如何在梯形图中编写自动化混合器状态机程序

要通过梯形图编写自动化混合器状态机，工程师应将序列拆分为互斥的状态，并为每个转换设置明确的许可条件（Permissives）。本文展示了如何在 OLLA Lab 的混合器预设中构建填充、混合和排空状态，并在实际部署前针对异常工况进行验证。

混合器序列的安全性并非通过增加触点数量来实现，而是通过明确序列意图来实现。在批处理控制中，嵌套的布尔逻辑在屏幕上看起来可能没问题，但在实际扫描周期中表现往往不佳，尤其是在传感器变化、异步反馈或重启条件乱序出现时。

Ampergon Vallis 的内部测试支持在特定培训背景下进行这种区分。在 2026 年对 OLLA Lab 混合器预设的验证测试中，使用显式整数状态模型构建序列的用户，其非预期的阀门重叠故障比依赖嵌套并行触点逻辑的用户减少了 82%。方法：针对同一 3 状态混合器任务进行 n=34 次学员构建尝试；基准对比为嵌套布尔梯级架构；时间窗口为 2026 年 1 月至 2 月。这证明了在此特定实验任务中采用独立状态设计的价值。它并不代表所有 PLC 项目或所有工程师的通用缺陷率。

实际要点很简单：语法正确不等于可部署。一个梯级可以编译通过，但在实际工艺流程中结构上可能是错误的。

嵌套布尔序列失败的原因在于它无法强制执行工艺阶段之间的互斥性。在批处理混合器中，控制问题不仅仅是“该输出何时开启？”，而是“工艺处于哪个阶段？在其他所有阶段中哪些输出是被禁止的？”

ISA-88 在此提供了正确的概念框架。该标准将程序控制拆分为定义的阶段和状态，而不是将整个批次视为一个不断扩展的条件逻辑块（ANSI/ISA-88.01, 2010）。这种区分至关重要，因为批处理设备本质上是顺序执行的。填充、混合和排空并非对等关系，它们是具有明确进入和退出条件的有序阶段。

初学者常见的模式是“洋葱逻辑”：在每个输出周围堆叠足够的触点，直到看起来受到保护。问题在于，通过累加实现的保护与通过结构实现的保护并不相同。如果高位开关抖动、电机反馈滞后一个扫描周期，或者在中断后发生重启，多个梯级可能会短暂地满足冲突条件。

非状态逻辑的危害

• 非预期重叠： 如果许可条件分布在不同的梯级中，且没有统一的控制阶段变量，填充和排空指令可能会同时激活。
• 扫描周期模糊性： PLC 按扫描周期顺序求解逻辑，而非按人类意图。“绝不应该发生”不是一种控制策略。
• 故障排除困难： 由于当前工艺阶段是从众多条件中推断出来的，而非显式声明，因此序列故障难以定位。
• 中断恢复能力差： 在紧急停止、模式切换或电源循环后，嵌套逻辑通常基于原始条件而非受控的状态恢复来重新进入序列。
• 异常状态处理薄弱： 诸如液位开关卡死或搅拌器反馈失败等故障，可能导致振荡、重复转换或无效的输出组合。

一种误解是认为互锁越多，安全性就越高。有时，这意味着隐藏 Bug 的地方更多了。

PLC 状态机是一种序列架构，其中一个声明的状态代表当前的操作阶段，只有在满足定义的条件时才会发生转换。在实践中，这通常意味着一个整数步进值或一个一次仅允许一个阶段激活的“独热码”（One-hot）位模式。

对于此混合器构建，我们将使用基于整数的序列变量：

• 状态 10 = 填充 (Filling)
• 状态 20 = 混合 (Mixing)
• 状态 30 = 排空 (Draining)

这种方法在数学上比分散的输出逻辑更清晰，因为每个命令都可以绑定到一个激活状态。如果 `Seq_Step = 20`，混合器就处于“混合”状态。不是“如果其他三个条件保持为真则处于某种混合状态”，而是明确的“混合”。

此混合器“正确”的操作定义

当混合器状态机表现出以下所有可观察行为时，它在操作上是正确的：

• 一次只能激活一个工艺阶段。
• 填充和排空输出不能同时发出指令。
• 在容器达到要求的液位条件之前，不能开始混合。
• 在混合间隔完成之前，不能开始排空。
• 除非经过明确设计，否则某一状态下的异常传感器变化不会强制导致无效的向后跳转。
• 停止或故障条件以确定性的方式使输出断电。

这是在仿真中值得使用的标准。“梯形图看起来合理”并不是工程验收测试。

三个操作状态是填充、混合和排空。每个状态都应有明确的目的、有限的输出集和明确的转换许可条件。

OLLA Lab 混合器 I/O 字典

下表反映了 OLLA Lab 混合器预设的构建逻辑。

| 状态 | 阶段名称 | 主要指令输出 | 典型进入条件 | 转换条件 | |---|---|---|---|---| | 10 | 填充 | `Valve_Inlet_Cmd` | 开始请求，容器未满，搅拌器关闭 | `Level_High_Sw = 1` | | 20 | 混合 | `Agitator_Cmd` | 容器已满且进料阀关闭 | `Timer_Mix_Done.DN = 1` | | 30 | 排空 | `Valve_Outlet_Cmd` | 混合完成且搅拌器关闭 | `Level_Low_Sw = 1` 或排空完成条件 |

状态 10：填充

目的： 向容器添加物料，直到达到高液位条件。

典型许可条件：

• `Start_Cycle`
• `Level_Low_Sw`
• `Agitator_Off`
• 无激活的故障或停止条件

预期输出行为：

• `Valve_Inlet_Cmd = 1`
• `Agitator_Cmd = 0`
• `Valve_Outlet_Cmd = 0`

状态 20：混合

目的： 在定义的时间间隔内搅拌已填充的容器。

典型许可条件：

• `Level_High_Sw`
• 进料阀确认关闭
• 无激活的故障或停止条件

预期输出行为：

• `Agitator_Cmd = 1`
• `Valve_Inlet_Cmd = 0`
• `Valve_Outlet_Cmd = 0`

状态 30：排空

目的： 混合完成后清空容器。

典型许可条件：

• `Timer_Mix_Done.DN`
• `Agitator_Off`
• 无激活的故障或停止条件

预期输出行为：

• `Valve_Outlet_Cmd = 1`
• `Valve_Inlet_Cmd = 0`
• `Agitator_Cmd = 0`

显式状态转换是通过检查当前步进值、验证转换许可条件，然后将下一个步进值移动到序列寄存器中来编写的。关键点在于，转换梯级必须同时证明工艺当前所处的位置以及允许其移动的原因。

一个简单的模式是：

[语言：梯形图]

// 从状态 10 (填充) 转换到状态 20 (混合) |---[ EQU ]-------[ XIC ]-------[ XIO ]-----------------( MOV )---| | 源 A: Level_High Agitator_Run 源: 20 | | Seq_Step 反馈 目标: | | 源 B: 10 Seq_Step |

这个梯级很重要，因为 `EQU Seq_Step 10` 防止了转换在填充阶段之外的任何地方触发。如果没有该检查，一个杂散的真条件可能会导致工艺流程脱离序列。PLC 在某种程度上是“盲目服从”的，这很危险。

第 1 步：创建序列寄存器

创建一个整数标签，例如：

• `Seq_Step`

根据您的控制理念，将其初始化为闲置值或在循环开始时直接初始化为 `10`。

常见的模式是：

• `0 = 闲置`
• `10 = 填充`
• `20 = 混合`
• `30 = 排空`

以 10 为间隔设置步进值并非强制，但它使后续编辑更容易。

第 2 步：构建状态驱动的输出梯级

每个输出都应由激活状态发出指令，而不是由松散的条件集合控制。

逻辑意图示例：

• 如果 `Seq_Step = 10`，指令进料阀。
• 如果 `Seq_Step = 20`，指令搅拌器。
• 如果 `Seq_Step = 30`，指令出料阀。

概念上：

|---[ EQU Seq_Step 10 ]--------------------------------( Valve_Inlet_Cmd )---| |---[ EQU Seq_Step 20 ]--------------------------------( Agitator_Cmd )------| |---[ EQU Seq_Step 30 ]--------------------------------( Valve_Outlet_Cmd )--|

然后根据需要添加许可或故障否决逻辑，但要保持状态声明作为主要驱动因素。

第 3 步：编写“填充到混合”转换程序

仅当容器达到所需液位且序列仍处于状态 10 时，才从填充移动到混合。

典型转换条件：

• `Seq_Step = 10`
• `Level_High_Sw = 1`
• 可选：确认没有不兼容的输出保持激活状态

概念上：

|---[ EQU Seq_Step 10 ]---[ XIC Level_High_Sw ]----------------( MOV 20 -> Seq_Step )---|

第 4 步：编写混合定时器和“混合到排空”转换程序

在状态 20 期间使用定时器指令。当定时器完成时，移动到状态 30。

典型逻辑结构：

|---[ EQU Seq_Step 20 ]--------------------------------( TON Timer_Mix )---|

|---[ EQU Seq_Step 20 ]---[ XIC Timer_Mix.DN ]---[ XIO Agitator_Run ]----( MOV 30 -> Seq_Step )---|

是否要求在排空前关闭 `Agitator_Run` 反馈，取决于您是先发出停止指令并在转换前确认零速度。在实际设备中，这种区分并非装饰性的。

第 5 步：编写排空完成转换程序

排空完成可以将序列返回到闲置状态或就绪状态。

典型转换条件：

• `Seq_Step = 30`
• `Level_Low_Sw = 1` 或容器清空确认

概念上：

|---[ EQU Seq_Step 30 ]---[ XIC Level_Low_Sw ]----------------( MOV 0 -> Seq_Step )---|

第 6 步：在正常进程之外添加停止和故障处理

故障不应被视为普通转换。它们应以受控方式中断或覆盖序列进程。

典型的故障或停止操作包括：

• 使指令输出断电
• 冻结当前步骤以进行诊断，或移动到专门的故障状态
• 重启前需要操作员复位
• 记录哪个许可条件失败或发生了什么异常情况

故障状态通常比仅使用输出互锁来“降级”到安全行为更清晰。

OLLA Lab 在此很有用，因为它允许您构建序列、在仿真中运行、检查变量，并在一个环境中对比梯形图状态与模拟设备行为。这就是其边界价值所在：不是通过潜移默化获得就业能力，而是对高风险验证任务进行可重复的演练。

OLLA Lab 梯形图编辑器的构建工作流

按以下顺序使用引导工作流：

• `Seq_Step`
• `Start_Cycle`
• `Level_High_Sw`
• `Level_Low_Sw`
• `Valve_Inlet_Cmd`
• `Agitator_Cmd`
• `Valve_Outlet_Cmd`
• `Timer_Mix`

1. 创建新项目或打开混合器预设。
2. 定义核心标签：
3. 根据 `Seq_Step` 构建输出梯级。
4. 使用 `EQU` 和 `MOV` 构建转换梯级。
5. 为状态 20 添加定时器逻辑。
6. 添加停止、复位和故障行为。
7. 运行仿真并逐个扫描观察标签变化。

在变量面板中观察什么

变量面板是序列变得可测试而非仅仅可读的地方。监控：

• 当前 `Seq_Step`
• 输入开关状态
• 输出指令状态
• 定时器累计值和完成位
• 绑定到混合器预设的任何模拟或状态标签
• 3D 视图中的模拟设备响应

工程问题永远是一样的：梯形图状态是否与设备状态一致？如果答案是“大部分一致”，请继续测试。

OLLA Lab 通过为工程师提供一个确定性的环境来观察状态转换、强制输入异常并验证序列不会进入禁止的组合，从而帮助验证状态机行为。在此背景下，“仿真就绪”意味着能够在逻辑到达实际工艺之前，证明、观察、诊断并强化控制逻辑以应对现实的工艺行为。

这一点很重要，因为调试风险存在于边缘情况中，而不是在理想路径中。大多数糟糕的序列看起来都没问题，直到错误的传感器在错误的时间发生变化。

使用变量面板进行故障注入

使用仿真模式注入故障，并测试状态机是否保持结构正确。

推荐的混合器故障测试：

• 排空期间高液位开关卡死
• 在 `Seq_Step = 30` 时强制 `Level_High_Sw = 1`
• 预期结果：工艺必须保持在排空状态或故障逻辑中；不得跳回混合状态。

• 填充期间低液位开关过早触发
• 在状态 10 期间意外切换 `Level_Low_Sw`
• 预期结果：不应发生无效的排空指令。

• 搅拌器反馈不匹配
• 指令混合但模拟缺失运行反馈
• 预期结果：根据设计，转换到排空应被阻塞或触发故障。

• 循环中断
• 在批次中间应用停止或复位
• 预期结果：输出以确定性方式断电，重启行为遵循定义的恢复逻辑。

这些测试不是学术性的额外内容。它们是序列验证与序列乐观主义之间的区别。

此处的数字孪生验证意味着什么

在此有限的背景下，数字孪生验证意味着针对真实的机器模型测试梯形图逻辑，以便工程师在接触物理资产之前，能够将预期的序列状态与观察到的设备行为进行比较。它本身并不意味着正式的工厂验收、SIL 认证或现场就绪证明。

这种区分很重要。仿真器可以尽早暴露逻辑缺陷。它不能取代工厂特定的危险审查、调试程序或变更管理。

一个有用的作品集工件是一份紧凑的工程证据，而不是截图库。目标是展示您能够定义正确性、测试异常工况、修改逻辑并解释修改的原因。

请严格使用此结构：

1. 系统描述 定义混合器工艺、I/O、序列阶段和操作目标。
2. “正确”的操作定义 陈述验收标准：一次一个激活阶段、无阀门重叠、定时混合、确定性停止行为以及有效的排空完成。
3. 梯形图逻辑和模拟设备状态 展示序列寄存器、转换梯级以及相应的模拟混合器行为。
4. 注入的故障案例 记录一个异常工况，例如卡死的高液位开关、缺失的搅拌器反馈或中断的循环。
5. 所做的修改 解释逻辑变更：添加了许可条件、故障锁存、转换否决或恢复状态。
6. 经验教训 陈述故障揭示了关于序列设计、扫描行为或重启假设的哪些信息。

这种证据比“这是我的梯形图屏幕”更有说服力。有用的问题是逻辑是否能在与工艺行为的接触中存活下来。

此构建与 ISA-88 一致，因为它将程序阶段拆分为显式的序列状态，并将设备动作绑定到这些状态，而不是将工艺埋在未区分的布尔逻辑中。这虽然不是完整的批处理配方管理，但遵循了同样的纪律：阶段清晰度、转换条件和受控执行。

它还在有限但有意义的范围内与更广泛的调试和安全实践保持一致：

• IEC 61508 思维： 确定性行为和定义的故障响应是安全控制系统设计的基础，尽管本文并未提出正式的功能安全声明。
• 数字调试文献： 仿真和虚拟调试被广泛认为是早期缺陷检测、序列验证和降低物理调试风险的有效手段。
• 人为因素现实： 当工程师能够直接观察因果关系并在没有工厂后果的情况下测试异常工况时，他们往往能更快地学习序列的稳健性。

结论很明确。状态机本身并不能使工艺变得安全。它为工艺提供了一种可以测试、审查和强化的结构。这比“洋葱逻辑”和“祈祷”要好得多。

图像概念： OLLA Lab 梯形图编辑器和混合器数字孪生的分屏视图。左侧显示 `MOV` 指令将 `Seq_Step` 从 10 变为 20。右侧显示容器达到满液位并进入混合阶段。

Alt 文本： OLLA Lab 界面截图，显示使用 MOV 指令的梯形图状态转换，以及显示由状态 10 触发的激活填充阶段的 3D 混合器数字孪生。

- 向下链接： 在 OLLA Lab 中运行此工作流。

• 向上链接： 探索工业 PLC 编程中心。
• 横向链接： 相关文章：主题 4 文章 2。
• 横向链接： 相关文章：主题 4 文章 3。

- ANSI/ISA-88.01 批处理控制模型和术语 - IEC 61131-3: 可编程控制器 — 第 3 部分：编程语言 - IEC 61508 功能安全概述 - 制造业数字孪生综述 (IFAC-PapersOnLine) - 虚拟调试综述 (Procedia Manufacturing)