如何在 PLC 中为三相电机编写状态机逻辑

为了在 PLC 中编写状态机逻辑，工程师将机器序列划分为互斥的状态，并显式地在这些状态之间进行转换。对于三相电机，这通常意味着使用基于整数的“停止”、“启动”、“运行”、“停机”和“故障”状态，相比嵌套的自保持逻辑，这种方式更易于验证、排查故障和加固。

嵌套的自保持逻辑（seal-in logic）仅仅因为在第一次测试中运行正常，并不代表它就是“足够好”的。在顺序控制中，当输入信号抖动或故障在序列执行过程中出现时，在静态屏幕上看起来整洁的布尔逻辑仍可能产生竞争条件、模糊的恢复路径以及依赖于扫描周期的行为。

在 Ampergon Vallis 的三相电机预设于 OLLA Lab 的内部测试中，将嵌套的自保持触点替换为基于整数的显式有限状态机，在模拟异常停机试验期间，观察到的竞争条件故障事件减少了 87% [方法论：n=30 次相同三相电机任务的模拟运行，以嵌套自保持逻辑为基准对比，测试窗口为 2026 年 2 月至 3 月]。这支持了关于一个内部训练预设在模拟故障注入下的有限结论。它并未确立适用于所有 PLC 架构、工厂或电机应用场景的通用缺陷降低率。

这种区别至关重要。调试故障通常源于边缘条件，而非正常路径。

有限状态机逻辑在顺序控制中更具优势，因为它使机器行为变得显式、互斥且确定。构建良好的 FSM 允许 PLC 评估当前状态的规则，并仅在满足定义的条件时进行转换。

嵌套的自保持梯形图则恰恰相反。它们通常将序列记忆分散在多个位、允许条件、锁存器和互锁中，这些元素间接相互作用。其结果是逻辑可能仍然有效，但一旦遇到时序问题、反馈丢失或异常停机，隐藏的耦合就会暴露出来。语法正确并不同于可部署性。

IEC 61131-3 标准并未强制要求某种通用的顺序模式，但其程序组织模型有力地支持了 PLC 应用中基于状态的顺序控制所采用的结构化、可读且易于维护的控制逻辑 (IEC, 2013)。在实践中，FSM 已成为机器序列的通用架构，因为它们更易于推理、测试以及在故障后进行恢复。

一个实用的操作定义如下：

• 梯形图中的有限状态机： 一种控制架构，其中一个状态变量代表当前的机器模式，同一时间仅有一个有效状态处于激活状态，且转换通过分配下一个状态的显式条件发生。

最后这一条是关键。如果转换不是显式的，机器就会依赖于副作用。

洋葱逻辑（Onion Logic）与状态机架构

| 工程因素 | 嵌套自保持 / “洋葱逻辑” | 有限状态机 | |---|---|---| | 激活序列记忆 | 分布在多个位和锁存器中 | 集中在一个状态变量中 | | 扫描周期行为 | 可能变得对顺序敏感且模糊 | 当转换显式时具有确定性 | | 故障恢复 | 通常从多个条件中推断 | 显式故障状态，例如 `99` | | 故障排查 | 追踪许多相互作用的位 | 首先读取当前状态整数 | | 序列扩展 | 随着分支增加而变得脆弱 | 更易于插入中间状态 | | 模拟验证 | 难以隔离故障路径 | 清晰的逐转换测试 |

资深控制工程师拒绝洋葱逻辑的原因与他们拒绝未标记的现场接线相同：系统可能仍在运行，但不应让任何人去猜测其原因。

三相电机序列需要的不仅仅是一个“开”和一个“关”位，因为实际设备具有转换行为、反馈时序和故障处理需求。即使是简单的电机启动器，通常也需要对允许条件、启动确认、停止行为和跳闸恢复进行显式处理。

三相电机的实用 FSM 通常使用以下状态：

1. 状态 0 — 停止 / 就绪 电机断电。所需的允许条件正常。序列正在等待有效的启动指令。
2. 状态 10 — 启动中 已发出启动输出。逻辑正在等待预期的反馈，例如辅助触点验证、运行状态、速度确认或定时启动窗口。
3. 状态 20 — 运行中 电机处于稳态运行。逻辑持续监控停止指令、过载、允许条件丢失和异常反馈。
4. 状态 30 — 停机中 已启动停止指令或受控关机。逻辑等待断电确认、零速反馈或超时完成。
5. 状态 99 — 故障 发生了跳闸、验证失败、过载或无效序列条件。输出被驱动至定义的安全响应状态，且复位逻辑被显式处理。

使用 10 的增量是一种实用的工程习惯，因为它为后续插入状态（如 `15 = 启动验证` 或 `25 = 惯性停止确认`）留出了空间，而无需重新编号整个序列。

为什么转换状态在实际电机控制中很重要

转换状态的存在是因为电机与电气和机械现实交互，而不仅仅是与梯形图符号交互。根据应用的不同，控制序列可能需要考虑：

• 接触器吸合时间
• 星三角转换时序
• 变频器（VFD）加速和减速
• 来自辅助触点的验证反馈
• 运行期间的允许条件丢失
• 过载继电器跳闸
• 下游工艺互锁
• 零速或停止确认

这也是“仿真就绪（Simulation-Ready）”需要精确定义的地方。

• 仿真就绪： 在控制逻辑到达实际工艺现场之前，能够针对真实的工艺行为进行证明、观察、诊断和加固。

这意味着不仅仅是编写一段能编译通过的梯形图。它意味着验证在正常和异常条件下，梯形图状态、I/O 状态和模拟设备状态是否保持一致。

基于梯形图的 FSM 是通过使用比较器读取当前状态，并使用显式移动（MOV）指令写入下一个状态来构建的。在 OLLA Lab 中，这些工作在梯形图编辑器、变量面板和仿真模式中完成。

在此处，OLLA Lab 应被理解为一个受限的验证和演练环境。它的价值在于让工程师能够练习高风险的调试行为，如逻辑验证、I/O 观察、故障注入和修订，而无需将实际设备作为教学辅助。

第 1 步：定义状态整数

创建一个标签，例如：

- `Motor_State` : `INT`

该整数是机器当前序列状态的唯一事实来源。

推荐的配套标签包括：

• `Start_PB`
• `Stop_PB`
• `OL_Trip`
• `Aux_Run_Proof`
• `Reset_PB`
• `Motor_Output`
• `Start_Timer.DN`
• `Stop_Timer.DN`

第 2 步：构建“停止到启动”的转换

当存在允许条件和启动请求时，第一次转换通常将电机从就绪状态移动到启动状态。

逻辑概念示例：

• 如果 `Motor_State = 0`
• 且 `Start_PB = TRUE`
• 且无跳闸激活
• 且所需允许条件正常
• 则将 `10` 移动（MOV）至 `Motor_State`

这是基本模式：

• `EQU(Motor_State, 0)`
• `XIC(Start_PB)`
• `XIO(OL_Trip)`
• `XIC(Permissive_OK)`
• `MOV(10, Motor_State)`

第 3 步：构建“启动到运行”的转换

启动状态应确认电机确实达到了预期条件。该确认可能是辅助触点、运行反馈、流量验证、旋转验证或定时条件，具体取决于应用。

逻辑概念示例：

• 如果 `Motor_State = 10`
• 且 `Aux_Run_Proof = TRUE`
• 则将 `20` 移动至 `Motor_State`

如果未在允许时间内收到验证，则转为故障状态。

• 如果 `Motor_State = 10`
• 且 `Start_Timer.DN = TRUE`
• 且 `Aux_Run_Proof = FALSE`
• 则将 `99` 移动至 `Motor_State`

第 4 步：构建“运行到停止”的转换

运行状态应监控指令停止和异常条件。

逻辑概念示例：

• 如果 `Motor_State = 20`
• 且 `Stop_PB = TRUE`
• 则将 `30` 移动至 `Motor_State`

同时包含跳闸处理：

• 如果 `Motor_State = 20`
• 且 `OL_Trip = TRUE`
• 则将 `99` 移动至 `Motor_State`

第 5 步：构建“停止到停止（就绪）”的转换

停止状态应等待电机达到预期的停止条件。

逻辑概念示例：

• 如果 `Motor_State = 30`
• 且停止确认信号为真
• 则将 `0` 移动至 `Motor_State`

在没有物理停止验证的情况下，可以使用受限定时器，但这应是一个有意识的设计选择，而不是一种伪装成确定性的猜测。

第 6 步：构建显式故障状态

故障状态应使输出断电，并要求定义明确的复位路径。在许多应用中，这意味着除非控制哲学明确允许，否则过载或验证失败后不得自动重启。

逻辑概念示例：

• 如果 `Motor_State = 99`
• 强制 `Motor_Output = FALSE`
• 要求 `Reset_PB = TRUE`
• 要求跳闸已清除
• 则将 `0` 移动至 `Motor_State`

梯形图模式总结

OLLA Lab 中简洁的 FSM 梯形图模式通常遵循以下顺序：

• `EQU` 识别当前状态
• 一个或多个 `XIC` / `XIO` 条件验证转换
• `MOV` 写入下一个状态

梯形图模式示例：

• `EQU Motor_State 10` 且 `XIC Aux_Run_Proof` 则 `MOV 20 -> Motor_State`
• `EQU Motor_State 10` 且 `XIO Aux_Run_Proof` 且 `XIC Start_Timer.DN` 则 `MOV 99 -> Motor_State`

图片替代文本：OLLA Lab 梯形图编辑器截图，显示了一个有限状态机梯形图，其中 EQU 块检查 Motor_State 是否等于 10，输入条件验证 Aux_Run_Proof，MOV 块将 Motor_State 转换为 20。

输出应从激活状态导出，而不是作为序列的隐藏记忆。这种区别很容易被忽略，但代价高昂。

一种常见的模式是：

• 当 `Motor_State = 10` 或 `Motor_State = 20` 时，使 `Motor_Output` 通电
• 在 `0`、`30` 和 `99` 状态下使其断电，除非停止哲学要求受控保持

这在序列意图和指令输出之间建立了直接关系。它还使仿真和故障排查更清晰，因为输出成为了状态的结果，而不是第二个未记录的状态机。

输出逻辑示例

• 如果 `Motor_State = 10` 或 `Motor_State = 20`
• 则 `Motor_Output = TRUE`

• 如果 `Motor_State = 0`、`30` 或 `99`
• 则 `Motor_Output = FALSE`

对于更复杂的电机系统，如可逆启动器、星三角转换或变频器旁路布置，每个执行器指令仍应保持状态导出并显式互锁。

最常见的 FSM 故障是“挂起状态”。当机器进入有效状态但从未满足离开该状态所需的条件时，就会发生挂起状态。

这就是仿真重要的原因。它让您在硬件、机械和进度压力使诊断复杂化之前，观察因果关系。

在 OLLA Lab 中，排查 FSM 故障应遵循简单的顺序：

1. 首先读取当前状态整数 在变量面板中检查 `Motor_State`。不要从猜测哪一行梯形图看起来有问题开始。
2. 验证预期的转换条件 如果电机处于 `状态 10`，请确认 `Aux_Run_Proof` 是否确实发生了变化，定时器是否在运行，以及允许条件是否保持为真。
3. 检查梯形图状态与模拟设备状态 梯形图可能指令电机输出，但模拟设备可能仍显示验证失败、响应延迟或故障行为。
4. 故意注入故障 在 `状态 20` 期间切换 `OL_Trip`，并确认序列立即转换为 `状态 99`。
5. 验证安全响应 确认电机输出按要求断电，且机器在满足复位条件之前无法恢复运行。

这就是 OLLA Lab 具有操作实用性的地方。它允许学习者在一个地方比较控制状态整数、I/O 条件和设备行为，这反映了调试工程师在压力下所做的工作。

实用故障注入测试

使用此受限测试用例：

• 从 `状态 0` 开始
• 发出有效的启动指令
• 确认转换为 `状态 10`
• 确认验证反馈并转换为 `状态 20`
• 强制 `OL_Trip = TRUE`
• 验证立即转换为 `状态 99`
• 验证 `Motor_Output = FALSE`
• 清除跳闸并发出复位
• 验证转换回 `状态 0`

如果其中任何步骤失败，问题就不再是抽象的了。您现在拥有了一个可重现的缺陷案例。

在本文中，数字孪生验证是指针对真实的模拟机器模型测试梯形图逻辑，以便在部署前观察正常和异常条件下的序列行为。这并不意味着该仿真可以合法替代现场验收、功能安全验证或调试签字。

这一界限很重要。数字孪生可以改善序列验证、训练真实感和故障演练，但它不能消除对工厂特定审查、设备验证以及在适用情况下根据 IEC 61508 等标准进行正式安全生命周期活动的需求 (IEC, 2010; exida, 2024)。

在 OLLA Lab 中，当工程师能够完成以下所有操作时，数字孪生验证才具有操作实用性：

• 比较梯形图状态与模拟设备行为
• 观察 I/O 转换是否按预期发生
• 注入故障并验证安全状态响应
• 在失败后修订逻辑
• 重新运行相同的场景以确认修复

这就是语法练习与调试演练之间的区别。

截图库不是工程证据。它只是一个部分记录。

如果您想展示真正的控制能力，请使用此结构构建紧凑的证据体系：

1. 系统描述 定义机器或工艺单元、其目标以及相关的 I/O。
2. 正确行为的操作定义 说明序列必须做什么、必须接收什么反馈以及什么构成有效的安全响应。
3. 梯形图逻辑和模拟设备状态 展示状态逻辑、输出逻辑以及相应的模拟行为。
4. 注入的故障案例 记录您引入的异常条件，例如过载跳闸、启动验证失败或允许条件丢失。
5. 所做的修订 解释逻辑发生了什么变化以及原因。
6. 经验教训 记录故障揭示了关于序列设计、假设或缺失互锁的哪些信息。

这种结构更具可信度，因为它展示了推理、故障处理和修订纪律。仅凭一行干净的梯形图无法显示逻辑是否能在现实条件下存活。

结构化顺序控制、基于仿真的验证和故障感知测试与既定的工程实践高度一致，尽管具体实施因行业和风险等级而异。

相关的基础包括：

• IEC 61131-3，用于 PLC 编程语言和结构化控制实施原则 (IEC, 2013)
• IEC 61508，用于功能安全生命周期思维，特别是在异常条件和安全状态行为很重要的情况下 (IEC, 2010)
• exida 指南，关于安全生命周期纪律、验证严谨性，以及工业系统中逻辑意图与验证行为之间的区别 (exida, 2024)
• 跨工业仿真、数字孪生和沉浸式训练环境的研究文献表明，当模拟环境与可观察的任务绩效挂钩而非仅仅追求新颖性时，它们可以提高程序理解、故障演练和系统级学习 (Tao et al., 2019; Jones et al., 2023; Villalonga et al., 2021)

谨慎的结论不是仿真取代现场工作。而是仿真可以将昂贵的学习“左移”，在那里错误更便宜且更明显。

Ampergon Vallis Lab 致力于通过基于状态的控制架构和仿真驱动的验证方法，提升工业自动化系统的可靠性与可维护性。

本文档中的技术原则基于 IEC 61131-3 编程标准及工业控制系统中的有限状态机（FSM）最佳实践。文中提到的性能改进数据基于 Ampergon Vallis Lab 在 OLLA Lab 环境下的受控模拟测试。

- IEC 61131-3: 可编程控制器 — 第 3 部分 - IEC 61508 功能安全标准概述 - NIST 智能制造概况 - IEEE Access: 数字孪生赋能技术 (DOI)