一种安全转矩关断电路及系统的制作方法

本发明涉及电力电子电路领域，特别涉及一种安全转矩关断（Safe Torque Off, STO）电路及安全转矩关断系统。

背景技术：

现有技术中，为了防止电机意外起动，或避免发生伴有人身损害的事故,人们针对变频器、伺服电机驱动器等产品提出了STO功能。该功能能够防止驱动器在电机中产生转矩，适合纳入机器的安全系统中。国际电工委员会正式发布的IEC61508标准（《电气/电子/可编程电子安全系统的功能安全》），提出安全完整性等级（SIL）的概念来衡量安全功能的可靠程度，并将其划分成4个等级，工业领域的最高等级为SIL3。满足SIL3的STO功能能够带来更高的安全性，是未来发展的趋势。

目前STO功能电路及系统多采用双路冗余设计，以提高系统安全性。然而，即使双路设计，在长时间的连续运行中，也可能由于故障累积导致安全功能失效。特别是，由于暂时的过压、短路等事故或者偶发性的部件缺陷引发故障的可能性高，因此需要对安全功能控制电路的各部分及时进行周期性检测。

中国发明专利申请文件CN105576952A，公开了一种双路冗余设计的STO功能电路，包括信号转换电路、光耦电路、滤波电路等，实现STO功能的同时实现了部分电路的自检。此技术方案虽包含STO功能电路的自检，但只涉及输入通道，输出通道、电源模块并未涉及，且其输入通道自检是通过诊断单元向两路输入通道发送相同检测窄脉冲进行自检，此方法无法检测输入通道的交叉短路，诊断覆盖率不高。且电源模块是STO功能电路中重要的一部分，对电源模块的诊断是非常必要的。

中国实用新型专利文件CN205319683U，公开了一种安全转矩关断功能电路，其技术方案包含两路STO信号输入，经过EMC电路、欠压保护电路、光耦隔离，分别控制上桥和下桥的IGBT驱动PWM电源的通断，来安全关断扭矩。其利用三极管基极、光耦副边、稳压管呈串联结构，实现电源的欠压保护功能，但并没有电源过压、过流、过载等保护功能。且其设计输入通道没有诊断，输出通道只有静态诊断，即诊断覆盖率不低，且部分模块没有诊断，整体SIL等级不高。

中国实用新型专利文件CN205170091U，公开了一种安全扭矩关断功能电路和电梯安全控制系统，其技术方案的侧重点是STO技术在电梯安全控制系统中的应用，和传统的接触器方式相比，有很多优势，结合了电梯行业的控制系统，强调一种整体的设计。其系统层面上，执行安全功能时，通过安全回路使得抱闸失电，电机抱死，同时双抱闸的辅助触点弹开，导致变频器安全回路输入断开，触发变频器安全功能。其变频器层面上，双路输出有欠压保护，可分别切断IGBT上桥电源、下桥电源，同时，输出电子开关的状态还经过一系列逻辑最终控制控制电源的接通与否，如果电源不通，就会失电安全。此专利只提及电源的诊断，且只有欠压没有其它诊断，诊断覆盖率不高。

技术实现要素：

为了解决现有技术存在的上述技术问题，本发明提出了一种安全转矩关断电路及系统，其输入模块与执行模块均采用双路冗余设计，提高系统可靠性。对输入模块与执行模块采取动态检测的方法保证模块具有较高的诊断覆盖率。

本发明为了实现发明目的，所采用的技术方案是：

一种安全转矩关断电路，包括电源模块、输入模块A、输入模块B、执行模块A、执行模块B以及STO诊断模块。其中，输入模块A和执行模块A串接，构成第一通道，输入模块B和执行模块B串接，构成第二通道（构成双通道冗余设计）。

所述STO诊断模块包括诊断单元、信号转换电路A、信号转换电路B、欠压检测电路、过压检测电路。

所述输入模块A、B均为光耦电路，用于接收、隔离输出STO功能触发信号。

所述执行模块A、B均包含滤波电路、整形电路、OE诊断电路、逻辑或电路、第一缓冲器、第二缓冲器。

滤波电路对光耦电路输出的信号进行滤波，此设计可将监视信号滤除。

整形电路对滤波电路输出的信号进行整形，滤波电路的输出信号受OE诊断电路控制，在OE诊断期间拉成高电平。

逻辑或电路对整形电路的输出信号及电源失效信号进行或运算。

第一缓冲器与第二缓冲器串联设计，用于转换诊断单元发送的部分PWM信号，使之可用于执行模块后段功率电路使用。

STO诊断模块中的信号转换电路A、信号转换电路B分别与输入模块A、B串联。STO诊断模块中的诊断单元可通过信号转换电路A、B分别发送两路检测窄脉冲至输入模块A、B（两个光耦电路），且输入模块A、B的输出信号输入至诊断单元。以上可实现输入模块的动态检测。

整形电路A、B的输入信号及输入信号输入至STO诊断模块的诊断单元，用于对整形电路进行动态诊断。

整形电路A、B的输出信号及逻辑或电路A、B的输出信号输入至STO诊断模块的诊断单元，用于对逻辑或电路进行动态诊断。

STO诊断模块的诊断单元输出缓冲器检测信号至第一缓冲器A、B的检测通道，同时第一缓冲器A、B检测通道是输出信号输入至诊断单元。以上两处连接可实现对第一缓冲器的动态检测。

第一缓冲器A、B的检测通道输出信号及第二缓冲器A、B的检测输出信号分别输入至STO诊断模块的诊断单元，用于实现对第二缓冲器的动态检测。

STO诊断模块中的诊断单元对执行模块的监视信号包括：第一、第二通道的滤波电路的输入信号，第一、第二通道的整形电路的输入、输出信号，第一、第二通道的逻辑或电路的输出信号，第一、第二通道的第一缓冲器的检测通道输出信号，第二缓冲器的检测通道输出信号。

STO诊断模块中的诊断单元对执行模块的输出信号包括：第一、第二通道OE诊断电路的检测信号，用于在OE诊断期间将整形电路的输出信号拉成高电平；第一第二通道缓冲器电路检测信号，输出至第一缓冲器的检测通道。

所述电源模块有三级电源，包含STO功能电路电源和STO诊断模块电源。STO功能电路电源同时为第一通道和第二通道供电（未冗余设计）。

所述电源模块包括+5V1电源和+5V2电源。

所述电源模块中+5V2电源经过压过流保护电路、过压切断电路，最终输出STO功能电路电源。

STO诊断模块中的欠压检测电路、过压检测电路接+5V2电源，通过比较原理可分别输出欠压信号、过压信号。

上述欠压信号、过压信号同时输入至逻辑与非门，经与非门运算后的输出信号输入至执行模块中的逻辑或门A、逻辑或门B的输入，用于控制第一缓冲器、第二缓冲器的OE信号。

上述欠压信号、过压信号同时输入至诊断单元进行STO功能电路电源的监测。

上述过压信号，同时输入至过压切断电路，保证过压时，切断STO功能电路电源。

电源模块虽未冗余设计，但其诊断覆盖率可到达99%，同时考虑双故障，针对每种电源失效模式均采用两种保证措施，满足SIL3要求。

1、过压：+5V2输出接过压过流保护电路，例如但不限于熔断器与稳压管的组合，保证过压时，将STO功能电路电源稳定在一定范围内，以免烧坏后级电路；2、当+5V2达到过压比较阈值，报警并封锁缓冲器，且当过压切断电路收到过压信号时，封锁STO功能电路电源输出。

2、欠压：模块缓冲器OE引脚受欠压信号控制，当欠压发生，使OE无效，缓冲器封波，系统进入安全工况；2、即使欠压最终导致失电，使OE引脚电平下降至有效电平范围内，无法封波，由于本系统是“失电安全”的，故依然可以进入安全工况。

3过流：STO功能电路电源回路添加过压过流保护电路，例如但不限于熔断器与稳压管的组合；2、用于生成STO功能电路电源的芯片本身自带过流保护，表现为原边电流过大时，芯片重启打嗝，辅助电源无法启动时，系统失电安全。

4、过载：与过流故障类似，只是保护阈值不同。按照过载的条件进行两种保护措施的设计即可。

安全转矩关断系统，由本发明安全转矩关断电路和开关单元构成，所述开关单元，用于接收第二缓冲器的输出，并转换成控制电机转动的转矩。

本发明安全转矩关断电路及系统的简要工作过程：

对于第一通道：STO功能触发信号经过光耦电路A，滤波电路A，整形电路A，逻辑或门A，最终输出结果控制第一缓冲器A、第二缓冲器A的输出使能引脚（OE）。若STO功能触发信号未触发，则缓冲器OE引脚使能，缓冲器输出诊断单元发出的部分PWM信号至功率电路，若此时第二通道正常，则实现控制电机转动，系统正常工作。若STO功能触发信号被触发，则第一缓冲器A、第二缓冲器A OE引脚无效，PWM被封锁，实现关断电机，进入安全工况。

对于第二通道： STO功能触发信号经过光耦电路B，滤波电路B，整形电路B，逻辑或门B，最终输出结果控制第一缓冲器B、第二缓冲器B的输出使能引脚（OE）。若STO功能触发信号未触发，则缓冲器OE引脚使能，缓冲器输出诊断单元发出的部分PWM信号至功率电路，若此时第一通道正常，则实现控制电机转动，系统正常工作。若STO功能触发信号被触发，则第一缓冲器B、第二缓冲器B OE引脚无效，PWM被封锁，实现关断电机，进入安全工况。

由于控制电机产生转矩的PWM由第一通道和第二通道的执行模块A、B的输出共同决定，故只要一路安全功能信号被触发，就可实现STO功能。或者说，冗余设计的两路通道，其中一路故障不会影响STO功能的实现。

本发明优点如下：

1、设计了一种新的电路实现STO功能，实现双通道冗余设计，且每个模块（输入模块、执行模块、电源模块）都有高诊断覆盖率的诊断措施，提高了STO功能的安全性完整性等级（可达SIL3）。

2、输出通道采用双路设计，并在零矢量状态下实现输出模块的动态检测，防止故障累计，提高诊断覆盖率。

3、输入通道采用双路冗余设计，通过发送两路有一定相位差的测试窄脉冲实现输入模块的动态监测，提高诊断覆盖率。

4、电源模块虽未冗余设计，但其诊断覆盖率可到达99%，同时考虑双故障，针对每种电源失效模式均采用两种保证措施，满足SIL3要求。

附图说明

图1 本发明安全转矩关断电路示意框图。

图2 本发明安全转矩关断系统框图。

图3电源模块及其诊断框图。

图4输入模块及其诊断框图。

图5 执行模块及其诊断框图。

具体实施方式

下面结合附图和实施例，对本发明作进一步详细说明，本发明的保护范围不限于以下实施例。

如图1、2所示，本发明安全转矩关断电路，包括电源模块、输入模块A、输入模块B、执行模块A、执行模块B以及STO诊断模块。其中，输入模块A和执行模块A串接，构成第一通道，输入模块B和执行模块B串接，构成第二通道（构成双通道冗余设计）。

1、电源模块及其诊断电路

(1)电源模块

如图3所示，电源模块有三级电源，对于二级电源，与安全功能相关的为5V_STO电源，除此之外，5V_DIG电源为控制电，用于生成供STO诊断模块使用的三级电源。

(2)诊断电路及措施

由于本模块并未冗余设计，为达到较高诊断覆盖率，故对每种电源失效模式采用两种不同形式手段提高诊断覆盖率，防止累积失效。

①过压：根据系统5V_STO供电器件工作电压范围，设定过压阈值，设计过压检测功能，当5V_STO电源大于过压阈值时，输出过压信号。为防止过压引起危险失效，设计措施如下： 1、+5V2输出接过压过流保护电路，例如但不限于熔断器与稳压管的组合，保证过压时，将STO功能电路电源稳定在一定范围内，以免烧坏后级电路；2、当+5V2达到过压比较阈值，报警并封锁缓冲器，且当过压切断电路收到过压信号时，封锁STO功能电路电源输出。

②欠压：根据系统5V_STO供电器件工作电压范围，设定欠压阈值，设计欠压检测功能，当5V_STO电源小于欠压阈值时，输出欠压信号。为防止欠压引起危险失效，设计措施如下：1、模块缓冲器OE引脚受欠压信号控制，当欠压发生，使OE无效，缓冲器封波，系统进入安全工况；2、即使欠压最终导致失电，使OE引脚电平下降至有效电平范围内，无法封波，由于本系统是“失电安全”的，故依然可以进入安全工况。

③过流：为防止过流引起危险失效，设计措施如下：1、STO功能电路电源回路添加过压过流保护电路，例如但不限于熔断器与稳压管的组合；2、用于生成STO功能电路电源的芯片本身自带过流保护，表现为原边电流过大时，芯片重启打嗝，辅助电源无法启动时，系统失电安全。

④过载：过载故障和过流故障类似，只是保护阈值不同。按照过载的条件进行两种保护措施的设计即可。

2、输入模块及其诊断电路

(1)输入模块电路

如图4所示，输入模块，两路冗余设计（输入模块A、B）。系统正常工作时，即STO功能信号未被触发，光耦电路A、光耦电路B均处于接通状态，分别输出低电平；当STO功能信号被触发时，光耦电路A、光耦电路B均被截止，分别输出高电平。

(2)输入模块诊断电路

如图4所示，信号转换电路A、信号转换电路B用于转换诊断单元发出的测试窄脉冲，且输入模块的输出信号输入至诊断单元进行监视。

诊断措施如下：

诊断单元在系统响应时间内输出两路测试窄脉冲（宽度不足以触发STO功能），且两路测试脉冲存在一定相位间隔。

①输入模块单路短路、开路动态检测：以输入模块A为例，若在一定延迟范围内诊断单元接收到的监视信号A与测试窄脉冲A相同，则输入模块A正常；若接收到的监视信号A一直为高电平，则输入模块A开路故障。若接收到的监视信号A一直为低，则输入模块A短路故障（此处短路指光耦输入短路或输出短路，输入输出交叉短路不会使系统失效，故无需检测）；输入模块B同理。

②输入模块交叉短路动态检测：由于测试窄脉冲A和B并不重叠，故若诊断单元接收到的监视信号A和B完全相同，则输入模块A和B发生交叉短路故障。

3、执行模块及其诊断电路

(1)执行模块

如图5所示，执行模块A、B（执行模块A、B在此会不区分地称为执行模块）用于接收输入模块A、B输出的信号，决定导通或关断PWM输出，从而控制电机转矩的产生。执行模块前段控制电路由第一缓冲器和第二缓冲器串联组成，分别控制上三管PWM信号和下三管PWM信号的输出。在执行模块后面增加开关单元则形成了本发明安全转矩关断系统。开关单元（功率电路），其受第二缓冲器输出的6路PWM控制，决定开关管的导通与关断，从而控制电机运行。

以执行模块A为例，包含滤波电路A、整形电路A、第一缓冲器A、第二缓冲器A，两串联缓冲器的OE引脚（低电平使能）由两路信号经逻辑或运算后控制，决定导通或关断PWM输出，其中，第一路为输入模块A输出信号经滤波、整形处理后的STO功能触发信号（可被诊断单元发送的“执行模块动态检测信号”拉低）；第二路为电源模块故障信号。执行模块B同理，其缓冲器的输出使能引脚由另一路STO功能触发信号控制。

(2)执行模块诊断电路

诊断措施如下：

①逻辑或门的诊断：逻辑门的两个输入信号（电源故障信号，经隔离、滤波、整形后的STO功能触发信号）、输出信号（缓冲器OE信号）均被诊断单元监测，诊断单元在缓冲器使能引脚动态检测期间比较一次逻辑门的输入与输出，根据真值表对逻辑门进行诊断。

②缓冲器使能引脚（OE）功能的诊断：

由于OE引脚可能出现的断线、焊点脱开等，可能导致安全功能危险失效，故做如下动态检测：诊断单元在零矢量状态下，对三路PWM全为0的一组缓冲器进行检测，在系统响应时间内实现一次对两组缓冲器的检测。