IEC 61800-5-2是一項工業標準，涵蓋了變速驅動器的功能安全。實際上，它告訴您如何構建安全的電機控制電路。在本博客中，我將討論IEC 61800-5-2附錄B中的一個示例電路，用于實現STO（安全轉矩關閉）安全功能。任何從事工業或汽車功能安全工作的人都應該對這個博客感興趣，即使變速驅動器不是你的事。

STO是IEC 61800-5-2中確定的十七種安全功能之一，也是最重要的一項，因為它旨在從電動機中消除所有運動產生動力，因此代表了許多其他安全狀態。

下圖是PDS（SR）的圖片，該PDS（SR）在標準中被定義為“提供安全功能的可調速電力驅動系統”，通常稱為變速驅動器。

圖1 - 符合IEC 61800-5-2的電源驅動系統（安全相關）

在我們查看實現 STO（安全轉矩關閉）的框圖之前，IEC 61800-5-2 中將其描述為“此功能可防止向電機提供產生力的功率。此安全子功能對應于符合IEC 0-60204“停止類別1的非受控停止。

圖 2 STO 的圖形表示

從圖形上看，如上所示。如果 STO 輸入在時間 t 處置位1驅動器將在時間 t 滑行到一半2區間為 t2-噸1取決于電機的質量和系統中的摩擦力等因素。IEC 61800-5的附錄B顯示了實現STO的示例電路。它將其分為兩個子系統，子系統 A/B 實現雙通道核心 STO 功能，子系統 PS/VM 實現帶監控功能的單通道電源系統。

圖 3 - IEC 61800-5-2：2016 附錄 B 中的 STO 示例電路

我在之前的博客中談到我不喜歡標準的強制性要求。這是一個很好的例子，說明為什么它沒有意義，因為子系統 PS/VM 是唯一的單通道，即使核心功能是雙通道。盡管如此，該電路的雙通道部分非常出色。

變速驅動器的核心功能由具有 6 個 PWM 輸出的 uP 實現。PWM 輸出控制 3 H 橋，高壓側 3 個 MOSFET，低側 3 個，以斬波直流電壓并產生電機的 3 相激勵。

實現STO的第一個通道具有標記為STO-A的輸入，并在進入uP之前通過光耦合器饋入。在uP中，它殺死6個PWM信號，這些信號本身應該足以停止電機旋轉。

實現STO的第二個通道具有標記為STO-B的輸入，并再次通過光耦合器饋電，但在這種情況下，它通過殺死光耦合器的5V電源來消除運動功率，并完全避免uP。根據ISO 13849-2：2012，電源斷開是“基本安全原則”。

因此，該電路有兩個不同的通道，一個直接殺死PWM信號，另一個通過斷電間接殺死PWM信號，這為隨機和系統故障源提供了良好的保護。

實際上有一個 3RD通道作為第一個通道也消除了高壓側光耦合器的電源，但通常為了機器安全，沒有對3RD通道作為ISO 13849無法解釋它。每個通道都有一個標記為DIAG_A和DIAG_B的診斷信號，該信號反饋到uP，因此它知道電源已被移除，并且uP生成STO-FB作為輸出，然后可用作外部PLC的輸入。

在我評論電路之前，我應該提到我曾經是并且仍然是制定IEC 22-12-61800：5標準的IEC SC2G / MT 2016的成員，我希望我五年多未見的同事都做得很好。5年后，今年可能會進行更新，但鑒于IEC 61508沒有改變，并且不會再改變2年，那么我想IEC 61800-5-2將在那之后得到確認。

無論如何，對電路的一些評論：

評論 1 –我希望看到電路中使用的數字隔離器而不是光耦合器。數字隔離器是光耦合器的替代品，它使用構建在IC電路頂部的小型變壓器，并將信號耦合到聚酰亞胺絕緣層上。與光耦合器相比，數字隔離器通常更快、更可靠（隨著時間的推移，光傳輸不會像 optos 那樣減少）和功耗更低，現在有自己的 IEC 標準，即 IEC 60747-17：2020 。新標準很好，因為在此之前，它們已通過光耦合器標準的認證。由于它們基于標準CMOS技術，因此可以向數字隔離器添加額外的功能和特性。例如，ADuM1310具有3個隔離通道，ADuM4150可用于隔離具有3個正向通道和一個反向通道的SPI接口，ADuM4135只有一個通道，但具有電機控制的特定功能。

雖然附件B示例中沒有從光電器件更改為數字隔離器，但IEC 61800-5-2 D.3.13也已修改為“信號隔離元件”而不是光耦合器，因此以前僅適用于光耦合器的柵極故障故障排除現在也適用于數字隔離器。

下圖顯示了基于磁性的隔離的工作原理，在這種情況下，有三個芯片，中間芯片不包含有源電路。在某些情況下，只有兩個死亡。

圖4 - iCoupler電路圖示，在一個封裝中顯示3個芯片

評論 2 –目前尚不清楚如果使用標準uP，通道1的分析容易程度。ADSP-CM407等uC具有專用PWM_TRIP輸入，可獨立于uC中運行的任何軟件禁用PWM輸出，并且不會通過任何存儲元件。對于標準uC，可能不清楚信號在uP / uC / DSP中采用的路徑。將可編程軟件排除在安全功能之外始終是有利的，因為系統中與安全相關的軟件會產生另一組問題。

如果使用ADuM1310或類似產品代替光耦合器，另一種可能性是將STO-A連接到ADuM1310的禁用輸入端，而不是uP。這將 uP 從安全功能中刪除，診斷除外。

評論 3 –雖然通道之間的多樣性很好，但它可能被用來讓其中一個STO輸入高電平有效，另一個低電平有效。許多數字隔離器都可以通過這種方式輕松設置。也許3個optos（2個輸入和1個輸出）可以用單個數字隔離器（如ADuM1311）代替。

評論4 –核心功能是兩個通道，而電源監視器是一個具有診斷功能的通道。這可以滿足 SIL 3 的要求，前提是 SFF 大于或等于 99%，并滿足 ISO 3-13849 對 CAT 1 的要求，但 ISO 10218（機器人安全）具體要求 HFT = 2 的 SIL 1 或 PL d CAT 3 呢？

否則，電源電路看起來不錯，使用保險絲保護其免受過電流影響，并在電源電壓超出規格時消除所有下游電源。這實現了IEC 61508-2：2010表A.9中所述的“帶安全關閉的電壓控制（次級）”，允許SFF的索賠高達高（99%）。LTC 4365或ADM1169等電源監控器器件可以實現此功能，如上一篇博客中所述，ADM1169還能夠實現一個窗口看門狗定時器，其分辨率低至uP的mS。

注釋 5 – 當至少一個 STO 輸入被置位并且 uP 發現通道 2 中出現診斷故障時，電路應停止電機。但是，如果在通道1中發現故障，則無法保證關斷，因為uP是通道1的一部分，可能是故障的根源，因此不能依靠它使系統進入安全狀態。

總而言之，這是一個出色的賽道，如果有的話，我的批評只能表明這一點。IEC 61800-5-2中的電路分析還附帶了一個有趣的馬爾可夫分析示例。

圖 6 - 符合 IEC 61800-5-2：2016 的安全功能

在以后的博客中，我可能會討論IEC 61800-5-2中的其他安全功能，包括另外兩個停止功能，它們使用驅動功能來實現更快的停止時間以及與速度和位置相關的安全功能。

審核編輯：郭婷