如何编写安全联锁与急停链程序：PLC 防御性编程指南

PLC 防御性编程意味着要证明启动许可、联锁、急停复位逻辑以及 PID 输出限幅能够在故障条件下驱动设备进入安全状态。工程任务不仅是编写有效的梯形图语法，更是在部署前针对真实的工艺响应验证故障感知行为。

一个常见的误区是：只要程序在“理想路径”下运行正常，梯形图程序就是“安全”的。事实并非如此。与安全相关的控制行为，取决于逻辑在输入信号丢失、序列中途发生跳闸或模拟量数值异常时的表现。

Ampergon Vallis 最近的一项内部基准测试支持这一观点：在 OLLA Lab 调试场景中对 2,500 个模拟泵启动序列进行的分析显示，68% 的初始梯形图构建在急停条件后遗漏了手动复位锁存 [方法论：2,500 次学员与从业者仿真运行；任务定义为实现带有急停恢复逻辑的泵启动序列；基准比较器为符合标准、要求进行手动复位的重启行为；时间窗口：2026 年 1 月至 3 月]。该指标仅支持一个狭窄的观点：重启逻辑在仿真中经常被错误实现。它并不衡量现场事故率、行业标准合规性或操作员能力。

在本文中，“仿真就绪（Simulation-Ready）”具有实际的操作意义：工程师可以在控制逻辑进入实际生产流程之前，证明、观察、诊断并强化其应对真实工艺行为的能力。语法只是入门考试，调试判断力才是核心工作。

启动许可（Permissive）是序列启动前所需的预置条件。联锁（Interlock）是序列持续运行期间必须不断评估的条件；如果联锁条件被破坏，系统必须驱动至预定义的安全状态。

这种区别在措辞上很简单，但在实现中却经常被混淆。梯形图看起来可能很整洁，但机器却并不“买账”。

启动许可（Permissives）是启动条件

启动许可是指在动作、模式或序列步骤启动之前进行检查的条件。

• 目的：在不满足必要条件时防止启动
• 评估点：通常在启动请求、步骤转换或模式进入时
• 典型示例：
• 泵启动前储罐液位高于最低限
• 气缸运动前气压正常
• 输送机使能前驱动器就绪
• 批次启动前配方已加载

在过程安全术语中，启动许可与保护性跳闸（Protective Trips）不同。按照 IEC 61511 的思路，它们是使能条件，而非最后一道防线。

联锁（Interlocks）是持续运行条件

联锁在运行期间进行持续评估，如果被破坏，必须强制执行安全响应。

• 目的：当出现不安全或无效状态时，停止、禁止或切断设备电源
• 评估点：在激活状态下持续评估
• 典型示例：
• 高高压跳闸关闭进料阀
• 电机过载故障切断运行指令
• 安全门打开移除运动使能
• 低流量联锁禁用加热器

启动许可说的是：“你可以开始。”联锁说的是：“只有在条件持续满足时，你才可以继续。”这不是语义游戏，而是有序启动逻辑与实际故障遏制之间的区别。

这在梯形图逻辑中是如何表现的

当映射到梯形图行为时，这种区别变得更加清晰：

• 启动许可模式
• 启动按钮：`XIC`
• 自动模式选择：`XIC`
• 最低液位正常：`XIC`
• 无激活跳闸：若跳闸位在故障时为真，则使用 `XIO`
• 仅当所有启动条件为真时，输出线圈或运行锁存器才会通电

• 联锁模式
• 现有的运行锁存器或序列激活位仅在以下情况下保持通电：
• 压力正常：`XIC`
• 无过载：`XIC`
• 急停正常：`XIC`
• 安全门关闭：`XIC`
• 任何条件失效都会断开梯形图并强制进入安全状态

在 OLLA Lab 场景文档中，调试说明可用于明确区分这些类别：启动必须满足什么条件，运行必须保持什么条件，以及违规时数字孪生应进入什么状态。这正是 OLLA Lab 发挥操作价值的地方。

合规的急停实现必须防止急停装置复位后自动重启；重启需要明确的人工操作。这一原则反映在 IEC 60204-1 和 NFPA 79 等机器安全标准中。

第一个修正很重要：急停功能不仅仅是“梯形图里的一个停止按钮”。安全功能主要通过适当设计的硬件架构和必要的安全等级组件来实现。标准 PLC 逻辑可以监控状态、管理重启行为并协调非安全控制动作，但它不能替代安全等级功能。混淆这些层级往往会导致昂贵的错误。

现场状态与逻辑状态并非偶然相反

故障安全（Fail-safe）现场接线通常使用常闭（NC）急停触点，以便在正常状态下保持电路导通。

• 现场设备状态：安全时 NC 触点闭合
• PLC 输入状态：电路正常时输入读取为 `1`
• 故障行为：按下急停、断电或断线会导致输入变为 `0`

这就是为什么逻辑通常在急停正常输入上使用 `XIC` 指令的原因。该指令并非镜像物理触点符号，而是在验证 PLC 是否看到了正常的 `1`。

必要的重启行为

正确的重启模式必须做到三点：

• 当急停正常信号变为假时，立即断开运行条件
• 急停恢复后锁定重启
• 在恢复运动或工艺动作前，要求手动复位或新的启动指令

如果蘑菇头按钮拉出后机器自动恢复运行，则该逻辑未通过基本的重启测试。梯形图在语法上可能是有效的，但行为是错误的。

典型的梯形图结构

符合标准的控制模式通常包括：

• 梯级 1：急停正常状态
• `XIC ESTOP_OK` 在需要时驱动内部正常位

• 梯级 2：故障或需要复位锁存
• `ESTOP_OK` 丢失设置 `RESET_REQUIRED` 位
• `RESET_REQUIRED` 保持锁存，直到操作员按下 `RESET_PB`

• 梯级 3：运行指令自保
• `XIC START_PB`
• `XIC ESTOP_OK`
• `XIO RESET_REQUIRED`
• `XIO TRIP_ACTIVE`
• 使用运行指令位在启动处并联自保分支
• 输出：`RUN_CMD`

• 梯级 4：手动复位
• `XIC RESET_PB`
• `XIC ESTOP_OK`
• 复位 `RESET_REQUIRED`

这是一种实现模式，而非通用模板。要求的行为才是真正的测试：急停状态丢失必须断电，且恢复时不得自动重启。

梯形图概念

语言：梯形图（Ladder Diagram）

梯级 1：检测急停丢失并要求手动复位 |----[/ESTOP_OK]-------------------------------(OTL RESET_REQUIRED)----|

梯级 2：仅在急停电路正常时允许手动复位 |----[RESET_PB]----[ESTOP_OK]------------------(OTU RESET_REQUIRED)----|

梯级 3：运行自保要求急停正常且无复位需求 |----[START_PB]----[ESTOP_OK]----[/RESET_REQUIRED]----[/TRIP_ACTIVE]----+----(RUN_CMD) | | |----[RUN_CMD]-----------------------------------------------------------+

梯级 4：任何急停状态丢失都会断开运行指令 |----[/ESTOP_OK]---------------------------------------------------------(OTU RUN_CMD)----|

图片替代文本：OLLA Lab 梯形图编辑器截图，展示了一个合规的急停链，包含用于物理急停正常输入的 XIC 指令，以及防止电机自动重启的手动复位锁存器。

PID 输出限幅是对被控变量的硬性约束，使控制器无法发出超出定义的执行器或工艺限制的指令。没有它，回路可能会要求物理上无意义或机械上有害的输出。

这一点很重要，因为模拟量故障的失败表现不如离散量跳闸那样剧烈。它们只是将工艺推向错误方向的时间更长，这通常更糟糕。

限幅的数学含义

如果无约束的控制器输出为：

MV_raw(t) = Kp e(t) + Ki ∫e(t)dt + Kd de(t)/dt + Bias

那么限幅后的输出为：

MV(t) = min(MV_max, max(MV_min, MV_raw(t)))

其中：

• `MV_raw` = 无约束被控变量
• `MV_min` = 输出下限
• `MV_max` = 输出上限

在操作上，发送给最终控制元件的指令即使在误差项持续增长的情况下，也不能超过定义的边界。

无限幅输出的危险性

无约束的 PID 行为至少会导致三个实际问题：

• 执行器饱和
• 阀门、变频器参考值、风门或加热器指令被驱动至预期范围之外
• 即使硬件将数值缩回，控制器也可能继续积分，仿佛仍有更多控制权限

• 工艺损坏
• 加热器可能长时间保持在最大输出，导致产品降质
• 进料阀可能过度驱动容器，导致溢出或压力超限

• 误导性诊断
• 当真正的问题是控制器要求不可能的输出时，回路看起来却很“激进”

对 100% 的阀门发出 110% 的指令并不是额外的控制，这只是控制器在宣布它已经脱离现实。

抗积分饱和（Anti-windup）是配套控制

没有抗积分饱和的输出限幅是不完整的。如果积分项在输出被锁定在限幅值时继续累积，控制器就会存储必须在稍后释放的误差，这通常会导致超调和恢复迟缓。

常见的抗积分饱和方法包括：

• 积分保持：当 `MV` 达到限幅且误差会将其进一步推向饱和时，暂停积分
• 反向计算：将限幅输出与原始输出之间的差值反馈回积分器
• 条件积分：仅在执行器仍有可用权限时进行积分

对于许多培训和调试案例，操作定义已足够：当输出被限制在高位时，不要继续积分正误差；当限制在低位时，不要继续积分负误差。

实际限幅示例

典型的限幅范围取决于工艺和最终元件：

• 阀门指令：`0% 到 100%`
• 加热器输出：`0% 到 80%`（以保护产品或设备）
• 最小再循环阀：`20% 到 100%`（以保持泵的保护流量）
• 风机速度参考：`30% 到 95%`（以避免失速或低端不稳定运行）

这些是工程限制，而非审美偏好。如果有人愿意询问，工艺流程通常会给出解释。

如何在 OLLA Lab 中观察这一点

OLLA Lab 的 PID 仪表盘和变量面板可用于观察：

• 被控变量偏差
• 设定值跟踪
• 控制器输出
• 模拟信号变化
• 输出饱和
• 添加限幅逻辑前后的响应

在风险受控的仿真中，你可以故意让变送器低位失效，观察回路向最大需求驱动，然后添加输出限制并比较数字孪生的响应。这是对调试逻辑有用的排练。这不是 SIL 验证工作流，也不应被描述为 SIL 验证。

PLC 防御性编程意味着为操作员不希望出现、但工厂最终总会遇到的状态编写逻辑。一个只有在每个传感器都表现良好时才有效的序列，不是鲁棒的控制逻辑。

从定义的安全状态开始

每个联锁都应映射到特定的安全响应。

示例：

• 泵系统：停止泵，关闭出口阀，报警提示操作员
• 加热器撬块：移除加热使能，必要时维持吹扫或循环
• 输送线：移除运动指令，保持故障信标激活
• 储罐填充系统：关闭进料阀，禁止重启直到确认

安全状态必须按系统定义。“停止一切”并不总是安全的，有时它只是戏剧性的表现。

将联锁构建为可观察的逻辑，而非模糊的意图

一个可辩护的联锁设计通常包括：

• 触发条件
• 所需动作
• 锁存行为（如有）
• 复位条件
• 操作员指示
• 仿真或 FAT 中的验证方法

例如：

• 触发：`PRESSURE_HH = 1`
• 动作：断开 `PUMP_RUN_CMD`，关闭 `FEED_VALVE_CMD`
• 锁存：设置 `HH_PRESS_TRIP`
• 复位：仅在压力恢复到复位阈值以下后才允许操作员复位
• 指示：报警位和 HMI 消息
• 验证：在运行状态下于仿真中注入高高压，并确认停机路径

这种精确度使控制叙述具有可测试性。

同时使用启动许可和联锁，而非互换使用

一个鲁棒的序列通常两者兼备：

• 启动前的许可
• 吸入液位充足
• 无激活过载
• 下游阀门可用

• 运行期间的联锁
• 低吸入跳闸
• 过载跳闸
• 高出口压力跳闸
• 急停正常

如果低液位仅在启动时检查，而在运行期间从不检查，那么逻辑并非“更简单”，而是“未完成”。

风险受控的虚拟调试环境允许工程师注入故障、观察设备响应、修改逻辑并重新运行确切的场景，而无需将人员或硬件暴露在不必要的风险中。这就是其边界价值主张。

你不能通过即兴发挥在现场撬块上教授故障处理。工厂通常对被用作教学辅助工具持保留态度。

安全故障注入

在 OLLA Lab 仿真模式下，用户可以在没有物理硬件的情况下运行逻辑、切换输入并检查变量状态。这支持对异常条件的刻意测试，例如：

• 断线等效故障
• 传感器丢失
• 激活序列期间的急停
• 证明反馈失败
• 超出正常工作范围的模拟量偏移
• 报警和跳闸阈值

工程价值在于可重复性。同一个故障可以在每次逻辑修改后重新引入，直到响应正确为止。

数字孪生验证

在本文中，数字孪生验证是指将梯形图状态行为与真实的虚拟设备模型进行比较，以验证控制逻辑是否产生了预期的物理结果。

该定义是有意缩小的。它并不意味着模型是完美的物理复制品，也不意味着通过关联实现正式合规。

在 OLLA Lab 中，这可以包括观察：

• 泵是否仅在满足许可时启动
• 储罐液位响应是否与指令阀门状态匹配
• 序列是否在跳闸时正确停止
• 联锁是否将设备驱动至预期的安全状态
• PID 变化是否以可见、可测试的方式改变了工艺响应

为什么这对调试判断力很重要

调试失败通常源于代码状态与设备状态之间的不匹配。

典型示例包括：

• 运行位为真，但没有证明反馈
• 阀门指令开启，但被控变量没有移动
• 序列步骤在物理条件未满足的情况下推进
• 复位逻辑清除过早，导致意外重启

仅靠基于 Web 的梯形图编辑器并不能很好地暴露这些不匹配。而具有 I/O 可见性和设备响应的仿真环境可以。这就是实际的区别。

“仿真就绪”意味着工程师能够证明控制逻辑在接触真实系统之前，已经针对真实的工艺行为、异常状态和恢复路径进行了测试。这是一个能力定义，而非赞美。

在操作上，一个“仿真就绪”的工程师可以：

• 构建与命名 I/O 和工艺条件绑定的梯形图逻辑
• 在测试前定义“正确”行为的含义
• 注入真实故障并观察响应
• 识别预期行为与实际行为之间的不匹配
• 修改逻辑
• 重新运行场景并记录结果

这比课堂上的语法练习更接近调试实践。语法很重要，但可部署性更重要。

所需的工程证据主体

如果你想可信地展示技能，请构建一个紧凑的工程证据主体，而不是截图集。

使用此结构：

1. 系统描述 定义机器或工艺单元、其控制目标和操作环境。
2. “正确”的操作定义 说明正常运行和故障下的确切预期行为。
3. 梯形图逻辑与模拟设备状态 展示梯级逻辑以及仿真中相应的设备或工艺状态。
4. 注入的故障案例 记录引入的异常条件：传感器丢失、急停、过载、证明失败、模拟量偏移。
5. 所做的修改 记录纠正行为的逻辑变更。
6. 经验教训 解释原始逻辑遗漏了什么，以及修改后的版本现在证明了什么。

这种格式很有用，因为它反映了真实工程审查的工作方式：系统意图、测试条件、观察结果、纠正措施。如果截图表现良好，也可以附上。

验证应测试行为，而不仅仅是梯级的外观。问题不在于逻辑是否编译通过，而在于工艺是否在定义的故障下进入了要求的安全状态。

离散安全相关控制行为的最低验证检查

对于急停和联锁相关逻辑，至少验证：

• 正常信号丢失会切断受影响的指令
• 正常信号恢复不会自动重启
• 在指定位置需要手动复位
• 跳闸指示可见并按预期锁存
• 在满足恢复安全条件前，复位被阻塞
• 序列步骤逻辑不会绕过跳闸路径
• 在需要时检测到证明反馈失败

PID 限幅行为的最低验证检查

对于模拟量控制，至少验证：

• 输出保持在定义的最小/最大限制内
• 饱和时的控制器行为是可观察的
• 积分动作在没有控制权限的情况下不会继续驱动至更深层的饱和
• 饱和后的恢复是稳定且有界的
• 报警和跳闸阈值与限幅限制保持一致

标准说明

IEC 61511 为流程工业中定义安全功能、所需动作和生命周期纪律提供了过程安全框架。IEC 60204-1 和 NFPA 79 定义了与机器相关的电气安全期望，包括停止和重启行为。这些标准没有一条可以通过乐观态度来满足，也没有一条可以被仿真器取代。仿真器是一个排练环境。它之所以有价值，恰恰是因为它是受限的。

PLC 防御性编程是一门使控制逻辑在工艺停止配合时，能够安全失效、谨慎恢复并可预测行为的学科。在实践中，这意味着将启动许可与联锁分开，实现需要人工操作的急停重启逻辑，并对 PID 输出进行限幅，以防止模拟回路发出超出物理或工艺限制的指令。

OLLA Lab 作为风险受控的虚拟调试环境融入了该工作流。它允许工程师在部署前测试 I/O 行为、故障处理、数字孪生响应和逻辑修改。这是一个可信的用例。它不是认证捷径，不是功能安全求解器，也不能替代适当的设计审查。

- NFPA 79: 工业机械电气标准 - IEC 60204-1 标准页面 - IEC 61511 过程工业部门的功能安全 - ISA 关于安全仪表系统的资源 - Åström & Hägglund, 高级 PID 控制 (ISA)