陈小全，周 婷

(上海辰竹仪表有限公司，上海 201612)

0 引言

传统设备停机是利用急停按钮，直接切断电源。从系统集成的角度来看，传统设备停机若需要达到更高安全等级cat.3/cat.4，往往需要在急停回路中使用安全继电器、安全接触器开关等器件。从急停功能上看，直接切断驱动器的电源，往往并不能快速关断驱动器的电流输出和电机的扭矩输出。因为驱动器的母线会储存一定的能量，在驱动器主电源断开后，一部分母线的残余能量仍然可以让驱动器再运转一段时间(时间长短取决于系统容量)，直到直流母线电压过低为止。所以，直接切断驱动器电源的方式其实并不能确保设备停机性能的一致性。

安全扭矩关断(safe torque off,STO)是一种区别于传统的“设备停机”方式。首先，在达到更高的安全等级的情况下，它并不需要额外的开关器件。其次，它是直接切断驱动器内部电流回路，比切断驱动器的电源更为直接、快捷，可以做到在STO 触发的瞬间立即切断电机电源，使其失去扭矩输出。所以，从安全功能的角度看，这样的安全停车性能更可靠。

STO功能目前多集成在变频器、伺服驱动单元的内部。国外主流变频器是作为标配集成在内部，用户可以很方便地使用该功能。国内变频器厂商中的绝大部分没有集成该功能，主要原因有以下方面。

①STO是集成驱动安全的一种，往往集成在驱动器内部，需要进行相关的安全认证，国内这方面的研究甚少。

②STO虽然给系统集成方面带来了不少优势、降低了最终用户的成本，但对于驱动器厂家而言，却增加了开发成本和硬件成本。

③从安全的角度来看，传统设备停机方式目前仍然是国内主流。

但对于系统集成商而言，其更需要具有STO功能的变频器，以降低最终用户的成本。因此，从趋势上来说，变频器厂家在不久的未来，需要内部集成STO,并且取得相关安全认证，从而满足最终用户降低成本、保证安全的需求。

STO是集成驱动安全常见安全功能的一种，因此设计需要依据功能安全标准进行开发。主要依据的标准有：IEC 618000-5-2、IEC 62061、ISO 13849[1]、IEC 61508[2]。

1 设计目标

在变频器内部集成STO功能，需要定义变频器接口和用户接口。变频器接口用于连接原变频器内部电路，为STO模块提供电源接口、控制接口，切断PWM回路起到关停电机运转的作用。用户接口则是用于响应用户的操作。

STO模块应用架构如图1 所示。

图1 STO模块应用架构图

STO的接口定义如表1所示。图1和表1可以更清楚地显示出STO模块与变频器的内部连接关系，以及电压等级。

表1 STO接口定义

2 硬件设计

STO模块开发主要依据《IEC 61800-5-2 调速电气传动系统 第5-2部分 安全要求 功能》，符合功能安全相关产品的要求。相关设计需要依据功能安全产品开发要求。在本设计中，STO的安全等级为SIL3,Cat4,PLe。根据标准要求，需至少采用双通道的架构，硬件故障裕度>1，且故障累积不能导致危险的发生(即电路能够耐受2个或2个以上的故障)[3-4]。

STO模块硬件结构如图2所示。

图2 STO模块硬件结构框图

图2中，硬件电路主要由4个部分组成：输入部分、输出部分、输入电源处理部分和输出电源处理部分。在变频器故障条件下，可能会引入强电，导致人身伤害。因此，输入和输出部分应进行可靠隔离。隔离方式既可采用光耦隔离，也可采用其他种类，如磁隔离或电容隔离等。从图2可以明显看出：输入部分有两个输入，采用1oo2d的结构，硬件故障裕度为1；输出部分有3个安全输出，采用1oo3d的结构，硬件故障裕度为2。输入输出电源处理电路采用单通道架构，但该部分电路能够耐受两个故障的组合。

2．1 输入/输出电源电路

输入输出电源电路设计从两个角度考虑：①满足不同模块的供电；②单通道设计，且能够耐受两个故障的组合。电源电路需要考虑的故障有：过电压、欠压、过流、开路、短路。

输入电源电路如图3所示。

图3 输入电源电路

电源的过电压处理通过压敏电阻和瞬态二极管(transient voltage suppressor,TVS)的组合实现，过流则通过自恢复保险丝实现；开路和短路故障利用fail-safe技术实现。过压故障：输入输出电源电路均采用压敏电阻和TVS管组合来实现。欠压故障：输入电路采用稳压管进行监控，输出电源电路采用模数转换器(analog-to-digital converter,ADC)监控的方式对欠压进行监控。

输出电源电路和输入电源电路类似，增加低压差稳压器芯片将12 V电源转化为3.3 V，用于单片机(micro controller unit,MCU)及光耦电路的供电，并利用电阻分压将12 V电源与MCU的ADC模数转换器连接。

2．2 输入电路

输入电路从功能上可以分为输入驱动电路和输入采样电路。输入驱动电路产生两个不同的周期性脉冲电平T1、T2。输入采样电路对这两个脉冲波形进行识别判定。当输入发生短路时，进入脉冲电路会叠加，产生不同于T1、T2的脉冲，进而被单片机(single-chip microcomputer,MCU)识别，判断出短路故障[5]。对于一路输入而言，输入采样电路有两路：一路进入MCU，一路进入安全输出。两路电路在原理上一致，但参数不一致。进入安全输出的通道需要加强滤波，要将T1、T2的低电平脉冲滤除，保证安全输出是一个稳定的高电平。进入MCU的通道，需保证T1、T2的波形能够被完整地传输。输入电路如图4所示。

图4 输入电路

2．3 安全输出电路

安全输出分为三路：H-CTRL、L-CTRL、Logic-PWR。

H-CTRL安全输出电路如图5所示。H-CTRL、L-CTRL安全输出电路设计相同，当光耦有输入时，输出启动。H-CTRL、L-CTRL的输出通过ADC采样的方式反馈至MCU。当发生短路时，MCU可以诊断该故障，并切断其他安全输出通道，进入安全状态。

Logic-PWR安全输出电路如图6所示。由图6可知，Logic-PWR安全输出电路由看门狗电路及MCU共同控制。当H-CTRL/L-CTRL发生短路故障时，可以安全切断该输出，进入安全状态。

图5 H-CTRL安全输出电路

图6 Logic-PWR安全输出电路

2．4 MCU及周边电路

MCU主要实现以下功能：输入驱动回路的波形设计、输入采样、Logic-PWR安全输出、STO-status辅助输出的控制、电源电压的过压欠压诊断。

3 软件设计

本设计的软件[6-9]分为驱动层、诊断层、应用层。驱动层的工作主要是对MCU的时钟、直接存储器访问(direct memory access,DMA)、ADC、I/O、FLASH、中断进行初始化，并作简单的控制设置。驱动层的的代码设计可以参考MCU厂家提供的代码。诊断层的主要工作是对驱动层的代码进行诊断，如I/O、ADC、FLASH的操作是否正确。应用层主要是根据STO的输入输出逻辑关系，进行必要的外围诊断，如电源过压、欠压诊断、输入通道诊断。软件流程如图7所示。

图7中，驱动层的开发内容有：MCU初始化、参数设置以及MCU外设的简单控制。诊断层的开发内容为MCU底层诊断。需要注意的是，在每个周期内，均需要对MCU底层进行诊断，以满足功能安全高模式运行的需求。应用层的开发内容包括输入采样、输出控制、应用诊断、RAM比较、程序序列诊断。其中：应用诊断是根据客户的诊断需求，以及STO本身的应用诊断特性而设计的。

图7 软件流程图

4 设计验证

安全扭矩关断模块并不能直接单独使用，需集成到伺服驱动，从而使变频器内部构成一个完整的产品。因此，对STO模块的验证不仅需要功能安全相关的分析、测试(如失效模式和影响分析、故障插入测试等)，还要根据伺服驱动、变频器的产品标准，进行功能、环境、电磁兼容、振动等方面的测试验证。安全扭矩关断功能相关性能指标，并不是STO模块的性能指标，而是需要根据变频器、伺服驱动的整体情况给出[10]。

5 结论

本文通过对功能安全以及驱动安全技术的深入研究，提供了一种基于MCU的安全扭矩模块设计方案[11]。输入采用1oo2d，输出采用的安全架构。输出采用3路安全输出、1路辅助输出，并借助软件对硬件进行诊断，提高了STO的安全性能；借助于软件辅助输出，可以编程为多种输出方式，更适合变频器的应用。该安全扭矩关断模块和变频器内部接口定义明确，可以很轻松地集成到变频器内部，为广大变频器厂家提供了低廉、可靠的解决方案。