安全集成伺服電機(jī)驅(qū)動(dòng)模塊設(shè)計(jì)

陳凌宇， 鄭杰基， 何愛華， 范大鵬

（國防科技大學(xué) 智能科學(xué)學(xué)院，湖南 長沙 410073）

1 引 言

伺服電機(jī)驅(qū)動(dòng)器作為可編程控制系統(tǒng)的“肌肉”，是實(shí)現(xiàn)制造裝備精確、快速、高效運(yùn)動(dòng)的核心基礎(chǔ)部件，廣泛應(yīng)用于航空航天、武器裝備、能源、交通等先進(jìn)裝備制造業(yè)中［1-3］。由于直接驅(qū)動(dòng)和控制機(jī)械部件，伺服驅(qū)動(dòng)器的安全性成為保證操作人員人生安全和設(shè)備資產(chǎn)安全的關(guān)鍵。設(shè)計(jì)和開發(fā)安全功能集成的伺服驅(qū)動(dòng)器，保證生產(chǎn)過程安全、可靠、穩(wěn)定，成為制造裝備發(fā)展的迫切需求［4］。

傳統(tǒng)的安全設(shè)計(jì)方法主要采用故障診斷和冗余容錯(cuò)方式提升系統(tǒng)可靠性。通過對(duì)伺服系統(tǒng)中電機(jī)［5］、逆變器［6］、傳感器［7］等關(guān)鍵部件的故障診斷，提高系統(tǒng)危險(xiǎn)監(jiān)測(cè)能力。再采用多核CPU冗余架構(gòu)［8］、多項(xiàng)腳冗余逆變器［9］、多相容錯(cuò)伺服電機(jī)［10］等冗余設(shè)計(jì)方法增加硬件裕度，在故障發(fā)生時(shí)進(jìn)行容錯(cuò)控制，提高伺服驅(qū)動(dòng)器的可靠性。硬件冗余的方式可提高伺服驅(qū)動(dòng)器的可靠性，但也對(duì)安裝空間與成本提出了更高的要求。分析冗余不依賴硬件，通過系統(tǒng)內(nèi)部參數(shù)之間的關(guān)聯(lián)對(duì)故障部件參數(shù)進(jìn)行估計(jì)，實(shí)現(xiàn)容錯(cuò)控制［11］，主要方法包括基于模型殘差的診斷與容錯(cuò)［12］、基于觀測(cè)器的參數(shù)估計(jì)［13］等。上述方法能夠準(zhǔn)確定位故障并通過冗余實(shí)現(xiàn)容錯(cuò)控制，但適合于系統(tǒng)參數(shù)已知或固定的專用系統(tǒng)，無法在多場(chǎng)景中快速實(shí)現(xiàn)安全功能重構(gòu)。此外，國際電工委頒布了調(diào)速電氣傳動(dòng)系統(tǒng)功能安全規(guī)范IEC61800-5-2，為伺服驅(qū)動(dòng)器安全功能集成提供了標(biāo)準(zhǔn)化的通用解決方案［14］。大量研究針對(duì)IEC61800-5-2安全功能集成問題進(jìn)行探討。陳小全等針對(duì)安全轉(zhuǎn)矩截止（STO）不能安全輸出的問題，提出了一種1oo3D的STO硬件結(jié)構(gòu)，安全完整性等級(jí)可達(dá)SIL3級(jí)［15］。AISHWARYA B等提出了一種STO與安全制動(dòng)控制（SBC）相結(jié)合的硬件架構(gòu)，有效解決了電機(jī)懸掛負(fù)載時(shí)STO無法安全停止的問題［16］。LIU等將安全停車1（SS1）功能與EtherCAT總線通信結(jié)合，可通過總線數(shù)據(jù)配置實(shí)現(xiàn)SS1功能［17］。上述研究主要針對(duì)IEC61800-5-2中STO，SBC，SS1等少數(shù)幾個(gè)安全功能，沒有系統(tǒng)性地全面分析，不能滿足伺服驅(qū)動(dòng)器對(duì)通用化、可配置的安全功能集成需求。

為了實(shí)現(xiàn)伺服驅(qū)動(dòng)系統(tǒng)安全集成設(shè)計(jì)，本文首先對(duì)伺服驅(qū)動(dòng)器實(shí)現(xiàn)原理進(jìn)行分析，為后文安全集成設(shè)計(jì)提供理論依據(jù)。在伺服驅(qū)動(dòng)器的基本架構(gòu)上，分析了部件失效的類型及原因，建立了由內(nèi)部參數(shù)約束的安全運(yùn)行區(qū)間。再針對(duì)功能安全集成問題，深入分析IEC61800-5-2建議的17項(xiàng)安全功能，在典型的伺服驅(qū)動(dòng)器結(jié)構(gòu)基礎(chǔ)上設(shè)計(jì)了冗余的安全相關(guān)硬件系統(tǒng)，提出了一種基于對(duì)象字典的可配置的安全邏輯集成設(shè)計(jì)方法。最后，搭建實(shí)驗(yàn)平臺(tái)并構(gòu)造典型的安全邏輯，驗(yàn)證了安全集成保護(hù)功能的有效性。

2 伺服驅(qū)動(dòng)器原理

伺服驅(qū)動(dòng)器是一類通過控制伺服電機(jī)電磁場(chǎng)將電能轉(zhuǎn)化為機(jī)械能，達(dá)到對(duì)伺服電機(jī)及負(fù)載進(jìn)行精確的轉(zhuǎn)矩、速度、位置閉環(huán)控制的設(shè)備。永磁同步電機(jī)（Permanent Magnetic Synchronous Motor， PMSM）是一種性能優(yōu)越且應(yīng)用廣泛的伺服電機(jī)類型。

2.1 PMSM驅(qū)動(dòng)的數(shù)學(xué)模型

PMSM的驅(qū)動(dòng)過程主要描述在磁場(chǎng)定向控制（Field-oriented Control， FOC）下，PMSM內(nèi)部電流、電壓、轉(zhuǎn)矩和轉(zhuǎn)子角度的變化過程。驅(qū)動(dòng)控制數(shù)學(xué)模型由PMSM定子電壓方程、轉(zhuǎn)矩輸出方程、運(yùn)動(dòng)學(xué)方程以及閉環(huán)控制器模型構(gòu)成。

在三相靜止坐標(biāo)系下，PMSM各參數(shù)存在較強(qiáng)的耦合關(guān)系，需要通過坐標(biāo)變換方式將三相靜止坐標(biāo)系變換為d-q軸旋轉(zhuǎn)坐標(biāo)系，變換方法如下：

其中：Ud，Uq分別為d-q軸電壓，Ua，Ub，Uc分別為PMSM三相電壓。

由此得到PMSM在同步旋轉(zhuǎn)坐標(biāo)系下數(shù)學(xué)模型如下：

其中：Ia，Ib，Ic為PMSM三相電流，R為定子電阻，Id，Iq分別為d-q軸電流，Ld，Lq分別為等效的d-q軸定子電感，we為電角速度，ψf為永磁體磁鏈，Tm為電機(jī)輸出轉(zhuǎn)矩，Pn為永磁體極對(duì)數(shù)，J為轉(zhuǎn)動(dòng)慣量，B為阻尼系數(shù)，TL為負(fù)載轉(zhuǎn)矩，ωe為機(jī)械角速度。

閉環(huán)控制模型主要描述了FOC控制下的電流、速度、位置閉環(huán)結(jié)構(gòu)。以Id=0的控制策略為例，閉環(huán)控制模型結(jié)構(gòu)原理如圖1所示。圖中，Gp（s），Gv（s），GIq（s），GId（s）分別為位置環(huán)、速度環(huán)、d軸及q軸電流環(huán)控制器，工程中常用PI結(jié)構(gòu)實(shí)現(xiàn)。

圖1 FOC閉環(huán)控制原理Fig.1 Schematic diagram of FOC closed-loop control

2.2 PMSM驅(qū)動(dòng)器硬件構(gòu)成

典型的PMSM伺服驅(qū)動(dòng)系統(tǒng)硬件架構(gòu)如圖2所示，主要由電源轉(zhuǎn)換模塊、外部信號(hào)輸入接口、總線接口、控制器模塊、逆變器模塊和傳感器接口電路構(gòu)成。各模塊功能如下：

（1）電源模塊將外部輸入的功率電進(jìn)行穩(wěn)壓和補(bǔ)償后提供逆變器穩(wěn)定的母線電源。

（2）外部信號(hào)輸入接口接收作為伺服指令的數(shù)字量PWM信號(hào)以及模擬電壓信號(hào)，也包括外部限位開關(guān)、使能、安全輸入等信號(hào)。

圖2 典型伺服驅(qū)動(dòng)系統(tǒng)硬件架構(gòu)原理Fig.2 Hardware architecture schematic of typical servo drive system

（3）總線接口模塊用于建立與外部控制器總線通信的物理層硬件模塊。

（4）控制器模塊主要用于外設(shè)接口信號(hào)進(jìn)行采集與數(shù)據(jù)處理；閉環(huán)控制算法運(yùn)行，及逆變器模塊開關(guān)控制。

（5）逆變器模塊將控制器模塊輸出開關(guān)信號(hào)轉(zhuǎn)化為電機(jī)控制所需功率信號(hào)。

（6）傳感器接口提供驅(qū)動(dòng)和控制過程中所需的各相電流及電壓傳感器、電機(jī)編碼器、負(fù)載編碼器、母線電壓及電流傳感器電氣接口。

2.3 PMSM驅(qū)動(dòng)器軟件功能

根據(jù)驅(qū)動(dòng)器硬件架構(gòu)與數(shù)學(xué)模型，在控制器模塊中集成PMSM驅(qū)動(dòng)控制算法軟件，是實(shí)現(xiàn)伺服控制功能的重點(diǎn)。軟件的主要功能圍繞三環(huán)控制器的實(shí)現(xiàn)展開，包括指令輸入外部信號(hào)輸入采集、通信處理、反饋傳感器信號(hào)處理、三環(huán)控制算法和安全保護(hù)。

圖3 驅(qū)動(dòng)器控制軟件功能框圖Fig.3 Functional block diagram of driver control software

典型的伺服驅(qū)動(dòng)模塊控制軟件結(jié)構(gòu)如圖3所示，主要包括指令處理功能模塊、反饋處理功能模塊和三環(huán)控制功能模塊。指令處理功能模塊用于對(duì)外部輸入的脈沖指令、模擬量指令和通信指令信號(hào)進(jìn)行信號(hào)調(diào)理，并轉(zhuǎn)化為具有實(shí)際物理單位的控制指令。特別是在模擬量信號(hào)處理時(shí)，需進(jìn)行漂移補(bǔ)償、濾波等處理來避免干擾。反饋處理功能模塊將對(duì)電流傳感器和編碼器信號(hào)進(jìn)行采集和處理，轉(zhuǎn)換為閉環(huán)控制所需要的電流、速度和位置信號(hào)。三環(huán)控制功能模塊根據(jù)驅(qū)動(dòng)器工作模式的不同以及指令與反饋信號(hào)來實(shí)現(xiàn)閉環(huán)控制功能。

基本的三環(huán)控制器一般采用“PI+前饋+指令濾波”的控制結(jié)構(gòu)。通過PI達(dá)到無靜差控制效果，前饋環(huán)節(jié)提高系統(tǒng)動(dòng)態(tài)響應(yīng)速度，指令濾波用于減小外部噪聲干擾。然而，由于驅(qū)動(dòng)控制過程中電機(jī)反電動(dòng)勢(shì)沖擊、摩擦不均或質(zhì)心偏離導(dǎo)致的轉(zhuǎn)矩?cái)_動(dòng)、負(fù)載機(jī)械結(jié)構(gòu)共振等條件的影響，基本的三環(huán)控制器無法提供多參數(shù)干擾作用下伺服電機(jī)的高性能控制。因此，三環(huán)控制器還需要集成加減速規(guī)劃、摩擦補(bǔ)償、振動(dòng)抑制等功能模塊，提高伺服驅(qū)動(dòng)器在復(fù)雜場(chǎng)景中的適用性。

3 伺服驅(qū)動(dòng)模塊失效檢測(cè)功能

由于工業(yè)現(xiàn)場(chǎng)復(fù)雜和惡劣的環(huán)境條件，驅(qū)動(dòng)器中各元件隨機(jī)硬件失效、電氣連接失效、負(fù)載故障等因素都會(huì)導(dǎo)致驅(qū)動(dòng)器閉環(huán)控制功能異常，引發(fā)安全事故。

3.1 失效模式

伺服驅(qū)動(dòng)器的主要功能是根據(jù)外部指令以及傳感器反饋信息，對(duì)伺服電機(jī)及負(fù)載進(jìn)行閉環(huán)控制。參與閉環(huán)的指令、反饋、運(yùn)算、負(fù)載等任何一個(gè)環(huán)節(jié)失效，都會(huì)破壞閉環(huán)回路正常運(yùn)行，可能引發(fā)電機(jī)及負(fù)載失控。

根據(jù)圖2所示的伺服驅(qū)動(dòng)系統(tǒng)硬件架構(gòu)及模塊分類，從伺服驅(qū)動(dòng)閉環(huán)控制功能實(shí)現(xiàn)的角度出發(fā)，分析各模塊失效原因及其對(duì)系統(tǒng)影響方式，可明確驅(qū)動(dòng)器的失效模式。對(duì)于系統(tǒng)各模塊，外部信號(hào)輸入模塊和總線接口模塊提供了閉環(huán)控制所需的指令信息。傳感器模塊提供了閉環(huán)控制所需的電流、速度、位置反饋信息?？刂破髂K根據(jù)指令和反饋信息進(jìn)行控制算法運(yùn)算，輸出閉環(huán)控制器運(yùn)算結(jié)果。逆變器模塊將控制器模塊輸出的閉環(huán)控制結(jié)果轉(zhuǎn)化為伺服電機(jī)控制所需的功率信號(hào)。伺服電機(jī)及負(fù)載是閉環(huán)控制的最終對(duì)象，根據(jù)指令實(shí)現(xiàn)相應(yīng)運(yùn)動(dòng)。電源模塊則提供了閉環(huán)控制運(yùn)行的基本電源條件。

根據(jù)以上分析，系統(tǒng)各模塊的失效模式及后果影響如表1所示。

表1 伺服驅(qū)動(dòng)器的失效模式Tab.1 Failure modes of servo drive

3.2 安全運(yùn)行區(qū)間設(shè)計(jì)

理論上，冗余的硬件電路能夠有效失效導(dǎo)致的危險(xiǎn)，但這導(dǎo)致成本增加、安裝空間受限等問題。設(shè)計(jì)高診斷覆蓋率的安全診斷方法成為解決驅(qū)動(dòng)器危險(xiǎn)失效的有效方法。

有效的指令輸入、正確的傳感器反饋、合適的控制器參數(shù)、符合工況的負(fù)載狀態(tài)是閉環(huán)系統(tǒng)正常運(yùn)行的前提條件。根據(jù)FOC控制原理，對(duì)系統(tǒng)關(guān)鍵的內(nèi)部參數(shù)進(jìn)行監(jiān)控，建立參數(shù)的安全運(yùn)行區(qū)間，一旦狀態(tài)參數(shù)偏離安全區(qū)間則進(jìn)行緊急保護(hù)。安全監(jiān)測(cè)功能原理如圖4所示。

圖4 驅(qū)動(dòng)器安全診斷軟件功能原理Fig.4 Schematic diagram of drive safety diagnostic software function

圖4中，安全監(jiān)測(cè)軟件主要由接口信號(hào)合理性監(jiān)測(cè)、傳感器信號(hào)合理性監(jiān)測(cè)、通信周期監(jiān)測(cè)、電源狀態(tài)參數(shù)監(jiān)測(cè)、逆變器與電機(jī)狀態(tài)參數(shù)監(jiān)測(cè)、閉環(huán)狀態(tài)監(jiān)測(cè)等模塊構(gòu)成。

3.2.1外部接口信號(hào)合理性監(jiān)測(cè)

該模塊從信號(hào)邏輯和信號(hào)物理意義上對(duì)外部脈沖和模擬電壓輸入的合理性進(jìn)行診斷。外部脈沖信號(hào)作為驅(qū)動(dòng)器位置模式指令輸入，通常為兩路相位差為90°的差分正交脈沖信號(hào)。其脈沖個(gè)數(shù)表示位置增量，脈沖頻率表示速度，兩路脈沖超前滯后關(guān)系表示位置增量的方向。外部模擬量電壓，通常作為驅(qū)動(dòng)器轉(zhuǎn)矩、速度模式指令，采用單位電壓對(duì)應(yīng)轉(zhuǎn)矩或速度作為增益。因此，這兩類信號(hào)應(yīng)滿足如下信號(hào)特征約束：

（1）脈沖的差動(dòng)輸入信號(hào)呈現(xiàn)邏輯上的相反關(guān)系；

（2）脈沖頻率小于驅(qū)動(dòng)器硬件可及的最大采樣頻率；

（3）正交兩路脈沖相位差應(yīng)為90°；

（4）模擬信號(hào)輸入電壓幅值應(yīng)在驅(qū)動(dòng)器硬件的檢測(cè)范圍內(nèi)（通常為±10 V）。

此外，脈沖頻率f、模擬電壓幅值A(chǔ)所代表的指令速度和指令轉(zhuǎn)矩應(yīng)小于電機(jī)的峰值轉(zhuǎn)速和峰值轉(zhuǎn)矩。指令約束條件如下：

其中：N為編碼器位數(shù)，Vmax為電機(jī)的峰值轉(zhuǎn)速，Gvel為單位電壓對(duì)應(yīng)的轉(zhuǎn)速增益，Tmax為電機(jī)的峰值轉(zhuǎn)矩，Gtor為單位電壓對(duì)應(yīng)的轉(zhuǎn)矩增益。

3.2.2傳感器信號(hào)合理性監(jiān)測(cè)

該模塊主要對(duì)電流傳感器、編碼器信號(hào)的合理性進(jìn)行診斷。以線型霍爾電流傳感器和增量式編碼器為例，傳感器原始信號(hào)應(yīng)滿足如下信號(hào)特征約束：

（1）線型霍爾傳感器電壓信號(hào)應(yīng)滿足驅(qū)動(dòng)器硬件檢測(cè)范圍且連續(xù)變化；

（2）編碼器差動(dòng)信號(hào)呈現(xiàn)邏輯上的相反關(guān)系；

（3）編碼器A相與B相的相位差為90°；

（4）編碼器A相與B相計(jì)數(shù)達(dá)一圈時(shí)Z相應(yīng)產(chǎn)生一次脈沖。

傳感器信號(hào)真實(shí)反映電機(jī)狀態(tài)，不應(yīng)進(jìn)行過多約束。但是，編碼器反饋的速度Vf應(yīng)小于電機(jī)峰值轉(zhuǎn)速，加速度af應(yīng)小于系統(tǒng)的最大加速度amax，且反饋位置Pf應(yīng)處于軟件限位中。約束條件如下：

其中Plimit和Nlimit分別為正負(fù)軟件限位位置。

3.2.3通信周期監(jiān)測(cè)

該模塊用于監(jiān)控和診斷通信周期是否超時(shí)?，F(xiàn)場(chǎng)總線具有完善的數(shù)據(jù)校驗(yàn)機(jī)制，誤碼率能夠得到一定的保障。通信周期監(jiān)測(cè)主要對(duì)通信行為的異常進(jìn)行診斷。因此，驅(qū)動(dòng)器接收相鄰兩次通信幀的實(shí)際間隔時(shí)間tca與設(shè)定的通信周期tcs應(yīng)滿足如下關(guān)系：

3.2.4電源狀態(tài)參數(shù)監(jiān)測(cè)

該模塊用于檢測(cè)和診斷母線電壓、控制電壓和母線電流的工作狀態(tài)。母線電壓Vdc應(yīng)大于電機(jī)要求的轉(zhuǎn)速下產(chǎn)生的反電動(dòng)勢(shì)，以保證電機(jī)具有正常的速度輸出。母線電壓不應(yīng)高于電機(jī)或功率器件所能承受的最大電壓，否則可能導(dǎo)致電機(jī)或功率器件損壞?？刂齐妷篤ctr是提供板載IC的工作電壓，應(yīng)該根據(jù)IC對(duì)電源波動(dòng)范圍進(jìn)行約束，波動(dòng)范圍一般不超過5%。母線電流Ibus根據(jù)功率器件的開關(guān)狀態(tài)反映各相電流值，由于電機(jī)的感性負(fù)載特性，母線電流不會(huì)超過各相的峰值電流。則電源狀態(tài)參數(shù)的安全區(qū)間如下：

其中：VDSS為功率器件漏源擊穿電壓，Vmmax為電機(jī)繞組的最大電壓，Ke為電機(jī)的反電動(dòng)勢(shì)系數(shù)，Vr為電機(jī)工況要求的轉(zhuǎn)速，VIC為電路板芯片所要求的工作電壓，Ipeak為電機(jī)的峰值電流。

3.2.5逆變器及電機(jī)狀態(tài)參數(shù)監(jiān)測(cè)

該模塊主要通過相電流、溫度傳感器狀態(tài)以及功率管開關(guān)狀態(tài)對(duì)逆變器和電機(jī)狀態(tài)進(jìn)行監(jiān)測(cè)和診斷。逆變器功率器件參數(shù)受溫度影響較大，高溫會(huì)導(dǎo)致其最大漏源電流Ids變小，一旦實(shí)際通過電流超過Ids則會(huì)損壞功率器件。根據(jù)功率器件數(shù)據(jù)手冊(cè)可以得到Ids隨溫度T的變化函數(shù)F（T）。該函數(shù)可計(jì)算功率器件在電機(jī)峰值電流時(shí)的溫度閾值。因此，功率器件的溫度約束如下：

其中：Tf為溫度傳感器的反饋溫度，Tth為提供電機(jī)峰值電流的溫度閾值。

在三相全橋電路中，功率器件通過控制8個(gè)狀態(tài)矢量狀態(tài)時(shí)間合成電機(jī)控制所需的電壓矢量。各矢量狀態(tài)下相電壓Vas，Vbs，Vcs的關(guān)系如表2所示。

表2 各矢量狀態(tài)下相電壓關(guān)系Tab.2 Phase voltage relationship in each vector state

此外，各相電流應(yīng)小于電機(jī)峰值電流，且在電機(jī)三相負(fù)載平衡條件下各相電流之和為0。各相電流的約束關(guān)系如下：

3.2.6閉環(huán)狀態(tài)監(jiān)測(cè)

該模塊通過監(jiān)測(cè)指令條件和反饋狀態(tài)，來診斷閉環(huán)控制過程中電機(jī)電流、速度、位置與指令是否偏差過大。在各模式下指令反饋偏差過大的原因?yàn)榭刂破鲄?shù)設(shè)定不合理、驅(qū)動(dòng)器輸出能力不夠、負(fù)載結(jié)構(gòu)卡死等。根據(jù)實(shí)際系統(tǒng)閉環(huán)控制需要設(shè)置合理的轉(zhuǎn)矩閉環(huán)偏差Etor、速度閉環(huán)偏差Evel、位置閉環(huán)偏差Epos和當(dāng)實(shí)際偏差大于設(shè)定值時(shí)，電機(jī)閉環(huán)質(zhì)量已經(jīng)不能滿足系統(tǒng)需求。

以上分析提供了正常的驅(qū)動(dòng)控制過程中各模塊參數(shù)的約束范圍及接口信號(hào)的約束條件。根據(jù)式（3）～式（9）以及表2對(duì)相電壓關(guān)系描述建立驅(qū)動(dòng)參數(shù)安全運(yùn)行區(qū)間并形成安全診斷機(jī)制，可保證驅(qū)動(dòng)器安全運(yùn)行。

4 功能安全集成設(shè)計(jì)

IEC61800-5-2標(biāo)準(zhǔn)作為“可調(diào)速電氣傳動(dòng)系統(tǒng)”的功能安全規(guī)范，提出了安全功能集成要求。通過深入分析IEC61800-5-2規(guī)范要求，構(gòu)建安全相關(guān)系統(tǒng)架構(gòu)，重點(diǎn)對(duì)安全功能集成方法進(jìn)行闡述。

4.1 IEC61800-5-2安全功能分析

通過分析IEC61800-5-2中建議的17項(xiàng)安全功能的作用方式，安全功能可分為安全停止、安全監(jiān)視和安全輸出3類，如表3所示。

表3 IEC61800-5-2建議的伺服驅(qū)動(dòng)安全功能Tab.3 Servo drive safety functions recommended by IEC61800-5-2

3類安全功能的作用原理如下：通過監(jiān)視功能對(duì)電機(jī)及驅(qū)動(dòng)器運(yùn)動(dòng)過程中具有安全指示意義的參數(shù)進(jìn)行監(jiān)控，一旦這些參數(shù)超過設(shè)定的安全范圍，則啟動(dòng)停止功能保證系統(tǒng)和設(shè)備的安全。此外，安全輸出為外部控制器或執(zhí)行器提供部分參數(shù)的監(jiān)控信息，外部控制單元可根據(jù)安全輸出信號(hào)，通過輸入輸出接口或是現(xiàn)場(chǎng)總線的方式啟動(dòng)驅(qū)動(dòng)器的停止功能。

4.2 安全相關(guān)系統(tǒng)硬件結(jié)構(gòu)

建立可靠的硬件電路是實(shí)現(xiàn)上述安全功能的基礎(chǔ)。通過分析各項(xiàng)功能的實(shí)現(xiàn)方式，安全集成硬件的設(shè)計(jì)要求歸納如下：

（1）具有可靠的外部輸入接口作為停止功能觸發(fā)源；

（2）具有符合IEC61784-3規(guī)范的安全現(xiàn)場(chǎng)總線傳輸停止功能指令；

（3）具有功能和通道獨(dú)立的轉(zhuǎn)矩切斷電路實(shí)現(xiàn)STO指令；

（4）具有高可靠的微處理器電路保證安全邏輯的正常實(shí)現(xiàn)；

（5）具有可靠的輸出接口保證信號(hào)安全輸出；

（6）具有滿足安全完整性等級(jí)要求的傳感器保證監(jiān)視功能數(shù)據(jù)源。

限于文章主題和篇幅，本文不對(duì)現(xiàn)場(chǎng)總線功能安全以及傳感器可靠性相關(guān)問題進(jìn)行研究，假設(shè)其安全完整性等級(jí)滿足設(shè)計(jì)需要。根據(jù)硬件設(shè)計(jì)要求，驅(qū)動(dòng)器安全相關(guān)系統(tǒng)由傳感器及輸入接口子系統(tǒng)、邏輯子系統(tǒng)、最終原件子系統(tǒng)構(gòu)成，其硬件架構(gòu)原理如圖5所示。

圖5 驅(qū)動(dòng)器安全相關(guān)系統(tǒng)的硬件架構(gòu)原理Fig.5 Schematic diagram of hardware architecture of drive safety-related system

傳感器及輸入接口子系統(tǒng)由輸入接口和滿足安全完整性要求的傳感器輸入接口和總線接口構(gòu)成。輸入接口包括6路相互獨(dú)立的隔離輸入電路，提供了停止功能STO，SS1，SS2的外部指令信號(hào)輸入接口，并且每一個(gè)輸入的停止信號(hào)都有A，B兩路獨(dú)立的電路通道，提高了硬件裕度。

邏輯子系統(tǒng)采用具有雙MCU內(nèi)核的SoC芯片及最小系統(tǒng)電路，形成1oo2D結(jié)構(gòu)。SoC中兩個(gè)MCU采用雙核鎖步與看門狗共同作用的安全手段，通過MCU程序內(nèi)存的相互校驗(yàn)和外部看門狗定時(shí)器，保證其信號(hào)處理及算法運(yùn)行功能的可靠性。此外，各MCU輸出的SVPWM開關(guān)信號(hào)通過輸出邏輯與的操作，可保證在任何一個(gè)MCU失效后可由另一MCU關(guān)斷三相全橋逆變器功率器件，使STO功能正常實(shí)現(xiàn)。

最終，原件子系統(tǒng)是安全相關(guān)系統(tǒng)的最終執(zhí)行單元，用于執(zhí)行安全保護(hù)功能。設(shè)計(jì)6路相互獨(dú)立的輸出隔離電路，實(shí)現(xiàn)對(duì)SBC，SCA，SSM信號(hào)的雙通道輸出。此外，考慮到STO功能是所有安全功能中唯一不進(jìn)行閉環(huán)控制而直接切斷功率電源與電機(jī)關(guān)聯(lián)的功能，獨(dú)立且冗余地切斷執(zhí)行電路是功能安全重要保障。因此，在功率電源模塊和三相全橋逆變電路之間設(shè)計(jì)功率開關(guān)器件，用STO-A隔離輸入控制逆變電路電源通斷。這種STO方式與MCU通過輸出邏輯關(guān)斷功率器件的STO方式，在電路作用原理和硬件執(zhí)行通道上都具有獨(dú)立性。

4.3 基于對(duì)象字典的安全功能集成方法

在基于總線的可編程控制系統(tǒng)中，設(shè)計(jì)基于總線的可配置安全功能底層模塊是快速實(shí)現(xiàn)安全邏輯設(shè)計(jì)，滿足不同應(yīng)用場(chǎng)景對(duì)安全功能的個(gè)性化需求的關(guān)鍵。

根據(jù)表3對(duì)IEC61800-5-2中建議的17項(xiàng)安全功能特點(diǎn)，在伺服驅(qū)動(dòng)器中集成3類安全功能模塊，并將功能參數(shù)映射到對(duì)象字典（OD）中，形成基于總線通信的安全功能和邏輯配置架構(gòu)，如圖6所示。

圖6 安全功能架構(gòu)原理Fig.6 Schematic diagram of security function architecture

圖6中，安全停止、安全監(jiān)視和安全輸出3類功能模塊的使能控制、參數(shù)配置、狀態(tài)反饋等參數(shù)全部映射在OD中。主站可通過總線訪問OD，實(shí)現(xiàn)對(duì)各功能模塊的狀態(tài)讀取與使能調(diào)度。

傳感器反饋信號(hào)處理模塊將傳感器采集得到的電機(jī)實(shí)際位置、速度、轉(zhuǎn)矩、加速度和溫度存放在OD中，作為安全監(jiān)視功能的條件參數(shù)。在系統(tǒng)運(yùn)行過程中，安全監(jiān)視功能模塊實(shí)時(shí)對(duì)比OD中電機(jī)的實(shí)際狀態(tài)是否超過設(shè)定安全范圍，并將狀態(tài)存放在OD中。安全輸出功能模塊在電機(jī)的實(shí)際狀態(tài)滿足OD中參數(shù)配置時(shí)，輸出安全狀態(tài)。安全停止模塊根據(jù)OD中對(duì)停止方式的要求或控制電機(jī)按規(guī)定的軌跡停止，或進(jìn)行電源切斷實(shí)現(xiàn)自由停車。

采用上述方式，主站安全邏輯可根據(jù)OD中安全監(jiān)視功能的某項(xiàng)或多項(xiàng)狀態(tài)來執(zhí)行安全停止或安全輸出功能，從而實(shí)現(xiàn)安全功能的總線配置與控制。此外，驅(qū)動(dòng)器還設(shè)置外部停止信號(hào)輸入模塊，也可根據(jù)外部安全電路信號(hào)或安全輸出信號(hào)實(shí)現(xiàn)驅(qū)動(dòng)器自身的安全保護(hù)功能。

三類安全功能模塊的具體實(shí)現(xiàn)可結(jié)合前文提出的三環(huán)控制器架構(gòu)。將驅(qū)動(dòng)器原有的控制軟件結(jié)構(gòu)簡化為簡單的閉環(huán)回路指令處理功能模塊、反饋處理功能模塊和三環(huán)控制功能模塊。在此基礎(chǔ)上集成安全停止、安全監(jiān)視和安全輸出功能模塊，形成如圖7所示的驅(qū)動(dòng)器安全集成軟件架構(gòu)。

圖7 驅(qū)動(dòng)器安全集成軟件功能結(jié)構(gòu)Fig.7 Function block diagram of drive safety integrated software

圖7中，安全停止功能模塊（SS1，SS2，SOS）于指令處理功能模塊后端，通過干預(yù)閉環(huán)控制器的指令狀態(tài)，在不切斷電源的情況下通過設(shè)定減速度使電機(jī)停止。整個(gè)過程中，閉環(huán)控制功能處于有效狀態(tài)。在無安全停止功能觸發(fā)時(shí)，該模塊透?jìng)鰿md指令作為三環(huán)控制器的指令輸入。在存在SS1，SS2停止?fàn)顟B(tài)時(shí)，根據(jù)設(shè)置的減速度、延遲時(shí)間等參數(shù)進(jìn)行指令規(guī)劃，產(chǎn)生安全停止指令。此外，設(shè)計(jì)安全停止功能模塊（STO）位于三環(huán)控制器的輸出端，用于控制三環(huán)控制器輸出的SVPWM信號(hào)。同樣，在無STO要求時(shí)透?jìng)鱏VPWM信號(hào)。當(dāng)需要執(zhí)行STO時(shí)，將SVPWM信號(hào)全部置0，關(guān)閉逆變器所有功率器件并采用關(guān)閉柵極使能和切斷逆變器電源的方式使電源不能有效作用于電機(jī)。

安全監(jiān)視功能模塊通過對(duì)傳感器反饋信號(hào)的處理得到電機(jī)的實(shí)時(shí)位置、速度、轉(zhuǎn)矩、加速度及溫度。用戶根據(jù)實(shí)際系統(tǒng)的應(yīng)用場(chǎng)景和負(fù)載特性通過總線對(duì)安全監(jiān)視功能中的極限加速度、安全加速度范圍、極限速度、速度范圍、極限轉(zhuǎn)矩、轉(zhuǎn)矩范圍、安全限位、極限增量、安全方向和安全溫度范圍進(jìn)行配置。當(dāng)所監(jiān)視的某項(xiàng)參數(shù)或多項(xiàng)參數(shù)超過設(shè)定范圍后，根據(jù)安全邏輯要求啟動(dòng)安全停止功能使電機(jī)停止。

安全輸出功能模塊主要對(duì)電機(jī)位置和速度是否超過限制狀態(tài)進(jìn)行實(shí)時(shí)判斷，當(dāng)參數(shù)超過限制時(shí)輸出安全信號(hào)。另外，安全制動(dòng)控制根據(jù)安全邏輯在停止功能完成后輸出安全信號(hào)控制外部制動(dòng)設(shè)備。

上述基于OD的安全功能模塊化集成方式可根據(jù)各類應(yīng)用場(chǎng)景對(duì)安全功能的不同要求靈活設(shè)計(jì)安全邏輯，符合伺服驅(qū)動(dòng)器通用化的使用要求。

5 實(shí) 驗(yàn)

根據(jù)前文對(duì)安全集成伺服驅(qū)動(dòng)器的分析及設(shè)計(jì)，以國產(chǎn)京微齊力M7系列SoC芯片為主控MCU，以ROHM公司SCT3060AL碳化硅MOSFET為核心功率器件，開發(fā)了高功率密度伺服驅(qū)動(dòng)器，如圖8所示。

圖8 自研高功率密度伺服驅(qū)動(dòng)模塊Fig.8 Self-developed high power density servo drive module

為了驗(yàn)證本文提出的安全集成方法，搭建了如圖9所示的實(shí)驗(yàn)系統(tǒng)。自研高功率密度伺服驅(qū)動(dòng)模塊對(duì)PMSM進(jìn)行閉環(huán)控制。PMSM通過聯(lián)軸器與轉(zhuǎn)矩傳感器和磁粉制動(dòng)器相連，其末端編碼器作為位置和速度傳感器。轉(zhuǎn)矩傳感器用于測(cè)量電機(jī)實(shí)時(shí)轉(zhuǎn)矩，磁粉制動(dòng)器模擬電機(jī)負(fù)載。筆記本電腦通過仿真器與驅(qū)動(dòng)器主控芯片相連，用于監(jiān)測(cè)并記錄驅(qū)動(dòng)過程中重要的變量數(shù)據(jù)。

圖9 伺服驅(qū)動(dòng)器安全集成功能實(shí)驗(yàn)設(shè)備構(gòu)成原理框圖Fig.9 Schematic block diagram of experimental setup of servo drive safety integrated function

根據(jù)圖9搭建實(shí)驗(yàn)測(cè)試平臺(tái)。采用額定電流為19.5 A的5對(duì)極永磁同步電機(jī)作為高功率密度驅(qū)動(dòng)模塊的控制對(duì)象。使用電機(jī)末端集成2500線增量式編碼器作為速度和位置反饋傳感器。選用輸出轉(zhuǎn)矩為0～6 N·m的磁粉制動(dòng)器模擬加載情況。實(shí)驗(yàn)測(cè)試平臺(tái)如圖10所示。

圖10 伺服驅(qū)動(dòng)器安全集成功能實(shí)驗(yàn)平臺(tái)Fig.10 Servo drive safety integrated function experiment platform

由于安全監(jiān)視、安全停止和安全輸出組合形成的安全邏輯數(shù)量過于龐大，無法逐一驗(yàn)證。本文在驅(qū)動(dòng)器轉(zhuǎn)矩、速度、位置模式下，分別構(gòu)造典型的安全保護(hù)邏輯來驗(yàn)證安全集成功能的有效性。

5.1 轉(zhuǎn)矩模式STO保護(hù)實(shí)驗(yàn)

伺服驅(qū)動(dòng)器處于轉(zhuǎn)矩閉環(huán)工作模式時(shí)，機(jī)械負(fù)載特性及摩擦力變化可能導(dǎo)致電機(jī)持續(xù)加速并超過系統(tǒng)的最大運(yùn)行速度，產(chǎn)生系統(tǒng)失效。安全保護(hù)邏輯設(shè)置如下：當(dāng)電機(jī)的實(shí)際轉(zhuǎn)速超過SSR［-100，100］ rad/s后，啟動(dòng)STO停止功能，保護(hù)電機(jī)及負(fù)載設(shè)備安全。

將伺服驅(qū)動(dòng)器配置為轉(zhuǎn)矩閉環(huán)模式，初始轉(zhuǎn)矩指令為0 N·m。一段時(shí)間后，將轉(zhuǎn)矩指令設(shè)置為0.4 N·m，電機(jī)開始運(yùn)動(dòng)；穩(wěn)定后，將轉(zhuǎn)矩指令提高到0.8 N·m，電機(jī)開始加速運(yùn)動(dòng)。整個(gè)過程中，電機(jī)的實(shí)際運(yùn)行狀態(tài)及STO狀態(tài)如圖11所示。可以看出，t=0.56 s時(shí)轉(zhuǎn)矩指令為0.4 N·m，電機(jī)的實(shí)際轉(zhuǎn)矩與指令轉(zhuǎn)矩曲線重合，電機(jī)速度由0逐步上升至約22 rad/s時(shí)基本穩(wěn)定。t=2.289 s時(shí)，電機(jī)的實(shí)際轉(zhuǎn)矩跟隨指令轉(zhuǎn)矩變?yōu)?.8 N·m，電機(jī)轉(zhuǎn)速開始上升。在t=2.948 s時(shí)，電機(jī)轉(zhuǎn)速超過SSR的正向范圍100 rad/s。此時(shí)，STO狀態(tài)由0跳轉(zhuǎn)到1，啟動(dòng)STO保護(hù)，電機(jī)實(shí)際轉(zhuǎn)矩迅速降為0并在慣性作用下，速度逐漸下降為0。

圖11 轉(zhuǎn)矩模式STO保護(hù)時(shí)電機(jī)運(yùn)動(dòng)曲線Fig.11 Motion curves of motor in torque mode STO protection

5.2 速度模式SS1保護(hù)實(shí)驗(yàn)

伺服驅(qū)動(dòng)器在速度閉環(huán)運(yùn)行時(shí)，由于限位開關(guān)故障可能會(huì)導(dǎo)致電機(jī)及負(fù)載運(yùn)動(dòng)范圍超過機(jī)械結(jié)構(gòu)允許的行程，對(duì)設(shè)備或人員造成危險(xiǎn)。安全保護(hù)邏輯設(shè)置如下：當(dāng)電機(jī)實(shí)際位置超過SLP范圍后，啟動(dòng)SS1停止功能，電機(jī)停止。

設(shè)置SLP為［-50，50］ rad，SS1停止時(shí)減速度為5 rad/s2，減速至2 rad/s時(shí)啟動(dòng)STO停止。伺服驅(qū)動(dòng)器工作在速度閉環(huán)模式，初始速度為0。一段時(shí)間后，指令速度設(shè)置為20 rad/s，當(dāng)電機(jī)超過限位后由SS1停止功能保護(hù)。整個(gè)過程中電機(jī)運(yùn)行參數(shù)曲線如圖12所示。電機(jī)從初始時(shí)刻進(jìn)行零速閉環(huán)。在t=1.532 s時(shí)，電機(jī)速度隨指令增加至20 rad/s。此時(shí)，電機(jī)位置開始增加，啟動(dòng)瞬間轉(zhuǎn)矩出現(xiàn)1.8 N·m的尖峰。t=4.03 s時(shí)，電機(jī)的實(shí)際位置超過50 rad，SS1信號(hào)變高并以5 rad/s2的減速度進(jìn)行減速。t=7.63 s時(shí)，電機(jī)速度降為2 rad/s，STO信號(hào)變高并切斷電源使電機(jī)停止。

5.3 位置模式SS2保護(hù)實(shí)驗(yàn)

圖12 速度模式SS1保護(hù)時(shí)電機(jī)運(yùn)動(dòng)曲線Fig.12 Motor movement curves in speed mode SS1 protection

伺服驅(qū)動(dòng)器在位置閉環(huán)模式時(shí)，由于機(jī)械結(jié)構(gòu)卡住或負(fù)載行程內(nèi)人員誤入可能導(dǎo)致驅(qū)動(dòng)器因閉環(huán)需要增加轉(zhuǎn)矩，對(duì)設(shè)備和人員產(chǎn)生危害。安全保護(hù)邏輯設(shè)置如下：當(dāng)電機(jī)實(shí)際轉(zhuǎn)矩超過STR范圍時(shí)，啟動(dòng)SS2停止功能，電機(jī)停止。

圖13 位置模式SS2保護(hù)時(shí)電機(jī)運(yùn)動(dòng)曲線Fig.13 Motion curves of motor in position mode SS2 protection

設(shè)置STR為［-2，2］ N·m，SS2停止時(shí)減速度為10 rad/s2，減速至2 rad/s時(shí)啟動(dòng)SOS，使電機(jī)保持零速閉環(huán)狀態(tài)。伺服驅(qū)動(dòng)器上電后，保持當(dāng)前初始位置閉環(huán)。一段時(shí)間后，給定較大的位置指令。在電機(jī)向目標(biāo)位置運(yùn)行的過程中，利用磁粉制動(dòng)器瞬間施加大轉(zhuǎn)矩后馬上關(guān)閉。電機(jī)在負(fù)載劇烈變化且超過STR范圍時(shí)，執(zhí)行SS2安全停止保護(hù)功能。整個(gè)過程中電機(jī)的運(yùn)行狀態(tài)參數(shù)曲線如圖13所示。在t=1.063 s時(shí)，位置指令更新為20 rad，電機(jī)按最大20 rad/s速度運(yùn)行到位。t=4.184 s時(shí)，位置指令更新為80 rad，電機(jī)仍按最大20 rad/s速度運(yùn)行。t=5.146 s時(shí)，電機(jī)未運(yùn)行到位，通過磁粉制動(dòng)器瞬間施加3 N·m轉(zhuǎn)矩后關(guān)閉。此時(shí)，電機(jī)實(shí)際轉(zhuǎn)矩已經(jīng)超過STR上限2 N·m，SS2信號(hào)變高并以10 rad/s2的減速度執(zhí)行SS2安全停止。t=6.946 s時(shí)，電機(jī)速度降低至2 rad/s，SOS信號(hào)變高并以0為指令速度，電機(jī)保持停止。

以上3組實(shí)驗(yàn)分別針對(duì)電機(jī)不同的控制模式下可能發(fā)生危險(xiǎn)設(shè)置了安全保護(hù)邏輯。實(shí)驗(yàn)結(jié)果驗(yàn)證了驅(qū)動(dòng)器安全功能的有效性和驅(qū)動(dòng)器安全集成方法的可行性。

6 結(jié) 論

本文對(duì)自主可控可編程控制系統(tǒng)伺服驅(qū)動(dòng)模塊的安全設(shè)計(jì)問題進(jìn)行了研究。通過建立PMSM的矢量控制數(shù)學(xué)模型，對(duì)典型驅(qū)動(dòng)控制的硬件結(jié)構(gòu)與軟件功能進(jìn)行了梳理，明確了伺服驅(qū)動(dòng)器的實(shí)現(xiàn)原理，并據(jù)此對(duì)驅(qū)動(dòng)器各功能模塊失效模式、作用方式以及對(duì)系統(tǒng)的影響機(jī)理進(jìn)行了分析。利用驅(qū)動(dòng)器傳感器信息，提出了各功能模塊安全運(yùn)行的參數(shù)區(qū)間，形成了系統(tǒng)驅(qū)動(dòng)器自身模塊失效的安全監(jiān)測(cè)方法。此外，將IEC61800-5-2建議的17項(xiàng)安全功能進(jìn)行了歸納和分類，并根據(jù)各功能實(shí)現(xiàn)要求，設(shè)計(jì)了冗余的安全相關(guān)硬件結(jié)構(gòu)。采用基于對(duì)象字典的安全功能調(diào)度方式，設(shè)計(jì)了可通過總線配置和調(diào)度的安全邏輯軟件架構(gòu)，形成了安全集成設(shè)計(jì)方法。最后，搭建實(shí)驗(yàn)平臺(tái)，構(gòu)造典型的安全保護(hù)邏輯，驗(yàn)證了所設(shè)計(jì)的伺服驅(qū)動(dòng)模塊的安全功能。