PLC 工程2026 自动化职业路线图:技能、证明与市场定位

文章指南

如何使用常闭触点编写故障安全联锁程序

了解物理常闭(NC)安全设备如何映射到 PLC 梯形图逻辑,为何健康的 NC 电路通常使用 XIC 指令,以及如何在调试前于 OLLA Lab 中验证断线行为。

直接回答

为了编写故障安全(Fail-Safe)的 PLC 联锁程序,工程师通常使用物理常闭(NC)现场设备,这样一旦断电或电路中断,系统就会进入安全状态。在梯形图逻辑中,这些设备通常用 XIC 指令表示,因为健康的 NC 电路会向 PLC 输入端提供逻辑 `1`。

文章背景

主题:Theme 4

分类:PLC 工程

返回专题中心:2026 自动化职业路线图:技能、证明与市场定位

本文回答的问题

文章摘要

为了编写故障安全(Fail-Safe)的 PLC 联锁程序,工程师通常使用物理常闭(NC)现场设备,这样一旦断电或电路中断,系统就会进入安全状态。在梯形图逻辑中,这些设备通常用 XIC 指令表示,因为健康的 NC 电路会向 PLC 输入端提供逻辑 `1`。

初学者常犯的一个错误是认为现场的“常闭”在 PLC 中也应该编程为“常闭”指令。这种想法往往是错误的。物理设备状态与逻辑指令符号并不是一回事,混淆二者正是导致看似无害的梯级在调试时出现问题的根源。

一项受限的 Ampergon Vallis 内部基准测试清楚地说明了这一点:在 OLLA Lab 完成的 500 次基于危险源的调试练习中,68% 的首次提交在映射至少一个物理 NC 安全设备时使用了错误的梯形图指令,并且所有受影响的梯级在注入断路测试时均未通过方法论:n=500 名学员的练习提交,涉及急停、过载或跳闸回路验证;基准比较器 = 修正前的首次逻辑提交;时间窗口 = 截至 2026 年第一季度的 Ampergon Vallis 内部实验室审查期。 这仅支持一个狭义的结论:物理到逻辑的映射错误在 PLC 初学者工作中很常见。它支持任何关于行业范围内事故率的更广泛结论。

工程准则比术语更简单:当断电、导线断裂或端子松动时,安全联锁应失效并进入已知的安全状态。铜线不相信乐观主义。

为什么 IEC 61508 倾向于将“断电跳闸”用于安全联锁?

安全联锁的设计原则是:能量损失产生安全条件。这一设计原则通常被称为断电跳闸(De-energize to trip),其存在的原因是断电、开路和设备故障绝不能导致危险运动或过程能量保持使能。

IEC 61508 建立了更广泛的功能安全框架:安全相关系统必须在故障条件下表现出可预测性,而不仅仅是在正常运行下。在机器控制实践中,这一原则与 NFPA 79 等标准保持一致,即急停功能和保护电路在电路中断时应默认进入安全结果。

“断电跳闸”在实践中的含义

一个健康的安全回路通常呈现以下条件:

  • 现场触点闭合
  • 电流流动
  • PLC 输入端通电或安全继电器通道健康
  • 运行允许(Run permissive)为真

故障或触发跳闸状态通常呈现以下条件:

  • 现场触点断开
  • 电路中断
  • PLC 输入端断电或安全继电器通道断开
  • 运行允许为假

如何在 OLLA Lab 中验证这一点

这正是 OLLA Lab 的实用之处。其模拟模式(Simulation Mode)变量面板(Variables Panel)让您可以在物理调试前演练电路中断行为。

在 OLLA Lab 中,您可以:

  • 在模拟中运行序列
  • 在变量面板中监控输入标签状态
  • 将安全输入从 `1` 强制变为 `0`
  • 观察允许信号是否立即断开
  • 确认输出端断电,而无需通过第二次故障来发现错误

物理常闭触点与逻辑 XIC 指令有何区别?

物理 NC 设备是一种接线状态;XIC 指令是一种 PLC 评估规则。它们相关,但不是可互换的标签。

这是一个经典的陷阱:物理 NC 急停在健康时是闭合的,因此 PLC 输入在正常运行期间看到的是逻辑 `1`。为了在存在该健康信号时允许机器运行,梯形图梯级通常在该输入上使用 XIC 指令。

简单来说:物理 NC 通常映射到逻辑 XIC

映射表:现场设备状态 vs PLC 逻辑

| 现场设备类型 | 健康物理状态 | 健康状态下的 PLC 输入 | 运行允许通常所需的梯形图指令 | 断线时发生的情况 | |---|---|---:|---|---| | NC 急停 | 闭合 | `1` | XIC | 输入变为 `0`,梯级变为假,机器停止 | | NC 过载辅助触点 | 闭合 | `1` | XIC | 输入变为 `0`,电机允许信号丢失 | | NC 高高液位开关 | 闭合 | `1` | XIC | 输入变为 `0`,填充指令被阻断或泵停止 | | NO 启动按钮 | 断开 | `0` | 瞬时启动条件使用 XIC | 断线通常阻止启动,而非隐藏的不安全运行 |

如何在 PLC 安全电路中模拟断线?

您可以通过强制健康输入状态消失,然后验证逻辑是否立即降级到安全状态来模拟断线。

OLLA Lab 断线测试分步指南

  1. 打开具有安全相关允许信号的场景
  2. 识别安全输入标签
  3. 确认健康状态
  4. 在模拟模式下运行序列
  5. 注入故障:在变量面板中,手动将输入从 `1` 切换为 `0`。
  6. 观察结果:运行允许信号应立即丢失。
  7. 检查梯级逻辑

结论

故障安全联锁依赖于一个严谨的理念:当电路中断时,系统必须向安全方向移动。物理 NC 设备支持这种行为,因为断线看起来是不安全的,而不是健康的。

编程后果是许多工程师最初忽略的部分:物理 NC 安全设备通常映射到逻辑 XIC 指令,因为健康的 PLC 输入状态为高。一旦这一区别明确,其余的验证工作流程就变得简单了。

本文由 Yaga AI 自动化工程团队编写,旨在通过 OLLA Lab 平台提升工业控制逻辑的严谨性与安全性。

本文内容已根据 IEC 61508 功能安全标准及 Ampergon Vallis Lab 的内部基准测试数据进行核实。

References

编辑透明度

本博客文章由人类作者撰写,核心结构、内容和原创观点均由作者本人创建。但本文部分文本在 ChatGPT 和 Gemini 的协助下进行了润色。AI 仅用于语法与句法修正,以及将英文原文翻译为西班牙语、法语、爱沙尼亚语、中文、俄语、葡萄牙语、德语和意大利语。最终内容已由作者进行严格审阅、编辑与验证,作者对其准确性承担全部责任。

作者简介:PhD. Jose NERI, Lead Engineer at Ampergon Vallis

事实核验: 技术有效性已于 2026-03-23 由 Ampergon Vallis 实验室 QA 团队确认。

相关文章

返回专题中心

2026 自动化职业路线图:技能、证明与市场定位

相同分类

PLC 工程

下一篇推荐文章

软件定义自动化与硬件 PLC 的对比:2026 年架构指南

可直接实施

使用仿真支撑的工作流,将这些洞见转化为可衡量的工厂成果。

← 返回博客首页从预付通行证开始
© 2026 Ampergon Vallis. All rights reserved.
|