如何构建状态感知型自动化：车间必备的 7 个 Python 库

状态感知型自动化是指 Python 应用程序在与 PLC 逻辑交互前后，能够验证设备状态、重试瞬态故障、校验数据类型并记录结果。在工业系统中，Python 应定位于监控编排和集成工作流，而非确定性的机器级控制。OLLA Lab 提供了一个边界明确的仿真环境，用于安全地演练这些握手过程。

Python 在工业自动化中的价值与风险并存。它非常适合编排、数据处理、配方管理以及 IT/OT 集成，但它并不具备 IEC 61131-3 执行模型下 PLC 扫描周期所特有的确定性。这种区别并非哲学探讨，而是“监控协调”与“因脚本假设了未实际发生的状态变更而导致流程中断”之间的本质差异。

在最近的一次 OLLA Lab 压力测试中，在模拟 5% 丢包率的情况下，未采用指数退避（exponential backoff）的 Python 轮询脚本每小时产生 412 次无效超时报警；而采用重试控制加固后的相同工作流在同一场景下未出现任何虚假状态丢失报警。方法论：针对模拟 I/O 端点进行 24 次脚本轮询运行，基准比较器 = 无重试/退避的固定间隔轮询，时间窗口 = 每次运行 1 小时。这支持了一个狭义结论：重试准则对网络受损情况下的监控可靠性有实质性影响。它并不支持任何关于“仅凭一个库就能使工业集成变得安全”的宽泛论断。

Python 在实时 PLC 自动化中具有内在风险，因为其执行时序是非确定性的。PLC 在设计上采用边界明确的扫描结构，以确保可预测的机器行为。而 Python 运行在通用操作系统调度器上，需要争夺 CPU 时间，且可能因解释器和内存管理行为而出现不可预测的暂停。

这意味着 Python 不应被赋予 1 级任务，如安全逻辑、运动控制、硬联锁或任何依赖于保证执行时序的功能。这些职责属于控制器，在控制器中，确定性是设计的一部分，而非寄希望于运气。

以下是一个简单的操作准则：

• 使用 PLC 进行确定性控制
• 使用 Python 进行监控编排
• 在两者之间进行显式状态验证

从 ISA-95 的角度来看，Python 通常在监控和集成层最具有合理性：配方处理、历史数据库交互、报告、批次协调、API 交换以及跨系统的状态化编排。它不能替代控制器驻留的安全功能或机器序列执行。如果优雅的代码错过了心跳信号，车间是不会买账的。

自动化中的“状态感知”意味着什么？

状态感知型自动化意味着软件不会仅仅因为发送了指令就假设指令已成功执行。它会验证实际状态、处理异步延迟、以受限方式重试瞬态故障，并记录发生的一切。

在操作层面，一个状态感知型 Python 工作流应该能够：

• 在发出指令前读取当前的机器或过程状态
• 验证前提条件或允许条件是否满足
• 通过定义的接口发送指令
• 验证预期的状态转换是否实际发生
• 在通信失败或状态未改变时进行重试或升级处理
• 记录预期的动作和观察到的结果

这就是“写入一个位”与“编排一个流程”的区别。前者很容易，后者则能经受住现实的考验。

为什么这种区别在实际流程中很重要？

这种区别之所以重要，是因为工业故障模式通常是异步且局部的。网络会丢包，服务器会重启，OPC 会话会过期，PLC 在忙碌时会拒绝写入。一个发出 `Start_Pump = 1` 指令并立即假设泵已启动的 Python 脚本会产生盲点。如果电机启动器从未反馈信号，脚本可能会继续执行后续序列。

这就是无效报警如何演变成流程故障，以及流程故障如何成为人们在复盘时唏嘘不已的调试故事。

用于状态感知型自动化的七个必备 Python 库是：

1. `tenacity` — 重试逻辑和指数退避
2. `sqlalchemy` — 持久化状态和事务安全日志记录
3. `pathlib` — 稳健的文件和配方处理
4. `pycomm3` — 与 Rockwell 类 PLC 的直接 Ethernet/IP 通信
5. `asyncua` — 供应商中立的 OPC UA 订阅和状态监控
6. `pydantic` — 控制写入前的严格数据验证
7. `transitions` — 用于编排逻辑的有限状态机建模

这些库各司其职，但共同支持一个工程目标：使 Python 能够感知过程状态、通信不确定性和可恢复的故障。

1. `tenacity`：为什么重试逻辑在工业 Python 中是强制性的？

重试逻辑是强制性的，因为工业通信并非完全连续。`tenacity` 允许在设备、端点或服务暂时不可用时进行受限重试、指数退避和故障控制。

其实际价值显而易见：

• 防止单个瞬态超时导致工作流崩溃
• 减少丢包或端点暂时饱和期间的无效故障报警
• 允许设置明确的重试上限，而非无限循环
• 支持在受限故障后的确定性升级

在工业术语中，`tenacity` 并非关于乐观主义，而是关于拒绝将瞬态通信问题与终端过程状况混为一谈。

2. `sqlalchemy`：为什么要持久化监控状态？

监控状态应当被持久化，因为编排逻辑必须能够从中断中恢复。如果 Python 服务在批次处理中途崩溃，系统需要一个可恢复的记录，包含最后已知的指令、已确认的状态、时间戳和异常路径。

`sqlalchemy` 通过以规范的方式将应用程序对象映射到关系数据库来提供帮助。这对于以下方面至关重要：

• 批次和配方的可追溯性
• 服务中断后的重启恢复
• 指令与确认序列的可审计性
• PLC 状态、操作员动作与软件动作之间的关联

3. `pathlib`：为什么文件处理在工业编排中很重要？

文件处理很重要，因为许多工业工作流始于外部数据：配方文件、CSV 设定值、JSON 负载、轮班计划、配置包或 ERP 导出。脆弱的基于字符串的路径处理是导致可避免故障的隐蔽源头。

`pathlib` 通过使文件操作显式化和可移植化来提高可靠性：

• 跨环境更安全的路径连接
• 更清晰的嵌套目录处理
• 更简便的配方发现与验证
• 比手动字符串拼接更稳健的代码

4. `pycomm3`：何时适合直接进行 PLC 通信？

当架构、供应商技术栈和风险控制明确支持时，直接 PLC 通信是合适的。`pycomm3` 被广泛用于与 Allen-Bradley 和 Rockwell 系列 PLC 进行直接 Ethernet/IP 通信，允许在没有 OPC 中间件层的情况下对标签进行读写访问。

其优势包括：

• 原生标签级交互
• 直接的读/写工作流
• 适用于实验室环境、测试台和边界明确的集成任务

5. `asyncua`：为什么 OPC UA 通常是更好的桥梁？

OPC UA 通常是更好的桥梁，因为它与供应商无关、结构化，且专为可互操作的工业数据交换而设计。`asyncua` 允许 Python 应用程序作为 OPC UA 客户端，通过异步订阅进行工作，而不是仅仅依赖持续轮询。

这支持了更好的监控行为：

• 订阅状态变化而非淹没网络
• 跨供应商使用标准化的数据模型
• 将监控软件与直接的控制器特定标签处理分离

6. `pydantic`：为什么数据验证是一个控制问题，而不仅仅是软件问题？

数据验证是一个控制问题，因为无效值可能演变成无效的过程行为。`pydantic` 在数据发送到 PLC、数据库或 API 之前强制执行类型模型和模式验证。

这有助于防止：

• 在预期整数的地方写入字符串
• 超出范围的模拟值进入序列
• 格式错误的配方负载到达控制逻辑

7. `transitions`：为什么 Python 应该镜像过程状态机？

Python 应该镜像过程状态机，因为当编排逻辑明确受状态边界限制时，它会更安全。`transitions` 库支持有限状态机设计，因此 Python 层可以强制执行合法的转换（如 `Idle -> Ready -> Running -> Complete`）并拒绝无效的跳转。

通过将环境视为软件在环（SITL）验证目标，可以将 Python 脚本与 OLLA Lab 的 I/O 仿真桥接起来。重点不在于证明 Python 可以与某物通信，而在于证明脚本在任何现场调试暴露之前，能够观察状态、容忍故障并正确恢复。

在边界产品术语中，OLLA Lab 在此处作为高风险任务的演练环境非常有用：

• 验证指令/响应握手
• 观察模拟 I/O 变化
• 强制触发异常状态
• 检查重试、日志和状态转换是否表现正确
• 对比梯形图逻辑状态与模拟设备行为

什么是使用 OLLA Lab 的实用 SITL 工作流？

使用 OLLA Lab 的实用软件在环工作流如下所示：

1. 选择具有明确状态行为的场景
2. 定义控制目标和验收标准
3. 将 Python 层连接到模拟端点或暴露的数据路径
4. 同时观察梯形图状态和设备状态
5. 注入异常条件
6. 验证 Python 响应
7. 修改并重新运行

工程师应记录紧凑的工程证据，而不是截图库。一份可信的文档应展示推理、预期行为、故障处理和修订准则。

使用以下结构：

1. 系统描述
2. “正确”的操作定义
3. 梯形图逻辑和模拟设备状态
4. 注入的故障案例
5. 所做的修订
6. 经验教训

标准和文献支持这些核心区别，尽管每个来源解决的问题层面不同。

• IEC 61131-3 支持 PLC 语言的结构化角色和确定性控制器执行模型。
• IEC 61508 支持更广泛的原则，即安全相关功能需要规范的生命周期方法、受限行为和对故障模式的正式关注。
• ISA-95 支持企业功能与监控功能以及机器级控制职责之间的分离。
• 数字孪生和仿真文献通常支持使用虚拟化环境进行验证、培训和调试演练。
• 工业网络安全和可靠性实践支持在桥接 IT 和 OT 系统时进行显式验证、日志记录和受控接口的必要性。

Python 绝不应被赋予确定性安全或机器级控制的职责。它不应拥有紧急停止逻辑、硬联锁、安全仪表功能、伺服时序或任何将受限执行时间作为危害分析一部分的控制路径。

Python 在工业自动化中属于监控级、状态感知的编排层。只要它尊重 PLC 的确定性边界，它在配方处理、数据交换、日志记录、分析和跨系统协调方面就非常有价值。

实际要求不是“使用 Python”，而是“以明确的状态准则使用 Python”。这意味着在接触实际设备之前，要验证前提条件、处理异步故障、持久化状态，并针对模拟过程行为测试握手。

这就是 OLLA Lab 可信的切入点。它是一个边界明确的环境，用于演练那些在实际流程中学习风险过高、成本过大或破坏性过强的任务。

本文由 OLLA Lab 自动化工程团队撰写，专注于工业集成中的软件可靠性与仿真验证。

本文内容已根据 IEC 61131-3 确定性模型及工业自动化集成最佳实践进行了核实。

- IEC 61131-3: 可编程控制器 — 第 3 部分：编程语言 - IEC 61508 概述（功能安全） - NIST 人工智能风险管理框架 (AI RMF 1.0) - 制造业中的数字孪生：分类文献综述与分类 (IFAC, DOI) - 工业中的数字孪生：最新技术水平 (IEEE, DOI)