如何在梯形图中构建泵的 3 Sigma 统计故障检测

3 Sigma 泵故障检测利用 PLC 内部的滚动统计数据，在模拟信号触及固定报警阈值之前识别异常行为。通过计算近期压力样本的移动均值和标准差，梯形图逻辑可以针对气蚀、泄漏或不稳定流况等基于方差的异常触发跳闸。

静态低压报警是一种滞后的防御手段，而非早期预警系统。当排出压力最终降至固定跳闸点以下时，泵可能已经处于气蚀、密封受损或流体不稳定的状态，而这些迹象在信号中已持续数秒。

在 OLLA Lab 对离心泵场景进行验证期间，针对模拟的 4–20 mA 排出压力信号设置的 3 Sigma 方差阈值，比传统的静态低压报警提前 4.2 秒检测到了流量损失异常，并在模拟密封损坏发生前触发了安全停机 [方法论：在一个离心泵场景中进行 n=24 次模拟故障运行；基准比较器 = 仅固定低压跳闸；时间窗口 = 100 ms 采样周期内从异常开始到报警断言的时间]。这是 Ampergon Vallis 的内部基准，而非通用的行业性能声明。

工程要点很明确：云端分析对于趋势审查很有用，但确定性联锁必须位于控制边缘。如果逻辑必须立即采取行动，PLC 不应等待历史数据库、仪表盘或可能不可用的网络。

PLC 级的统计过程控制之所以有价值，是因为它将异常检测与确定性动作相结合。这种区别至关重要：分析可以在事后解释故障，但联锁必须实时防止损坏。

在 PLC 中运行有界 SPC 逻辑有三个实际优势：

1. 确定性联锁 PLC 可以在正常的扫描和输出周期内断言报警、停止电机或禁止重启。这与等待云端评估和消息返回有着本质区别。
2. 网络弹性 即使 IT/OT 链路中断、代理服务器停滞或历史数据库将信号压缩为对快速故障检测无用的格式，保护逻辑依然有效。
3. 高频信号可见性 PLC 以控制任务的节奏查看模拟输入。历史数据库通常做不到这一点。快速抖动、间歇性不稳定和短时偏移正是固定阈值最先漏掉的行为。

这并不意味着每一个预测性维护功能都属于梯形图。长周期的诊断、车队分析和基于模型的维护计划通常更适合在上位处理。PLC 是处理必须立即影响机器状态的有界、确定性统计逻辑的正确位置。

从标准角度来看，这种分离符合工业控制系统中功能分配的原则：保护性动作应保持确定性和可测试性，而咨询性分析可以放在其他地方（IEC, 2010; IEC, 2016）。不同的层级有不同的职责。

3 Sigma 逻辑是应用于实时过程标签的滚动标准差。公式大家都很熟悉，但实现细节往往是 PLC 项目成本高昂的原因。

对于 N 个压力读数的样本窗口：

μ = (1/N) × Σxᵢ

• 均值 (Mean)

σ² = (1/N) × Σ(xᵢ - μ)²

• 方差 (Variance)

σ = √σ²

• 标准差 (Standard deviation)

UCL = μ + 3σ LCL = μ - 3σ

• 3 Sigma 控制限

如果当前压力值落在该带区之外，逻辑将断言一个统计异常位。

所需的梯形图数学指令块

实际实现通常需要以下指令类型：

• FIFO / FFL / 数组移位逻辑：用于维护滚动样本窗口
• AVE 或显式的 ADD/DIV 逻辑：用于计算滚动均值
• SUB：用于计算与均值的偏差
• MUL：用于计算偏差的平方
• ADD：用于累加平方偏差
• DIV：用于计算方差
• SQRT：用于计算标准差
• MUL：再次用于生成 3 Sigma 带区
• CMP / LIM / GRT / LES：用于触发异常条件

其基本假设是基准信号噪声大致稳定，且表现良好，足以使标准差带区具有意义。真实的泵信号并非教科书式的正态分布，任何称职的工程师都不应假装如此。但对于稳定运行状态下的有界异常检测，3 Sigma 逻辑通常很有用，因为它简单、透明且可测试。

滚动平均值始于规范的采样和正确的数据类型。如果模拟压力信号存储为整数，然后像精度可选那样进行除法运算，那么数学结果将具有误导性。

第 1 步：以固定间隔采样模拟输入

使用定时器或周期性任务以恒定速率采样压力输入。一个常见的起点是：

• 采样间隔： 100 ms
• 窗口大小： 50 个样本
• 观测窗口： 5 秒

这提供了足够的近期历史记录来检测不稳定情况，而不会使控制带区过于迟钝。

第 2 步：将样本存储在 REAL 数组中

对以下内容使用 REAL 数据类型：

• 当前压力
• 数组元素
• 滚动均值
• 方差
• 标准差
• 上下控制限

这避免了除法过程中的截断，并保留了模拟分辨率。基于整数数学构建的统计逻辑往往是错误决策的隐蔽来源。

第 3 步：维护滚动窗口

实现 FIFO 或等效的数组移位例程，以便每个新样本进入窗口，而最旧的样本被丢弃。关键控制点包括：

• 有效样本计数
• 数组边界
• 初始化状态
• 数组填满前的行为

除非逻辑明确处理了该条件，否则不要在空缓冲区或部分未定义的缓冲区上计算方差。除以零故障并不是高级分析的证据。

第 4 步：计算滚动均值

一旦数组填满：

• 对所有样本值求和
• 除以有效样本数
• 将结果存储为 `Rolling_Mean`

如果您的平台支持平均值指令，请使用它。如果没有，显式求和也可以，前提是执行成本在任务周期内是可以接受的。

实际实现说明

稳健的梯形图通常包括：

• 一个 Data_Ready 位，在样本窗口填满后置位
• 一个 Stats_Enable 许可位，与泵的运行状态挂钩
• 一个 Bad_Input_Quality 禁止位，如果模拟信号无效、超出范围或陈旧
• 一个 Startup_Mask_Timer，用于防止瞬态期间的误报警

这就是调试判断力发挥作用的地方。泵启动、停止或切换工作模式本身在统计上并不异常，它只是在改变状态。逻辑应该能够区分这一点。

OLLA Lab 在操作层面的实用性

OLLA Lab 提供了一个有界环境，可以在逻辑进入实时控制器之前对其进行测试。在基于浏览器的梯形图编辑器中，工程师可以构建 FIFO 结构，在仿真模式下运行逻辑，并使用变量面板实时观察数组的填充情况。

这一点很重要，因为“可仿真”应该意味着可观察。在操作层面，这意味着工程师可以在控制逻辑进入实际过程之前，证明、观察、诊断并强化其应对真实过程行为的能力。语法只是其中的一部分，可部署性才是更难的部分。

标准差梯形图序列应该是显式的、有界的且易于测试的。如果逻辑复杂到无法审查，那它就复杂到不值得信任。

梯形图序列步骤

计算出滚动均值后：

1. 遍历数组中的每个样本。
2. 从样本中减去均值。
3. 对偏差进行平方。
4. 累加平方偏差。
5. 除以 N 得到方差。
6. 应用 SQRT 得到标准差。
7. 将标准差乘以 3.0。
8. 将该值与均值相加减，以创建上下控制限。
9. 将当前压力与这些限值进行比较。
10. 如果信号超出带区，则锁存统计异常报警。

梯形图逻辑示例

// 计算 3 Sigma 带区 MUL Standard_Deviation 3.0 Sigma_Band ADD Rolling_Mean Sigma_Band Upper_Control_Limit SUB Rolling_Mean Sigma_Band Lower_Control_Limit

// 触发异常报警 GRT Current_Pressure Upper_Control_Limit OTL Pump_Stat_Anomaly LES Current_Pressure Lower_Control_Limit OTL Pump_Stat_Anomaly

联锁设计注意事项

可用的联锁通常需要的不仅仅是一个比较指令。考虑添加：

• 持久性计时，这样单个噪声样本就不会导致泵跳闸
• 报警与跳闸的分离
• 自动复位禁止，直到操作员审查
• 基于模式的许可，这样维护或手动模式就不会触发误跳闸
• 事件记录，记录跳闸时的均值、Sigma、当前值和运行状态

一个清晰的模式是：

• 首次违规 → 置位 Stat_Alarm
• 持续违规达到定义时间 → 置位 Trip_Request
• 确认停止 → 锁存 Pump_Faulted

该序列比一个处理所有事情但效果不佳的单一梯形图更容易排查故障。

一个值得做的修正

3 Sigma 逻辑不能替代过程限值，它是对过程限值的补充。您仍然需要硬性的低压、空转、过载和许可逻辑。统计检测可以尽早发现异常行为；固定的保护限值仍然守卫着安全操作的底线。

方差逻辑在绝对值崩溃之前就能检测到不稳定。这是其主要优势。

小的密封泄漏、吸入问题或早期气蚀事件可能会产生：

• 压力抖动
• 振荡幅度增加
• 间歇性的下降和恢复
• 在原本可接受的平均值附近出现不稳定的流体行为

像 “如果压力 < 50 PSI 则跳闸” 这样的固定报警在信号最终越过红线之前会忽略所有这些迹象。到那时，机械状况可能已经恶化。

3 Sigma 带区会对信号相对于其近期基准的行为做出反应。如果泵通常在 72 PSI 下运行且离散度较低，突然开始在 66 到 78 PSI 之间振荡，即使平均值仍高于静态跳闸点，标准差也会上升。这通常是第一个有用的警告。

这不是魔法，也不是万能的。如果过程本身就是不稳定的，方差报警可能只是告诉你过程是多变的。该方法在应用于具有已知正常行为、适当模式门控和经过验证的采样窗口的稳定运行状态时效果最好。

状态监测和异常检测方面的研究支持方差敏感特征对于旋转设备和过程系统的价值，特别是当结合领域特定的阈值和操作上下文时（Jardine et al., 2006; Lei et al., 2020; Yin et al., 2014）。在 PLC 中的实现比许多基于模型的方法更简单，但对工程纪律的要求并没有消失。

采样窗口应匹配过程动态，而不是工程师的耐心。100 ms 下的 50 个样本窗口对于一台泵可能合理，但对另一台泵可能无效。

窗口选择因素

根据以下因素选择滚动窗口：

• 传感器响应时间
• 泵和管道动态
• 预期的干扰频率
• 扫描时间和控制器负载
• 对误报警的容忍度
• 所需的响应速度

短窗口反应更快，但噪声更大。长窗口更平滑，但反应较慢。正确的答案通常是通过测试故障案例找到的，而不是通过争论整数得出的。

扫描和执行注意事项

统计逻辑会消耗控制器资源。在顺序 PLC 扫描中，重复的数组数学运算和浮点运算可能会变得昂贵，尤其是在较小的 CPU 或拥挤的任务中。

注意：

• 扫描时间增长
• 周期性任务溢出
• 数组索引错误
• 除以零条件
• 未初始化的 REAL 值
• 过高的重新计算频率

一个合理的模式是：

• 以固定间隔采样
• 仅在收到新样本时计算统计数据
• 将高优先级联锁与低优先级分析分开
• 在验证期间对扫描影响进行基准测试

这就是仿真很重要的原因。在虚拟环境中发现数学例程过于繁重，比在启动时且操作员在等待时发现要便宜得多。

报警持久性

在跳闸前使用持久性计时器或基于计数的确认。常见的模式包括：

• 异常持续 500 ms
• 连续 5 个样本中有 3 个超出带区
• 在滚动时间桶内重复违规

这减少了误跳闸，同时保留了早期检测。确切的值应根据过程风险和泵的脆弱性来证明，而不是未经验证就直接复制。

方差逻辑必须针对动态干扰进行测试，而不是静态强制。强制恒定值除了证明模拟器可以保持一个数字外，几乎证明不了什么。

在 OLLA Lab 中，工程师可以在一个基于 Web 的排练环境中验证此逻辑，该环境结合了梯形图执行、实时变量检查和模拟设备行为。相关的工作流程是有界且实用的：

• 在基于浏览器的编辑器中构建梯形图逻辑
• 在仿真模式下运行程序
• 在变量面板中监控压力标签、均值、Sigma 和报警位
• 向压力信号注入模拟干扰
• 观察模拟泵的状态和故障响应

可注入的有用干扰模式

对于泵异常测试，最具信息量的案例是：

• 模拟漂移：用于模拟逐渐退化
• 方波干扰：用于模拟不稳定的过程行为
• 噪声幅度增加：用于模拟气蚀开始或压力抖动
• 阶跃变化加振荡：用于测试恢复逻辑和持久性计时

重点不是制造戏剧性的故障，而是创建可重复、有界的故障特征，并验证逻辑是否按设计响应。

数字孪生验证在此处的含义

“数字孪生验证”应谨慎使用。在此上下文中，它意味着在部署之前，根据真实的模拟设备模型和可观察的过程行为来验证控制逻辑。这并不意味着该仿真可以替代现场验收测试 (FAT)、SIL 验证或工厂调试。

该界限很重要。模拟器可以尽早暴露逻辑缺陷、排序错误和糟糕的故障处理。它无法证明现场接线、仪表安装质量、水力现实或实际工厂条件下的操作员响应。任何模糊这些类别的人都在兜售安慰，而不是工程证据。

可靠的项目记录是一份紧凑的工程证据，而不是截图库。如果您希望工作能够由首席工程师、导师或招聘经理审查，请以控制系统应有的方式记录逻辑。

使用此结构：

1. 系统描述 定义泵系统、受监控的模拟标签、操作模式和预期的保护动作。
2. “正确”的操作定义 说明什么算作成功的行为。示例：“PLC 应在压力不稳定持续 1.0 秒内断言统计异常报警，如果异常在自动和运行状态下持续 2.0 秒，则跳闸泵。”
3. 梯形图和模拟设备状态 记录相关的梯形图、标签列表、采样间隔、数组长度以及测试期间的模拟泵运行状况。
4. 注入的故障案例 指定应用的干扰：漂移、振荡、幅度增加、丢失或混合故障。
5. 所做的修订 记录测试后更改的内容：窗口大小、持久性计时器、启动掩码、比较阈值或模式许可。
6. 经验教训 说明测试暴露了什么。好的例子包括启动期间的误报、过高的扫描成本或缓冲区部分填充期间的不良行为。

这就是支持工程审查的证据类型。它显示了原因、结果、修订和判断。仅凭截图通常只能证明某人截取了屏幕。

除非经过正式工程设计，否则统计异常逻辑应被视为诊断或保护增强功能。它仅仅因为它跳闸了设备，并不自动成为安全功能。

三个边界值得明确说明：

如果该功能是安全仪表系统的一部分，则必须根据相关的安全生命周期要求进行设计、验证和维护。统计创新并不能免除任何人遵守 IEC 61508 或 IEC 61511 纪律的义务（IEC, 2010; IEC, 2016）。

• 方差报警不是 SIL 声明。

仿真可以验证逻辑行为并尽早暴露缺陷，但它不能替代 FAT、SAT、回路检查或实际过程的调试。

• 仿真不是现场证明。

如果逻辑没有被过程状态门控，启动瞬态、阀门行程或工作转移可能看起来像故障。

• 异常检测需要模式上下文。

对于更广泛的可靠性实践，状态监测文献一致强调，故障检测质量取决于信号质量、操作上下文以及针对已知故障特征的验证，而不是仅仅取决于算法的存在（Jardine et al., 2006; Lei et al., 2020）。换句话说，公式还不是方法。

- IEC 61131-3: 可编程控制器 — 第 3 部分 - IEC 61508 功能安全标准系列 - exida 功能安全与验证资源 - NAMUR NE 107 状态信号建议 - 工业中的数字孪生：最新技术 (DOI)