IEC 61800-5-2 是一项涵盖变速驱动器功能安全的工业标准。实际上,它告诉您如何构建安全的电机控制电路。在本博客中,我将讨论IEC 61800-5-2 附录B 中用于实现STO(安全扭矩关闭)安全功能的示例电路。即使您不喜欢变速驱动器,从事工业或汽车功能安全工作的任何人都应该对该博客感兴趣。
STO 是IEC 61800-5-2 中确定的17 项安全功能之一,也是最重要的一项,因为它旨在消除电机发电时的所有运动,因此代表了许多其他安全状态。
下图是PDS(SR)的图片,标准中将其定义为“提供安全功能的可调速电力驱动系统”,通常称为变速驱动器。
图1 - 符合IEC 61800-5-2 的动力驱动系统(安全相关)
在我们查看实现STO(安全扭矩关闭)的框图之前,IEC 61800-5-2 中将其描述为“此功能可防止向电机提供力产生的电力。该安全子功能符合IEC 0-60204“停止类别1 的不受控停止”。
图2 STO的图示
从图形上看,它看起来像上面一样。如果STO 输入在时间t 处理位1,则驱动器将在时间t 2 - t 1 处滑行至2 间隔的一半,具体取决于电机质量和系统摩擦等因素。 IEC 61800-5 的附录B 显示了实施STO 的示例电路。它将其分为两个子系统,子系统A/B实现双通道核心STO功能,子系统PS/VM实现具有监控功能的单通道电力系统。
图3 - IEC 61800-5-2:2016 附录B 中的STO 示例电路
我在之前的博客中谈到过我不喜欢标准的强制性要求。这是一个很好的例子,说明了为什么它没有意义,因为即使核心功能是双通道,子系统PS/VM 也只是单通道。尽管如此,该电路的双通道部分还是非常出色的。
变速驱动器的核心功能由具有6 个PWM 输出的uP 实现。 PWM 输出控制3 个H 桥(高侧3 个MOSFET,低侧3 个MOSFET),以斩波直流电压并产生电机的三相励磁。
实施STO 的第一个通道有一个标记为STO-A 的输入,并在进入uP 之前通过光耦合器馈送。在uP 中,它会消除6 个PWM 信号,这些信号本身就足以阻止电机旋转。
实施STO 的第二个通道有一个标记为STO-B 的输入,并再次通过光耦合器馈电,但在这种情况下,它通过切断光耦合器的5V 电源来消除运动电源,并完全避免uP。根据ISO 13849-2:2012,断电是一项“基本安全原则”。
因此,该电路有两个不同的通道,一个直接杀死PWM信号,另一个通过断电间接杀死PWM信号,这对随机源和系统故障源提供了良好的保护。
实际上,将3RD 通道作为第一个通道也消除了高端光耦合器的电源,但通常为了机器安全,没有提及3RD 通道,因为ISO 13849 无法解释它。每个通道都有一个标记为DIAG_A 和DIAG_B 的诊断信号,该信号被反馈到uP,以便uP 知道电源已被移除,并且uP 生成STO-FB 作为输出,然后可以将其用作外部PLC 的输入。
在评论该电路之前,我应该提到,我曾经并且仍然是制定IEC 22-12-61800:5 标准的IEC SC2G/MT 2016 的成员,我希望我没有见过的同事能够五年来一切顺利。 5年后,今年可能会有更新,但考虑到IEC 61508没有改变,并且再过2年也不会改变,那么我猜IEC 61800-5-2在那之后就会得到确认。
无论如何,对电路的一些评论:
评论1 我希望看到电路中使用数字隔离器而不是光耦合器。数字隔离器是光耦合器的替代方案,它使用构建在IC 电路顶部的小型变压器,并将信号耦合到聚酰亚胺绝缘层上。数字隔离器通常比光耦合器更快、更可靠(光传输不会像光耦合器那样随着时间的推移而退化)并且消耗更少的功率,并且现在有自己的IEC 标准IEC 60747-17:2020。新标准很好,因为在此之前他们已经通过了光耦合器标准认证。由于它们基于标准CMOS 技术,因此可以向数字隔离器添加附加功能和特性。例如,ADuM1310 有3 个隔离通道,ADuM4150 可用于隔离具有3 个正向通道和1 个反向通道的SPI 接口,而ADuM4135 只有1 个通道,但具有电机控制的特定功能。
虽然附件B 示例中从光电器件到数字隔离器没有变化,但IEC 61800-5-2 D.3.13 也被修改为“信号隔离元件”而不是光耦合器,因此之前仅适用于光耦合器的栅极。极端的故障排除现在也适用于数字隔离器。
下图显示了基于磁的隔离的工作原理,在这种情况下,有三个芯片,中间的芯片不包含有源电路。在某些情况下,只有两人死亡。
图4 - iCoupler 电路图显示一个封装中包含3 个芯片
评论2 目前尚不清楚如果使用标准uP,分析通道1 有多容易。 ADSP-CM407 等UC 具有专用的PWM_TRIP 输入,该输入可独立于uC 中运行的任何软件来禁用PWM 输出,并且不通过任何存储元件。对于标准uC,可能不清楚信号在uP/uC/DSP 中采用的路径。将可编程软件排除在安全功能之外总是有利的,因为系统中的安全相关软件会产生另一组问题。
如果使用ADuM1310 或类似器件而不是光耦合器,另一种可能性是将STO-A 连接到ADuM1310 而不是uP 的禁用输入。这使得uP 不再具有安全功能(诊断除外)。
注释3 虽然通道之间的多样性很好,但它可用于使STO 输入之一为高电平有效,另一个为低电平有效。许多数字隔离器都可以通过这种方式轻松设置。也许3 个光电器件(2 个输入和1 个输出)可以用单个数字隔离器(如ADuM1311)替换。
注释4 核心功能是两个通道,而功率监视器是一个具有诊断功能的通道。如果SFF 大于或等于99%,则可以满足SIL 3 的要求,并且满足ISO 3-13849 对CAT 1 的要求,但ISO 10218(机器人安全)特别要求SIL 1 或PL d 的HFT=2 CAT 3 ?
否则,电源电路看起来不错,请使用保险丝来防止过流,并在电源电压超出规格时消除所有下游电源。这实现了IEC 61508-2:2010 表A.9 中所述的“安全关断电压控制(次级)”,允许SFF 声明高达高(99%)。 LTC 4365 或ADM1169 等电源监控器件可以实现此功能。正如之前博客中提到的,ADM1169 还能够实现分辨率低至uP mS 的窗口看门狗定时器。
注5 当至少一个STO 输入有效并且uP 在通道2 中检测到诊断故障时,电路应停止电机。但是,如果在通道1 中检测到故障,则不能保证关闭,因为uP 是通道的一部分1 并且可能是故障源,因此不能依赖它使系统进入安全状态。
总而言之,这是一首出色的曲目,如果有的话,我的批评只能表明这一点。 IEC 61800-5-2 中的电路分析还附带了一个有趣的马尔可夫分析示例。
图6 - 符合IEC 61800-5-2:2016 的安全功能
在以后的博客中,我可能会讨论IEC 61800-5-2 中的其他安全功能,包括两个附加的停止功能,它们使用驱动功能来实现更快的停止时间以及与速度和位置相关的安全功能。
审稿编辑:郭婷