变速驱动器中的机器安全功能

电子设备安全功能的一般原则

本博客介绍了在机械安全功能中使用变速驱动器。它旨在帮助那些熟悉交流逆变器驱动但对安全相关控制系统不太熟悉的人。它应该有助于读者理解原理并继续访问大量关于安全相关系统的详细资料。

术语“功能安全”适用于电气、电子或可编程设备用于执行影响人类安全的功能。这是一个巨大的话题，其中包括各种应用，例如铁路信号和大型加工厂的监控，在这些应用中，许多人在发生事故时可能处于危险之中。然而，在驱动应用中最常见的是指某种机械，其中控制系统可用于防止人员因机械操作而面临受伤风险的情况。一个简单的例子是安全栅，它需要经常打开才能接触到部分机器，但是当它打开时机器一定不能操作。可以设计一个传感器和执行器系统来检测障碍物的状态并控制机器。

随着 PLC 和数字 VSD 等智能可编程设备的可用性，安全系统可以比本示例更加灵活和智能，在保持安全的同时允许灵活操作。例如，当障碍物打开时，可能允许以降低的速度继续操作，这可能取决于有资格的人员操作特殊的安全钥匙，或者当该人的面部被识别时，或其他一些预防措施。

故障模式

安全功能的关键因素是功能的可靠性必须大大优于简单的电气、电子或可编程设备所能实现的可靠性。无论传统电气或电子电路的质量如何，都会出现一些组件故障，导致其无法执行所需的安全功能，但故障不会变得明显。因此，用于安全功能的硬件必须设计为内置自测试或“故障安全”功能。在产品开发期间，必须在故障模式和影响分析 (FMEA) 和潜在危险的故障模式中分析硬件故障的影响必须通过设计将其降低到非常低的水平。完整性等级 SIL3 的 PFHD（危险方向的故障概率）的典型目标是 10 ^-8 每小时，即故障率低于每 10,000 年一次。如此低的故障率总是需要电子控制系统中的特殊结构。请注意，我们指的是在设备的预期工作寿命期间发生的随机故障，而不是预期寿命。在系统预期寿命内具有已知磨损机制的部件可以通过计划维护来管理。

控制结构

在涉及驱动器的大多数应用中，固定机器的安全性正在得到解决，最常见的选择是使用两个独立的通道来实现安全功能，并安排交叉检查，以便在出现差异时驱动器停止，即驱动扭矩停止。在大多数机器中，这会导致安全状态。对于像起重机这样可以在没有驱动的情况下在重力下移动的机器，必须采取措施确保在驱动扭矩消失时不会造成危险。

图 1 展示了一个基本的双通道安全系统，也称为“二选一”或 1oo2 系统，这意味着如果两个通道之一请求停止，则机器停止。这是机械安全控制系统最常见的布置。传感器或信号调理处理器的故障不会导致安全功能的丧失。请注意，图 1 仅为功能图，输出端的“与门”不是简单的逻辑芯片，因为如果逻辑芯片发生故障，则会引入单点故障机制。可以是驱动器上的双通道STO输入，也可以是其他消除单个设备共因故障的方法。

以灰色显示的诊断功能通常是确保持续安全所必需的，因为没有它，虽然一个通道中的故障不会导致安全功能失效，但机器可能会无限期地继续运行，而其中一个通道处于不安全状态状态。第二次失败将导致危险情况。

图1：二选一控制结构

软件/固件

使用运行固件和软件的嵌入式处理器为功能安全引入了一个新维度。该软件没有随机故障，但其复杂性意味着很难确保它在所有条件和事件序列下都能按预期运行。这不能通过将整个系统作为“黑匣子”进行测试来证明——软件必须用定义明确的语言编写，并采取措施避免编码错误，并在模块中精心构建，每个模块都可以指定和测试步。还必须证明模块不会受到处理器系统中其他活动的不利影响，如果其他非安全代码在同一处理器上运行，这很困难。

创建清晰明确的规范、测试计划和完整记录过程的必要原则既适用于编写代码，也适用于设计完整的系统。

对软件质量的一个重要控制是将“有限可变性语言”（LVL）与“完全可变性语言”（FVL）区分开来。 LVL 仅限于以有限的方式配置具有明确定义的功能的预先批准的模块，以便可以通过简单的顺序测试程序测试结果。 LVL 将使用 FVL（如 C++ 等）创建，该 FVL 经过了完整严格的设计过程，然后被 LVL 程序员锁定，无法访问。

可以轻松更改软件还意味着必须有一个安全的版本控制系统，包括防止未经授权的更改。

驱动应用程序

许多安全功能包括简单的序列和输入到控制输出的组合，可以在具有特殊功能的 PLC 中实现，以防止硬件故障和软件错误造成的危险，即“安全 PLC”。然而，在某些应用中，驱动器特别适合经济高效地实现此类功能：

• 驱动预防——逆变器驱动具有独特的特性，适合安全链的最后一环，即在需要时防止电机产生扭矩，具有非常高的完整性。这被定义为安全扭矩关闭 (STO)。
• 以绝对值或相对值（例如位置增量）限制运动范围，包括扭矩、加速度、速度、方向或位置。驱动器控制这些变量，并且通常对它们进行准确和快速响应的测量，例如通过轴或位置编码器，或者可能通过观察电机电压和电流的行为。如果这些驱动相关功能与机器传感器（例如门开关和钥匙开关）输入的一些简单组合和时序逻辑相结合，则可以实现一大类安全应用。

机械控制系统安全相关部件标准

需要对安全系统设计进行严格的管理和实施，这意味着相关的国际标准复杂而密集。在本说明中，我们将只了解与机械安全最相关的标准的一些关键特征。

国际标准以 ISO 或 IEC 为前缀。欧洲 CENELEC 标准以 EN 为前缀。我们将在这里查看 EN 版本，国际表格使用相同的数字和不同的前缀。 EN 版本具有 EC 机械指令协调标准的地位。

EN ISO 12100 描述应如何进行机械风险评估，从而在必要时将安全功能分配给控制系统。这是正确设计安全相关控制的必要前提，是机器设计人员的责任。

EN 61800-5-2 是电力驱动系统功能安全的标准。它定义了许多特别适用于驱动器的功能[1]，称为“指定的安全子功能”，例如安全扭矩关闭 (STO)、安全限速 (SLS) 等。完整的安全功能由 SIL 衡量，其值可以为 1（最低）到 3。由于驱动器是完整的安全相关控制系统的子系统，因此称为其“SIL 能力”。

EN 62061 是机器电气/电子/可编程控制系统的标准，使用与 EN 61800-5-2 相同的 SIL 指标

EN ISO 13849-1 是机器控制系统的标准，包括非电气系统。它使用不同的度量标准，即性能级别 (PL) 和类别（从 B 到 4）。补充标准 EN ISO 13849-2 涵盖“验证”，其中包括需要考虑哪些故障以及可以忽略哪些故障的指导（“故障排除”）。

EN 61508- 是许多安全相关电气/电子/可编程系统标准化的基础 # 系列，第 1 到 7 部分。这些标准本身并不是统一标准，因为它们涵盖了所有系统，而不仅仅是机器的控制系统。

安全完整性等级

给定安全功能所需的 SIL 或 PL 与该功能必须减轻的风险程度相关，即可能受伤的概率和严重程度。决定这一点的过程始于对机器的风险评估，这在 EN ISO 12100 中有描述 . EN 62061 中给出了获得所需 SIL 或 PL 的规则 和 EN ISO 13849-1 .

逆变器驱动器 (STO) 中的安全转矩关闭

驱动器可以提供的最基本的安全功能是 STO。控制感应电机的逆变器驱动器特别适合此功能，因为逆变器功率级必须通过复杂且控制良好的 PWM 开关模式持续激活，以在电机中产生任何扭矩。图2说明了逆变器的基本功率结构。

图2：直流环节逆变器的基本功率结构

电机需要一个旋转磁场来产生扭矩，该扭矩只能由六个功率晶体管按照复杂且定义明确的开关模式产生，该开关模式在输出端产生三相电压。在没有这种控制模式的情况下，由于逆变器的电源是直流电源，因此逆变器电源电路中不会出现容易引起转矩的故障。如图 2 中的红色箭头所示，最坏的情况是两个逆变器支路的相反极中的两个晶体管意外导通。在这种情况下，一个高不受控制的电流将在一个电机相中流动，直到任一过流保护方案运行或逆变器损坏（输入保险丝或断路器清除）。这些都不会产生旋转磁场，因此不会产生扭矩。

在永磁体或磁阻电机的情况下，这种最坏情况下的故障会导致暂时的校准扭矩，直到保护装置运行。在极限情况下，永磁电机可以旋转一个极距，磁阻电机可以旋转半个极距。

逆变器功率级和驱动器 STO 控制输入之间的接口必须设计为保持非常低的不安全故障概率，这意味着复杂的 PWM 控制模式会无意中传递到逆变器晶体管。通常，该布置使用某种“故障安全”技术，就像逆变器本身一样，各种组件故障都会导致“启用”命令的丢失。可能有两个独立的通道，以便STO功能可以很容易地连接到一个双通道安全控制器。

更高级的驾驶安全功能

大多数其他驱动器指定的安全功能都需要对电机电流和/或速度等数据进行一些分析。这通常在微控制器中实现，第二个控制器不断交叉检查输入和输出数据以及处理器动作，如如图 3 所示。检测到差异的结果总是通过 STO 功能禁用驱动器。

通过具有交叉检查的两个通道，将危险方向上的硬件故障概率降低到可容忍的水平。诸如开关之类的输入设备被复制以允许检测简单的“卡在”错误，并且可以为它们提供多样化的电脉冲，以便可以检测到通道之间更细微的潜行故障。基本增量轴编码器具有一个有用的固有特性，可以检测到大多数故障，因为两个脉冲轨道具有 90° 相移，这意味着大多数错误会导致无法检测到的脉冲序列。数字输出通过常规测试脉冲进行检查，这些测试脉冲测试有意保持在高（真）逻辑状态的输出是否仍然能够变低 - 有时称为 OSSD 输出。

通过定义安全功能的精确要求并跟踪其实施、测试和文档记录的最严格流程，将系统故障（即设计中的固有故障）的概率降低到可容忍的水平。

完整的机器和安全组件

必须为每个单独的应用程序遵循指定和跟踪安全功能的严格过程，机械设计师对此负有最终责任。如果将具有功能安全特性的驱动器用作设计的一部分，那么它就会成为安全组件，其自身的安全要求规范和认证将成为完整系统文档的一部分。

在欧盟，这一要求以机械指令 2006/42/EC 的形式嵌入法律，其中包括对单独投放市场的安全组件的定义和要求。在实践中，这通常意味着具有安全功能的驱动器带有由独立的政府批准的公告机构颁发的 EC 型式检验证书，以允许其用于机器的安全相关控制系统。如果它具有作为标准内置的 STO 功能，因此它可能会或可能不会用作安全组件，则根据机械指令和低电压指令，驱动器必须有两个单独的 EC 制造商声明。