurança funcional. - Literatura de comissionamento digital: Simulação e comissionamento virtual são amplamente reconhecidos como úteis para detecção precoce de defeitos, validação de sequência e redução do risco de comissionamento físico. - Realidade dos fatores humanos: Engenheiros frequentemente aprendem a robustez da sequência mais rapidamente quando podem observar causa e efeito diretamente e testar condições anormais sem consequências na planta.

A conclusão delimitada é direta. Uma máquina de estados não torna um processo seguro por si só. Ela dá ao processo uma estrutura que pode ser testada, revisada e endurecida. Esse é um ponto de partida melhor do que lógica de cebola e dedos cruzados.

Conceito da imagem: Visualização em tela dividida do Editor de Lógica Ladder do OLLA Lab e o gêmeo digital do Misturador. O lado esquerdo mostra a instrução `MOV` alterando `Seq_Step` de 10 para 20. O lado direito mostra o vaso atingindo o nível cheio e entrando na fase de mistura.

Texto alternativo: Captura de tela da interface do OLLA Lab exibindo uma transição de estado de lógica Ladder usando uma instrução MOV, ao lado do gêmeo digital do misturador 3D mostrando a fase de enchimento ativa acionada pelo Estado 10.

- ANSI/ISA-88.01 batch control model and terminology - IEC 61131-3: Programmable controllers — Part 3: Programming languages - IEC 61508 Functional safety overview - Digital Twin in Manufacturing review (IFAC-PapersOnLine) - Virtual commissioning review (Procedia Manufacturing)