陳凌宇， 鄭杰基， 何愛華， 范大鵬

（國防科技大學(xué) 智能科學(xué)學(xué)院，湖南 長沙 410073）

1 引 言

伺服電機驅(qū)動器作為可編程控制系統(tǒng)的“肌肉”，是實現(xiàn)制造裝備精確、快速、高效運動的核心基礎(chǔ)部件，廣泛應(yīng)用于航空航天、武器裝備、能源、交通等先進裝備制造業(yè)中［1-3］。由于直接驅(qū)動和控制機械部件，伺服驅(qū)動器的安全性成為保證操作人員人生安全和設(shè)備資產(chǎn)安全的關(guān)鍵。設(shè)計和開發(fā)安全功能集成的伺服驅(qū)動器，保證生產(chǎn)過程安全、可靠、穩(wěn)定，成為制造裝備發(fā)展的迫切需求［4］。

傳統(tǒng)的安全設(shè)計方法主要采用故障診斷和冗余容錯方式提升系統(tǒng)可靠性。通過對伺服系統(tǒng)中電機［5］、逆變器［6］、傳感器［7］等關(guān)鍵部件的故障診斷，提高系統(tǒng)危險監(jiān)測能力。再采用多核CPU冗余架構(gòu)［8］、多項腳冗余逆變器［9］、多相容錯伺服電機［10］等冗余設(shè)計方法增加硬件裕度，在故障發(fā)生時進行容錯控制，提高伺服驅(qū)動器的可靠性。硬件冗余的方式可提高伺服驅(qū)動器的可靠性，但也對安裝空間與成本提出了更高的要求。分析冗余不依賴硬件，通過系統(tǒng)內(nèi)部參數(shù)之間的關(guān)聯(lián)對故障部件參數(shù)進行估計，實現(xiàn)容錯控制［11］，主要方法包括基于模型殘差的診斷與容錯［12］、基于觀測器的參數(shù)估計［13］等。上述方法能夠準確定位故障并通過冗余實現(xiàn)容錯控制，但適合于系統(tǒng)參數(shù)已知或固定的專用系統(tǒng)，無法在多場景中快速實現(xiàn)安全功能重構(gòu)。此外，國際電工委頒布了調(diào)速電氣傳動系統(tǒng)功能安全規(guī)范IEC61800-5-2，為伺服驅(qū)動器安全功能集成提供了標準化的通用解決方案［14］。大量研究針對IEC61800-5-2安全功能集成問題進行探討。陳小全等針對安全轉(zhuǎn)矩截止（STO）不能安全輸出的問題，提出了一種1oo3D的STO硬件結(jié)構(gòu)，安全完整性等級可達SIL3級［15］。AISHWARYA B等提出了一種STO與安全制動控制（SBC）相結(jié)合的硬件架構(gòu)，有效解決了電機懸掛負載時STO無法安全停止的問題［16］。LIU等將安全停車1（SS1）功能與EtherCAT總線通信結(jié)合，可通過總線數(shù)據(jù)配置實現(xiàn)SS1功能［17］。上述研究主要針對IEC61800-5-2中STO，SBC，SS1等少數(shù)幾個安全功能，沒有系統(tǒng)性地全面分析，不能滿足伺服驅(qū)動器對通用化、可配置的安全功能集成需求。

為了實現(xiàn)伺服驅(qū)動系統(tǒng)安全集成設(shè)計，本文首先對伺服驅(qū)動器實現(xiàn)原理進行分析，為后文安全集成設(shè)計提供理論依據(jù)。在伺服驅(qū)動器的基本架構(gòu)上，分析了部件失效的類型及原因，建立了由內(nèi)部參數(shù)約束的安全運行區(qū)間。再針對功能安全集成問題，深入分析IEC61800-5-2建議的17項安全功能，在典型的伺服驅(qū)動器結(jié)構(gòu)基礎(chǔ)上設(shè)計了冗余的安全相關(guān)硬件系統(tǒng)，提出了一種基于對象字典的可配置的安全邏輯集成設(shè)計方法。最后，搭建實驗平臺并構(gòu)造典型的安全邏輯，驗證了安全集成保護功能的有效性。

2 伺服驅(qū)動器原理

伺服驅(qū)動器是一類通過控制伺服電機電磁場將電能轉(zhuǎn)化為機械能，達到對伺服電機及負載進行精確的轉(zhuǎn)矩、速度、位置閉環(huán)控制的設(shè)備。永磁同步電機（Permanent Magnetic Synchronous Motor， PMSM）是一種性能優(yōu)越且應(yīng)用廣泛的伺服電機類型。

2.1 PMSM驅(qū)動的數(shù)學(xué)模型

PMSM的驅(qū)動過程主要描述在磁場定向控制（Field-oriented Control， FOC）下，PMSM內(nèi)部電流、電壓、轉(zhuǎn)矩和轉(zhuǎn)子角度的變化過程。驅(qū)動控制數(shù)學(xué)模型由PMSM定子電壓方程、轉(zhuǎn)矩輸出方程、運動學(xué)方程以及閉環(huán)控制器模型構(gòu)成。

在三相靜止坐標系下，PMSM各參數(shù)存在較強的耦合關(guān)系，需要通過坐標變換方式將三相靜止坐標系變換為d-q軸旋轉(zhuǎn)坐標系，變換方法如下：

其中：Ud，Uq分別為d-q軸電壓，Ua，Ub，Uc分別為PMSM三相電壓。

由此得到PMSM在同步旋轉(zhuǎn)坐標系下數(shù)學(xué)模型如下：

其中：Ia，Ib，Ic為PMSM三相電流，R為定子電阻，Id，Iq分別為d-q軸電流，Ld，Lq分別為等效的d-q軸定子電感，we為電角速度，ψf為永磁體磁鏈，Tm為電機輸出轉(zhuǎn)矩，Pn為永磁體極對數(shù)，J為轉(zhuǎn)動慣量，B為阻尼系數(shù)，TL為負載轉(zhuǎn)矩，ωe為機械角速度。

閉環(huán)控制模型主要描述了FOC控制下的電流、速度、位置閉環(huán)結(jié)構(gòu)。以Id=0的控制策略為例，閉環(huán)控制模型結(jié)構(gòu)原理如圖1所示。圖中，Gp（s），Gv（s），GIq（s），GId（s）分別為位置環(huán)、速度環(huán)、d軸及q軸電流環(huán)控制器，工程中常用PI結(jié)構(gòu)實現(xiàn)。

圖1 FOC閉環(huán)控制原理Fig.1 Schematic diagram of FOC closed-loop control

2.2 PMSM驅(qū)動器硬件構(gòu)成

典型的PMSM伺服驅(qū)動系統(tǒng)硬件架構(gòu)如圖2所示，主要由電源轉(zhuǎn)換模塊、外部信號輸入接口、總線接口、控制器模塊、逆變器模塊和傳感器接口電路構(gòu)成。各模塊功能如下：

（1）電源模塊將外部輸入的功率電進行穩(wěn)壓和補償后提供逆變器穩(wěn)定的母線電源。

（2）外部信號輸入接口接收作為伺服指令的數(shù)字量PWM信號以及模擬電壓信號，也包括外部限位開關(guān)、使能、安全輸入等信號。

圖2 典型伺服驅(qū)動系統(tǒng)硬件架構(gòu)原理Fig.2 Hardware architecture schematic of typical servo drive system

（3）總線接口模塊用于建立與外部控制器總線通信的物理層硬件模塊。

（4）控制器模塊主要用于外設(shè)接口信號進行采集與數(shù)據(jù)處理；閉環(huán)控制算法運行，及逆變器模塊開關(guān)控制。

（5）逆變器模塊將控制器模塊輸出開關(guān)信號轉(zhuǎn)化為電機控制所需功率信號。

（6）傳感器接口提供驅(qū)動和控制過程中所需的各相電流及電壓傳感器、電機編碼器、負載編碼器、母線電壓及電流傳感器電氣接口。

2.3 PMSM驅(qū)動器軟件功能

根據(jù)驅(qū)動器硬件架構(gòu)與數(shù)學(xué)模型，在控制器模塊中集成PMSM驅(qū)動控制算法軟件，是實現(xiàn)伺服控制功能的重點。軟件的主要功能圍繞三環(huán)控制器的實現(xiàn)展開，包括指令輸入外部信號輸入采集、通信處理、反饋傳感器信號處理、三環(huán)控制算法和安全保護。

圖3 驅(qū)動器控制軟件功能框圖Fig.3 Functional block diagram of driver control software

典型的伺服驅(qū)動模塊控制軟件結(jié)構(gòu)如圖3所示，主要包括指令處理功能模塊、反饋處理功能模塊和三環(huán)控制功能模塊。指令處理功能模塊用于對外部輸入的脈沖指令、模擬量指令和通信指令信號進行信號調(diào)理，并轉(zhuǎn)化為具有實際物理單位的控制指令。特別是在模擬量信號處理時，需進行漂移補償、濾波等處理來避免干擾。反饋處理功能模塊將對電流傳感器和編碼器信號進行采集和處理，轉(zhuǎn)換為閉環(huán)控制所需要的電流、速度和位置信號。三環(huán)控制功能模塊根據(jù)驅(qū)動器工作模式的不同以及指令與反饋信號來實現(xiàn)閉環(huán)控制功能。

基本的三環(huán)控制器一般采用“PI+前饋+指令濾波”的控制結(jié)構(gòu)。通過PI達到無靜差控制效果，前饋環(huán)節(jié)提高系統(tǒng)動態(tài)響應(yīng)速度，指令濾波用于減小外部噪聲干擾。然而，由于驅(qū)動控制過程中電機反電動勢沖擊、摩擦不均或質(zhì)心偏離導(dǎo)致的轉(zhuǎn)矩擾動、負載機械結(jié)構(gòu)共振等條件的影響，基本的三環(huán)控制器無法提供多參數(shù)干擾作用下伺服電機的高性能控制。因此，三環(huán)控制器還需要集成加減速規(guī)劃、摩擦補償、振動抑制等功能模塊，提高伺服驅(qū)動器在復(fù)雜場景中的適用性。

3 伺服驅(qū)動模塊失效檢測功能

由于工業(yè)現(xiàn)場復(fù)雜和惡劣的環(huán)境條件，驅(qū)動器中各元件隨機硬件失效、電氣連接失效、負載故障等因素都會導(dǎo)致驅(qū)動器閉環(huán)控制功能異常，引發(fā)安全事故。

3.1 失效模式

伺服驅(qū)動器的主要功能是根據(jù)外部指令以及傳感器反饋信息，對伺服電機及負載進行閉環(huán)控制。參與閉環(huán)的指令、反饋、運算、負載等任何一個環(huán)節(jié)失效，都會破壞閉環(huán)回路正常運行，可能引發(fā)電機及負載失控。

根據(jù)圖2所示的伺服驅(qū)動系統(tǒng)硬件架構(gòu)及模塊分類，從伺服驅(qū)動閉環(huán)控制功能實現(xiàn)的角度出發(fā)，分析各模塊失效原因及其對系統(tǒng)影響方式，可明確驅(qū)動器的失效模式。對于系統(tǒng)各模塊，外部信號輸入模塊和總線接口模塊提供了閉環(huán)控制所需的指令信息。傳感器模塊提供了閉環(huán)控制所需的電流、速度、位置反饋信息?？刂破髂K根據(jù)指令和反饋信息進行控制算法運算，輸出閉環(huán)控制器運算結(jié)果。逆變器模塊將控制器模塊輸出的閉環(huán)控制結(jié)果轉(zhuǎn)化為伺服電機控制所需的功率信號。伺服電機及負載是閉環(huán)控制的最終對象，根據(jù)指令實現(xiàn)相應(yīng)運動。電源模塊則提供了閉環(huán)控制運行的基本電源條件。

根據(jù)以上分析，系統(tǒng)各模塊的失效模式及后果影響如表1所示。

表1 伺服驅(qū)動器的失效模式Tab.1 Failure modes of servo drive

3.2 安全運行區(qū)間設(shè)計

理論上，冗余的硬件電路能夠有效失效導(dǎo)致的危險，但這導(dǎo)致成本增加、安裝空間受限等問題。設(shè)計高診斷覆蓋率的安全診斷方法成為解決驅(qū)動器危險失效的有效方法。

有效的指令輸入、正確的傳感器反饋、合適的控制器參數(shù)、符合工況的負載狀態(tài)是閉環(huán)系統(tǒng)正常運行的前提條件。根據(jù)FOC控制原理，對系統(tǒng)關(guān)鍵的內(nèi)部參數(shù)進行監(jiān)控，建立參數(shù)的安全運行區(qū)間，一旦狀態(tài)參數(shù)偏離安全區(qū)間則進行緊急保護。安全監(jiān)測功能原理如圖4所示。

圖4 驅(qū)動器安全診斷軟件功能原理Fig.4 Schematic diagram of drive safety diagnostic software function

圖4中，安全監(jiān)測軟件主要由接口信號合理性監(jiān)測、傳感器信號合理性監(jiān)測、通信周期監(jiān)測、電源狀態(tài)參數(shù)監(jiān)測、逆變器與電機狀態(tài)參數(shù)監(jiān)測、閉環(huán)狀態(tài)監(jiān)測等模塊構(gòu)成。

3.2.1外部接口信號合理性監(jiān)測

該模塊從信號邏輯和信號物理意義上對外部脈沖和模擬電壓輸入的合理性進行診斷。外部脈沖信號作為驅(qū)動器位置模式指令輸入，通常為兩路相位差為90°的差分正交脈沖信號。其脈沖個數(shù)表示位置增量，脈沖頻率表示速度，兩路脈沖超前滯后關(guān)系表示位置增量的方向。外部模擬量電壓，通常作為驅(qū)動器轉(zhuǎn)矩、速度模式指令，采用單位電壓對應(yīng)轉(zhuǎn)矩或速度作為增益。因此，這兩類信號應(yīng)滿足如下信號特征約束：

（1）脈沖的差動輸入信號呈現(xiàn)邏輯上的相反關(guān)系；

（2）脈沖頻率小于驅(qū)動器硬件可及的最大采樣頻率；

（3）正交兩路脈沖相位差應(yīng)為90°；

（4）模擬信號輸入電壓幅值應(yīng)在驅(qū)動器硬件的檢測范圍內(nèi)（通常為±10 V）。

此外，脈沖頻率f、模擬電壓幅值A(chǔ)所代表的指令速度和指令轉(zhuǎn)矩應(yīng)小于電機的峰值轉(zhuǎn)速和峰值轉(zhuǎn)矩。指令約束條件如下：

其中：N為編碼器位數(shù)，Vmax為電機的峰值轉(zhuǎn)速，Gvel為單位電壓對應(yīng)的轉(zhuǎn)速增益，Tmax為電機的峰值轉(zhuǎn)矩，Gtor為單位電壓對應(yīng)的轉(zhuǎn)矩增益。

3.2.2傳感器信號合理性監(jiān)測

該模塊主要對電流傳感器、編碼器信號的合理性進行診斷。以線型霍爾電流傳感器和增量式編碼器為例，傳感器原始信號應(yīng)滿足如下信號特征約束：

（1）線型霍爾傳感器電壓信號應(yīng)滿足驅(qū)動器硬件檢測范圍且連續(xù)變化；

（2）編碼器差動信號呈現(xiàn)邏輯上的相反關(guān)系；

（3）編碼器A相與B相的相位差為90°；

（4）編碼器A相與B相計數(shù)達一圈時Z相應(yīng)產(chǎn)生一次脈沖。

傳感器信號真實反映電機狀態(tài)，不應(yīng)進行過多約束。但是，編碼器反饋的速度Vf應(yīng)小于電機峰值轉(zhuǎn)速，加速度af應(yīng)小于系統(tǒng)的最大加速度amax，且反饋位置Pf應(yīng)處于軟件限位中。約束條件如下：

其中Plimit和Nlimit分別為正負軟件限位位置。

3.2.3通信周期監(jiān)測

該模塊用于監(jiān)控和診斷通信周期是否超時?，F(xiàn)場總線具有完善的數(shù)據(jù)校驗機制，誤碼率能夠得到一定的保障。通信周期監(jiān)測主要對通信行為的異常進行診斷。因此，驅(qū)動器接收相鄰兩次通信幀的實際間隔時間tca與設(shè)定的通信周期tcs應(yīng)滿足如下關(guān)系：

3.2.4電源狀態(tài)參數(shù)監(jiān)測

該模塊用于檢測和診斷母線電壓、控制電壓和母線電流的工作狀態(tài)。母線電壓Vdc應(yīng)大于電機要求的轉(zhuǎn)速下產(chǎn)生的反電動勢，以保證電機具有正常的速度輸出。母線電壓不應(yīng)高于電機或功率器件所能承受的最大電壓，否則可能導(dǎo)致電機或功率器件損壞?？刂齐妷篤ctr是提供板載IC的工作電壓，應(yīng)該根據(jù)IC對電源波動范圍進行約束，波動范圍一般不超過5%。母線電流Ibus根據(jù)功率器件的開關(guān)狀態(tài)反映各相電流值，由于電機的感性負載特性，母線電流不會超過各相的峰值電流。則電源狀態(tài)參數(shù)的安全區(qū)間如下：

其中：VDSS為功率器件漏源擊穿電壓，Vmmax為電機繞組的最大電壓，Ke為電機的反電動勢系數(shù)，Vr為電機工況要求的轉(zhuǎn)速，VIC為電路板芯片所要求的工作電壓，Ipeak為電機的峰值電流。

3.2.5逆變器及電機狀態(tài)參數(shù)監(jiān)測

該模塊主要通過相電流、溫度傳感器狀態(tài)以及功率管開關(guān)狀態(tài)對逆變器和電機狀態(tài)進行監(jiān)測和診斷。逆變器功率器件參數(shù)受溫度影響較大，高溫會導(dǎo)致其最大漏源電流Ids變小，一旦實際通過電流超過Ids則會損壞功率器件。根據(jù)功率器件數(shù)據(jù)手冊可以得到Ids隨溫度T的變化函數(shù)F（T）。該函數(shù)可計算功率器件在電機峰值電流時的溫度閾值。因此，功率器件的溫度約束如下：

其中：Tf為溫度傳感器的反饋溫度，Tth為提供電機峰值電流的溫度閾值。

在三相全橋電路中，功率器件通過控制8個狀態(tài)矢量狀態(tài)時間合成電機控制所需的電壓矢量。各矢量狀態(tài)下相電壓Vas，Vbs，Vcs的關(guān)系如表2所示。

表2 各矢量狀態(tài)下相電壓關(guān)系Tab.2 Phase voltage relationship in each vector state

此外，各相電流應(yīng)小于電機峰值電流，且在電機三相負載平衡條件下各相電流之和為0。各相電流的約束關(guān)系如下：

3.2.6閉環(huán)狀態(tài)監(jiān)測

該模塊通過監(jiān)測指令條件和反饋狀態(tài)，來診斷閉環(huán)控制過程中電機電流、速度、位置與指令是否偏差過大。在各模式下指令反饋偏差過大的原因為控制器參數(shù)設(shè)定不合理、驅(qū)動器輸出能力不夠、負載結(jié)構(gòu)卡死等。根據(jù)實際系統(tǒng)閉環(huán)控制需要設(shè)置合理的轉(zhuǎn)矩閉環(huán)偏差Etor、速度閉環(huán)偏差Evel、位置閉環(huán)偏差Epos和當實際偏差大于設(shè)定值時，電機閉環(huán)質(zhì)量已經(jīng)不能滿足系統(tǒng)需求。

以上分析提供了正常的驅(qū)動控制過程中各模塊參數(shù)的約束范圍及接口信號的約束條件。根據(jù)式（3）～式（9）以及表2對相電壓關(guān)系描述建立驅(qū)動參數(shù)安全運行區(qū)間并形成安全診斷機制，可保證驅(qū)動器安全運行。

4 功能安全集成設(shè)計

IEC61800-5-2標準作為“可調(diào)速電氣傳動系統(tǒng)”的功能安全規(guī)范，提出了安全功能集成要求。通過深入分析IEC61800-5-2規(guī)范要求，構(gòu)建安全相關(guān)系統(tǒng)架構(gòu)，重點對安全功能集成方法進行闡述。

4.1 IEC61800-5-2安全功能分析

通過分析IEC61800-5-2中建議的17項安全功能的作用方式，安全功能可分為安全停止、安全監(jiān)視和安全輸出3類，如表3所示。

表3 IEC61800-5-2建議的伺服驅(qū)動安全功能Tab.3 Servo drive safety functions recommended by IEC61800-5-2

3類安全功能的作用原理如下：通過監(jiān)視功能對電機及驅(qū)動器運動過程中具有安全指示意義的參數(shù)進行監(jiān)控，一旦這些參數(shù)超過設(shè)定的安全范圍，則啟動停止功能保證系統(tǒng)和設(shè)備的安全。此外，安全輸出為外部控制器或執(zhí)行器提供部分參數(shù)的監(jiān)控信息，外部控制單元可根據(jù)安全輸出信號，通過輸入輸出接口或是現(xiàn)場總線的方式啟動驅(qū)動器的停止功能。

4.2 安全相關(guān)系統(tǒng)硬件結(jié)構(gòu)

建立可靠的硬件電路是實現(xiàn)上述安全功能的基礎(chǔ)。通過分析各項功能的實現(xiàn)方式，安全集成硬件的設(shè)計要求歸納如下：

（1）具有可靠的外部輸入接口作為停止功能觸發(fā)源；

（2）具有符合IEC61784-3規(guī)范的安全現(xiàn)場總線傳輸停止功能指令；

（3）具有功能和通道獨立的轉(zhuǎn)矩切斷電路實現(xiàn)STO指令；

（4）具有高可靠的微處理器電路保證安全邏輯的正常實現(xiàn)；

（5）具有可靠的輸出接口保證信號安全輸出；

（6）具有滿足安全完整性等級要求的傳感器保證監(jiān)視功能數(shù)據(jù)源。

限于文章主題和篇幅，本文不對現(xiàn)場總線功能安全以及傳感器可靠性相關(guān)問題進行研究，假設(shè)其安全完整性等級滿足設(shè)計需要。根據(jù)硬件設(shè)計要求，驅(qū)動器安全相關(guān)系統(tǒng)由傳感器及輸入接口子系統(tǒng)、邏輯子系統(tǒng)、最終原件子系統(tǒng)構(gòu)成，其硬件架構(gòu)原理如圖5所示。

圖5 驅(qū)動器安全相關(guān)系統(tǒng)的硬件架構(gòu)原理Fig.5 Schematic diagram of hardware architecture of drive safety-related system

傳感器及輸入接口子系統(tǒng)由輸入接口和滿足安全完整性要求的傳感器輸入接口和總線接口構(gòu)成。輸入接口包括6路相互獨立的隔離輸入電路，提供了停止功能STO，SS1，SS2的外部指令信號輸入接口，并且每一個輸入的停止信號都有A，B兩路獨立的電路通道，提高了硬件裕度。

邏輯子系統(tǒng)采用具有雙MCU內(nèi)核的SoC芯片及最小系統(tǒng)電路，形成1oo2D結(jié)構(gòu)。SoC中兩個MCU采用雙核鎖步與看門狗共同作用的安全手段，通過MCU程序內(nèi)存的相互校驗和外部看門狗定時器，保證其信號處理及算法運行功能的可靠性。此外，各MCU輸出的SVPWM開關(guān)信號通過輸出邏輯與的操作，可保證在任何一個MCU失效后可由另一MCU關(guān)斷三相全橋逆變器功率器件，使STO功能正常實現(xiàn)。

最終，原件子系統(tǒng)是安全相關(guān)系統(tǒng)的最終執(zhí)行單元，用于執(zhí)行安全保護功能。設(shè)計6路相互獨立的輸出隔離電路，實現(xiàn)對SBC，SCA，SSM信號的雙通道輸出。此外，考慮到STO功能是所有安全功能中唯一不進行閉環(huán)控制而直接切斷功率電源與電機關(guān)聯(lián)的功能，獨立且冗余地切斷執(zhí)行電路是功能安全重要保障。因此，在功率電源模塊和三相全橋逆變電路之間設(shè)計功率開關(guān)器件，用STO-A隔離輸入控制逆變電路電源通斷。這種STO方式與MCU通過輸出邏輯關(guān)斷功率器件的STO方式，在電路作用原理和硬件執(zhí)行通道上都具有獨立性。

4.3 基于對象字典的安全功能集成方法

在基于總線的可編程控制系統(tǒng)中，設(shè)計基于總線的可配置安全功能底層模塊是快速實現(xiàn)安全邏輯設(shè)計，滿足不同應(yīng)用場景對安全功能的個性化需求的關(guān)鍵。

根據(jù)表3對IEC61800-5-2中建議的17項安全功能特點，在伺服驅(qū)動器中集成3類安全功能模塊，并將功能參數(shù)映射到對象字典（OD）中，形成基于總線通信的安全功能和邏輯配置架構(gòu)，如圖6所示。

圖6 安全功能架構(gòu)原理Fig.6 Schematic diagram of security function architecture

圖6中，安全停止、安全監(jiān)視和安全輸出3類功能模塊的使能控制、參數(shù)配置、狀態(tài)反饋等參數(shù)全部映射在OD中。主站可通過總線訪問OD，實現(xiàn)對各功能模塊的狀態(tài)讀取與使能調(diào)度。

傳感器反饋信號處理模塊將傳感器采集得到的電機實際位置、速度、轉(zhuǎn)矩、加速度和溫度存放在OD中，作為安全監(jiān)視功能的條件參數(shù)。在系統(tǒng)運行過程中，安全監(jiān)視功能模塊實時對比OD中電機的實際狀態(tài)是否超過設(shè)定安全范圍，并將狀態(tài)存放在OD中。安全輸出功能模塊在電機的實際狀態(tài)滿足OD中參數(shù)配置時，輸出安全狀態(tài)。安全停止模塊根據(jù)OD中對停止方式的要求或控制電機按規(guī)定的軌跡停止，或進行電源切斷實現(xiàn)自由停車。

采用上述方式，主站安全邏輯可根據(jù)OD中安全監(jiān)視功能的某項或多項狀態(tài)來執(zhí)行安全停止或安全輸出功能，從而實現(xiàn)安全功能的總線配置與控制。此外，驅(qū)動器還設(shè)置外部停止信號輸入模塊，也可根據(jù)外部安全電路信號或安全輸出信號實現(xiàn)驅(qū)動器自身的安全保護功能。

三類安全功能模塊的具體實現(xiàn)可結(jié)合前文提出的三環(huán)控制器架構(gòu)。將驅(qū)動器原有的控制軟件結(jié)構(gòu)簡化為簡單的閉環(huán)回路指令處理功能模塊、反饋處理功能模塊和三環(huán)控制功能模塊。在此基礎(chǔ)上集成安全停止、安全監(jiān)視和安全輸出功能模塊，形成如圖7所示的驅(qū)動器安全集成軟件架構(gòu)。

圖7 驅(qū)動器安全集成軟件功能結(jié)構(gòu)Fig.7 Function block diagram of drive safety integrated software

圖7中，安全停止功能模塊（SS1，SS2，SOS）于指令處理功能模塊后端，通過干預(yù)閉環(huán)控制器的指令狀態(tài)，在不切斷電源的情況下通過設(shè)定減速度使電機停止。整個過程中，閉環(huán)控制功能處于有效狀態(tài)。在無安全停止功能觸發(fā)時，該模塊透傳Cmd指令作為三環(huán)控制器的指令輸入。在存在SS1，SS2停止狀態(tài)時，根據(jù)設(shè)置的減速度、延遲時間等參數(shù)進行指令規(guī)劃，產(chǎn)生安全停止指令。此外，設(shè)計安全停止功能模塊（STO）位于三環(huán)控制器的輸出端，用于控制三環(huán)控制器輸出的SVPWM信號。同樣，在無STO要求時透傳SVPWM信號。當需要執(zhí)行STO時，將SVPWM信號全部置0，關(guān)閉逆變器所有功率器件并采用關(guān)閉柵極使能和切斷逆變器電源的方式使電源不能有效作用于電機。

安全監(jiān)視功能模塊通過對傳感器反饋信號的處理得到電機的實時位置、速度、轉(zhuǎn)矩、加速度及溫度。用戶根據(jù)實際系統(tǒng)的應(yīng)用場景和負載特性通過總線對安全監(jiān)視功能中的極限加速度、安全加速度范圍、極限速度、速度范圍、極限轉(zhuǎn)矩、轉(zhuǎn)矩范圍、安全限位、極限增量、安全方向和安全溫度范圍進行配置。當所監(jiān)視的某項參數(shù)或多項參數(shù)超過設(shè)定范圍后，根據(jù)安全邏輯要求啟動安全停止功能使電機停止。

安全輸出功能模塊主要對電機位置和速度是否超過限制狀態(tài)進行實時判斷，當參數(shù)超過限制時輸出安全信號。另外，安全制動控制根據(jù)安全邏輯在停止功能完成后輸出安全信號控制外部制動設(shè)備。

上述基于OD的安全功能模塊化集成方式可根據(jù)各類應(yīng)用場景對安全功能的不同要求靈活設(shè)計安全邏輯，符合伺服驅(qū)動器通用化的使用要求。

5 實 驗

根據(jù)前文對安全集成伺服驅(qū)動器的分析及設(shè)計，以國產(chǎn)京微齊力M7系列SoC芯片為主控MCU，以ROHM公司SCT3060AL碳化硅MOSFET為核心功率器件，開發(fā)了高功率密度伺服驅(qū)動器，如圖8所示。

圖8 自研高功率密度伺服驅(qū)動模塊Fig.8 Self-developed high power density servo drive module

為了驗證本文提出的安全集成方法，搭建了如圖9所示的實驗系統(tǒng)。自研高功率密度伺服驅(qū)動模塊對PMSM進行閉環(huán)控制。PMSM通過聯(lián)軸器與轉(zhuǎn)矩傳感器和磁粉制動器相連，其末端編碼器作為位置和速度傳感器。轉(zhuǎn)矩傳感器用于測量電機實時轉(zhuǎn)矩，磁粉制動器模擬電機負載。筆記本電腦通過仿真器與驅(qū)動器主控芯片相連，用于監(jiān)測并記錄驅(qū)動過程中重要的變量數(shù)據(jù)。

圖9 伺服驅(qū)動器安全集成功能實驗設(shè)備構(gòu)成原理框圖Fig.9 Schematic block diagram of experimental setup of servo drive safety integrated function

根據(jù)圖9搭建實驗測試平臺。采用額定電流為19.5 A的5對極永磁同步電機作為高功率密度驅(qū)動模塊的控制對象。使用電機末端集成2500線增量式編碼器作為速度和位置反饋傳感器。選用輸出轉(zhuǎn)矩為0～6 N·m的磁粉制動器模擬加載情況。實驗測試平臺如圖10所示。

圖10 伺服驅(qū)動器安全集成功能實驗平臺Fig.10 Servo drive safety integrated function experiment platform

由于安全監(jiān)視、安全停止和安全輸出組合形成的安全邏輯數(shù)量過于龐大，無法逐一驗證。本文在驅(qū)動器轉(zhuǎn)矩、速度、位置模式下，分別構(gòu)造典型的安全保護邏輯來驗證安全集成功能的有效性。

5.1 轉(zhuǎn)矩模式STO保護實驗

伺服驅(qū)動器處于轉(zhuǎn)矩閉環(huán)工作模式時，機械負載特性及摩擦力變化可能導(dǎo)致電機持續(xù)加速并超過系統(tǒng)的最大運行速度，產(chǎn)生系統(tǒng)失效。安全保護邏輯設(shè)置如下：當電機的實際轉(zhuǎn)速超過SSR［-100，100］ rad/s后，啟動STO停止功能，保護電機及負載設(shè)備安全。

將伺服驅(qū)動器配置為轉(zhuǎn)矩閉環(huán)模式，初始轉(zhuǎn)矩指令為0 N·m。一段時間后，將轉(zhuǎn)矩指令設(shè)置為0.4 N·m，電機開始運動；穩(wěn)定后，將轉(zhuǎn)矩指令提高到0.8 N·m，電機開始加速運動。整個過程中，電機的實際運行狀態(tài)及STO狀態(tài)如圖11所示?？梢钥闯觯瑃=0.56 s時轉(zhuǎn)矩指令為0.4 N·m，電機的實際轉(zhuǎn)矩與指令轉(zhuǎn)矩曲線重合，電機速度由0逐步上升至約22 rad/s時基本穩(wěn)定。t=2.289 s時，電機的實際轉(zhuǎn)矩跟隨指令轉(zhuǎn)矩變?yōu)?.8 N·m，電機轉(zhuǎn)速開始上升。在t=2.948 s時，電機轉(zhuǎn)速超過SSR的正向范圍100 rad/s。此時，STO狀態(tài)由0跳轉(zhuǎn)到1，啟動STO保護，電機實際轉(zhuǎn)矩迅速降為0并在慣性作用下，速度逐漸下降為0。

圖11 轉(zhuǎn)矩模式STO保護時電機運動曲線Fig.11 Motion curves of motor in torque mode STO protection

5.2 速度模式SS1保護實驗

伺服驅(qū)動器在速度閉環(huán)運行時，由于限位開關(guān)故障可能會導(dǎo)致電機及負載運動范圍超過機械結(jié)構(gòu)允許的行程，對設(shè)備或人員造成危險。安全保護邏輯設(shè)置如下：當電機實際位置超過SLP范圍后，啟動SS1停止功能，電機停止。

設(shè)置SLP為［-50，50］ rad，SS1停止時減速度為5 rad/s2，減速至2 rad/s時啟動STO停止。伺服驅(qū)動器工作在速度閉環(huán)模式，初始速度為0。一段時間后，指令速度設(shè)置為20 rad/s，當電機超過限位后由SS1停止功能保護。整個過程中電機運行參數(shù)曲線如圖12所示。電機從初始時刻進行零速閉環(huán)。在t=1.532 s時，電機速度隨指令增加至20 rad/s。此時，電機位置開始增加，啟動瞬間轉(zhuǎn)矩出現(xiàn)1.8 N·m的尖峰。t=4.03 s時，電機的實際位置超過50 rad，SS1信號變高并以5 rad/s2的減速度進行減速。t=7.63 s時，電機速度降為2 rad/s，STO信號變高并切斷電源使電機停止。

5.3 位置模式SS2保護實驗

圖12 速度模式SS1保護時電機運動曲線Fig.12 Motor movement curves in speed mode SS1 protection

伺服驅(qū)動器在位置閉環(huán)模式時，由于機械結(jié)構(gòu)卡住或負載行程內(nèi)人員誤入可能導(dǎo)致驅(qū)動器因閉環(huán)需要增加轉(zhuǎn)矩，對設(shè)備和人員產(chǎn)生危害。安全保護邏輯設(shè)置如下：當電機實際轉(zhuǎn)矩超過STR范圍時，啟動SS2停止功能，電機停止。

圖13 位置模式SS2保護時電機運動曲線Fig.13 Motion curves of motor in position mode SS2 protection

設(shè)置STR為［-2，2］ N·m，SS2停止時減速度為10 rad/s2，減速至2 rad/s時啟動SOS，使電機保持零速閉環(huán)狀態(tài)。伺服驅(qū)動器上電后，保持當前初始位置閉環(huán)。一段時間后，給定較大的位置指令。在電機向目標位置運行的過程中，利用磁粉制動器瞬間施加大轉(zhuǎn)矩后馬上關(guān)閉。電機在負載劇烈變化且超過STR范圍時，執(zhí)行SS2安全停止保護功能。整個過程中電機的運行狀態(tài)參數(shù)曲線如圖13所示。在t=1.063 s時，位置指令更新為20 rad，電機按最大20 rad/s速度運行到位。t=4.184 s時，位置指令更新為80 rad，電機仍按最大20 rad/s速度運行。t=5.146 s時，電機未運行到位，通過磁粉制動器瞬間施加3 N·m轉(zhuǎn)矩后關(guān)閉。此時，電機實際轉(zhuǎn)矩已經(jīng)超過STR上限2 N·m，SS2信號變高并以10 rad/s2的減速度執(zhí)行SS2安全停止。t=6.946 s時，電機速度降低至2 rad/s，SOS信號變高并以0為指令速度，電機保持停止。

以上3組實驗分別針對電機不同的控制模式下可能發(fā)生危險設(shè)置了安全保護邏輯。實驗結(jié)果驗證了驅(qū)動器安全功能的有效性和驅(qū)動器安全集成方法的可行性。

6 結(jié) 論

本文對自主可控可編程控制系統(tǒng)伺服驅(qū)動模塊的安全設(shè)計問題進行了研究。通過建立PMSM的矢量控制數(shù)學(xué)模型，對典型驅(qū)動控制的硬件結(jié)構(gòu)與軟件功能進行了梳理，明確了伺服驅(qū)動器的實現(xiàn)原理，并據(jù)此對驅(qū)動器各功能模塊失效模式、作用方式以及對系統(tǒng)的影響機理進行了分析。利用驅(qū)動器傳感器信息，提出了各功能模塊安全運行的參數(shù)區(qū)間，形成了系統(tǒng)驅(qū)動器自身模塊失效的安全監(jiān)測方法。此外，將IEC61800-5-2建議的17項安全功能進行了歸納和分類，并根據(jù)各功能實現(xiàn)要求，設(shè)計了冗余的安全相關(guān)硬件結(jié)構(gòu)。采用基于對象字典的安全功能調(diào)度方式，設(shè)計了可通過總線配置和調(diào)度的安全邏輯軟件架構(gòu)，形成了安全集成設(shè)計方法。最后，搭建實驗平臺，構(gòu)造典型的安全保護邏輯，驗證了所設(shè)計的伺服驅(qū)動模塊的安全功能。