安全集成伺服電機驅動模塊設計

陳凌宇， 鄭杰基， 何愛華， 范大鵬

（國防科技大學 智能科學學院，湖南 長沙 410073）

1 引 言

伺服電機驅動器作為可編程控制系統的“肌肉”，是實現制造裝備精確、快速、高效運動的核心基礎部件，廣泛應用于航空航天、武器裝備、能源、交通等先進裝備制造業中［1-3］。由于直接驅動和控制機械部件，伺服驅動器的安全性成為保證操作人員人生安全和設備資產安全的關鍵。設計和開發安全功能集成的伺服驅動器，保證生產過程安全、可靠、穩定，成為制造裝備發展的迫切需求［4］。

傳統的安全設計方法主要采用故障診斷和冗余容錯方式提升系統可靠性。通過對伺服系統中電機［5］、逆變器［6］、傳感器［7］等關鍵部件的故障診斷，提高系統危險監測能力。再采用多核CPU冗余架構［8］、多項腳冗余逆變器［9］、多相容錯伺服電機［10］等冗余設計方法增加硬件裕度，在故障發生時進行容錯控制，提高伺服驅動器的可靠性。硬件冗余的方式可提高伺服驅動器的可靠性，但也對安裝空間與成本提出了更高的要求。分析冗余不依賴硬件，通過系統內部參數之間的關聯對故障部件參數進行估計，實現容錯控制［11］，主要方法包括基于模型殘差的診斷與容錯［12］、基于觀測器的參數估計［13］等。上述方法能夠準確定位故障并通過冗余實現容錯控制，但適合于系統參數已知或固定的專用系統，無法在多場景中快速實現安全功能重構。此外，國際電工委頒布了調速電氣傳動系統功能安全規范IEC61800-5-2，為伺服驅動器安全功能集成提供了標準化的通用解決方案［14］。大量研究針對IEC61800-5-2安全功能集成問題進行探討。陳小全等針對安全轉矩截止（STO）不能安全輸出的問題，提出了一種1oo3D的STO硬件結構，安全完整性等級可達SIL3級［15］。AISHWARYA B等提出了一種STO與安全制動控制（SBC）相結合的硬件架構，有效解決了電機懸掛負載時STO無法安全停止的問題［16］。LIU等將安全停車1（SS1）功能與EtherCAT總線通信結合，可通過總線數據配置實現SS1功能［17］。上述研究主要針對IEC61800-5-2中STO，SBC，SS1等少數幾個安全功能，沒有系統性地全面分析，不能滿足伺服驅動器對通用化、可配置的安全功能集成需求。

為了實現伺服驅動系統安全集成設計，本文首先對伺服驅動器實現原理進行分析，為后文安全集成設計提供理論依據。在伺服驅動器的基本架構上，分析了部件失效的類型及原因，建立了由內部參數約束的安全運行區間。再針對功能安全集成問題，深入分析IEC61800-5-2建議的17項安全功能，在典型的伺服驅動器結構基礎上設計了冗余的安全相關硬件系統，提出了一種基于對象字典的可配置的安全邏輯集成設計方法。最后，搭建實驗平臺并構造典型的安全邏輯，驗證了安全集成保護功能的有效性。

2 伺服驅動器原理

伺服驅動器是一類通過控制伺服電機電磁場將電能轉化為機械能，達到對伺服電機及負載進行精確的轉矩、速度、位置閉環控制的設備。永磁同步電機（Permanent Magnetic Synchronous Motor， PMSM）是一種性能優越且應用廣泛的伺服電機類型。

2.1 PMSM驅動的數學模型

PMSM的驅動過程主要描述在磁場定向控制（Field-oriented Control， FOC）下，PMSM內部電流、電壓、轉矩和轉子角度的變化過程。驅動控制數學模型由PMSM定子電壓方程、轉矩輸出方程、運動學方程以及閉環控制器模型構成。

在三相靜止坐標系下，PMSM各參數存在較強的耦合關系，需要通過坐標變換方式將三相靜止坐標系變換為d-q軸旋轉坐標系，變換方法如下：

其中：Ud，Uq分別為d-q軸電壓，Ua，Ub，Uc分別為PMSM三相電壓。

由此得到PMSM在同步旋轉坐標系下數學模型如下：

其中：Ia，Ib，Ic為PMSM三相電流，R為定子電阻，Id，Iq分別為d-q軸電流，Ld，Lq分別為等效的d-q軸定子電感，we為電角速度，ψf為永磁體磁鏈，Tm為電機輸出轉矩，Pn為永磁體極對數，J為轉動慣量，B為阻尼系數，TL為負載轉矩，ωe為機械角速度。

閉環控制模型主要描述了FOC控制下的電流、速度、位置閉環結構。以Id=0的控制策略為例，閉環控制模型結構原理如圖1所示。圖中，Gp（s），Gv（s），GIq（s），GId（s）分別為位置環、速度環、d軸及q軸電流環控制器，工程中常用PI結構實現。

圖1 FOC閉環控制原理Fig.1 Schematic diagram of FOC closed-loop control

2.2 PMSM驅動器硬件構成

典型的PMSM伺服驅動系統硬件架構如圖2所示，主要由電源轉換模塊、外部信號輸入接口、總線接口、控制器模塊、逆變器模塊和傳感器接口電路構成。各模塊功能如下：

（1）電源模塊將外部輸入的功率電進行穩壓和補償后提供逆變器穩定的母線電源。

（2）外部信號輸入接口接收作為伺服指令的數字量PWM信號以及模擬電壓信號，也包括外部限位開關、使能、安全輸入等信號。

圖2 典型伺服驅動系統硬件架構原理Fig.2 Hardware architecture schematic of typical servo drive system

（3）總線接口模塊用于建立與外部控制器總線通信的物理層硬件模塊。

（4）控制器模塊主要用于外設接口信號進行采集與數據處理；閉環控制算法運行，及逆變器模塊開關控制。

（5）逆變器模塊將控制器模塊輸出開關信號轉化為電機控制所需功率信號。

（6）傳感器接口提供驅動和控制過程中所需的各相電流及電壓傳感器、電機編碼器、負載編碼器、母線電壓及電流傳感器電氣接口。

2.3 PMSM驅動器軟件功能

根據驅動器硬件架構與數學模型，在控制器模塊中集成PMSM驅動控制算法軟件，是實現伺服控制功能的重點。軟件的主要功能圍繞三環控制器的實現展開，包括指令輸入外部信號輸入采集、通信處理、反饋傳感器信號處理、三環控制算法和安全保護。

圖3 驅動器控制軟件功能框圖Fig.3 Functional block diagram of driver control software

典型的伺服驅動模塊控制軟件結構如圖3所示，主要包括指令處理功能模塊、反饋處理功能模塊和三環控制功能模塊。指令處理功能模塊用于對外部輸入的脈沖指令、模擬量指令和通信指令信號進行信號調理，并轉化為具有實際物理單位的控制指令。特別是在模擬量信號處理時，需進行漂移補償、濾波等處理來避免干擾。反饋處理功能模塊將對電流傳感器和編碼器信號進行采集和處理，轉換為閉環控制所需要的電流、速度和位置信號。三環控制功能模塊根據驅動器工作模式的不同以及指令與反饋信號來實現閉環控制功能。

基本的三環控制器一般采用“PI+前饋+指令濾波”的控制結構。通過PI達到無靜差控制效果，前饋環節提高系統動態響應速度，指令濾波用于減小外部噪聲干擾。然而，由于驅動控制過程中電機反電動勢沖擊、摩擦不均或質心偏離導致的轉矩擾動、負載機械結構共振等條件的影響，基本的三環控制器無法提供多參數干擾作用下伺服電機的高性能控制。因此，三環控制器還需要集成加減速規劃、摩擦補償、振動抑制等功能模塊，提高伺服驅動器在復雜場景中的適用性。

3 伺服驅動模塊失效檢測功能

由于工業現場復雜和惡劣的環境條件，驅動器中各元件隨機硬件失效、電氣連接失效、負載故障等因素都會導致驅動器閉環控制功能異常，引發安全事故。

3.1 失效模式

伺服驅動器的主要功能是根據外部指令以及傳感器反饋信息，對伺服電機及負載進行閉環控制。參與閉環的指令、反饋、運算、負載等任何一個環節失效，都會破壞閉環回路正常運行，可能引發電機及負載失控。

根據圖2所示的伺服驅動系統硬件架構及模塊分類，從伺服驅動閉環控制功能實現的角度出發，分析各模塊失效原因及其對系統影響方式，可明確驅動器的失效模式。對于系統各模塊，外部信號輸入模塊和總線接口模塊提供了閉環控制所需的指令信息。傳感器模塊提供了閉環控制所需的電流、速度、位置反饋信息。控制器模塊根據指令和反饋信息進行控制算法運算，輸出閉環控制器運算結果。逆變器模塊將控制器模塊輸出的閉環控制結果轉化為伺服電機控制所需的功率信號。伺服電機及負載是閉環控制的最終對象，根據指令實現相應運動。電源模塊則提供了閉環控制運行的基本電源條件。

根據以上分析，系統各模塊的失效模式及后果影響如表1所示。

表1 伺服驅動器的失效模式Tab.1 Failure modes of servo drive

3.2 安全運行區間設計

理論上，冗余的硬件電路能夠有效失效導致的危險，但這導致成本增加、安裝空間受限等問題。設計高診斷覆蓋率的安全診斷方法成為解決驅動器危險失效的有效方法。

有效的指令輸入、正確的傳感器反饋、合適的控制器參數、符合工況的負載狀態是閉環系統正常運行的前提條件。根據FOC控制原理，對系統關鍵的內部參數進行監控，建立參數的安全運行區間，一旦狀態參數偏離安全區間則進行緊急保護。安全監測功能原理如圖4所示。

圖4 驅動器安全診斷軟件功能原理Fig.4 Schematic diagram of drive safety diagnostic software function

圖4中，安全監測軟件主要由接口信號合理性監測、傳感器信號合理性監測、通信周期監測、電源狀態參數監測、逆變器與電機狀態參數監測、閉環狀態監測等模塊構成。

3.2.1外部接口信號合理性監測

該模塊從信號邏輯和信號物理意義上對外部脈沖和模擬電壓輸入的合理性進行診斷。外部脈沖信號作為驅動器位置模式指令輸入，通常為兩路相位差為90°的差分正交脈沖信號。其脈沖個數表示位置增量，脈沖頻率表示速度，兩路脈沖超前滯后關系表示位置增量的方向。外部模擬量電壓，通常作為驅動器轉矩、速度模式指令，采用單位電壓對應轉矩或速度作為增益。因此，這兩類信號應滿足如下信號特征約束：

（1）脈沖的差動輸入信號呈現邏輯上的相反關系；

（2）脈沖頻率小于驅動器硬件可及的最大采樣頻率；

（3）正交兩路脈沖相位差應為90°；

（4）模擬信號輸入電壓幅值應在驅動器硬件的檢測范圍內（通常為±10 V）。

此外，脈沖頻率f、模擬電壓幅值A所代表的指令速度和指令轉矩應小于電機的峰值轉速和峰值轉矩。指令約束條件如下：

其中：N為編碼器位數，Vmax為電機的峰值轉速，Gvel為單位電壓對應的轉速增益，Tmax為電機的峰值轉矩，Gtor為單位電壓對應的轉矩增益。

3.2.2傳感器信號合理性監測

該模塊主要對電流傳感器、編碼器信號的合理性進行診斷。以線型霍爾電流傳感器和增量式編碼器為例，傳感器原始信號應滿足如下信號特征約束：

（1）線型霍爾傳感器電壓信號應滿足驅動器硬件檢測范圍且連續變化；

（2）編碼器差動信號呈現邏輯上的相反關系；

（3）編碼器A相與B相的相位差為90°；

（4）編碼器A相與B相計數達一圈時Z相應產生一次脈沖。

傳感器信號真實反映電機狀態，不應進行過多約束。但是，編碼器反饋的速度Vf應小于電機峰值轉速，加速度af應小于系統的最大加速度amax，且反饋位置Pf應處于軟件限位中。約束條件如下：

其中Plimit和Nlimit分別為正負軟件限位位置。

3.2.3通信周期監測

該模塊用于監控和診斷通信周期是否超時。現場總線具有完善的數據校驗機制，誤碼率能夠得到一定的保障。通信周期監測主要對通信行為的異常進行診斷。因此，驅動器接收相鄰兩次通信幀的實際間隔時間tca與設定的通信周期tcs應滿足如下關系：

3.2.4電源狀態參數監測

該模塊用于檢測和診斷母線電壓、控制電壓和母線電流的工作狀態。母線電壓Vdc應大于電機要求的轉速下產生的反電動勢，以保證電機具有正常的速度輸出。母線電壓不應高于電機或功率器件所能承受的最大電壓，否則可能導致電機或功率器件損壞。控制電壓Vctr是提供板載IC的工作電壓，應該根據IC對電源波動范圍進行約束，波動范圍一般不超過5%。母線電流Ibus根據功率器件的開關狀態反映各相電流值，由于電機的感性負載特性，母線電流不會超過各相的峰值電流。則電源狀態參數的安全區間如下：

其中：VDSS為功率器件漏源擊穿電壓，Vmmax為電機繞組的最大電壓，Ke為電機的反電動勢系數，Vr為電機工況要求的轉速，VIC為電路板芯片所要求的工作電壓，Ipeak為電機的峰值電流。

3.2.5逆變器及電機狀態參數監測

該模塊主要通過相電流、溫度傳感器狀態以及功率管開關狀態對逆變器和電機狀態進行監測和診斷。逆變器功率器件參數受溫度影響較大，高溫會導致其最大漏源電流Ids變小，一旦實際通過電流超過Ids則會損壞功率器件。根據功率器件數據手冊可以得到Ids隨溫度T的變化函數F（T）。該函數可計算功率器件在電機峰值電流時的溫度閾值。因此，功率器件的溫度約束如下：

其中：Tf為溫度傳感器的反饋溫度，Tth為提供電機峰值電流的溫度閾值。

在三相全橋電路中，功率器件通過控制8個狀態矢量狀態時間合成電機控制所需的電壓矢量。各矢量狀態下相電壓Vas，Vbs，Vcs的關系如表2所示。

表2 各矢量狀態下相電壓關系Tab.2 Phase voltage relationship in each vector state

此外，各相電流應小于電機峰值電流，且在電機三相負載平衡條件下各相電流之和為0。各相電流的約束關系如下：

3.2.6閉環狀態監測

該模塊通過監測指令條件和反饋狀態，來診斷閉環控制過程中電機電流、速度、位置與指令是否偏差過大。在各模式下指令反饋偏差過大的原因為控制器參數設定不合理、驅動器輸出能力不夠、負載結構卡死等。根據實際系統閉環控制需要設置合理的轉矩閉環偏差Etor、速度閉環偏差Evel、位置閉環偏差Epos和當實際偏差大于設定值時，電機閉環質量已經不能滿足系統需求。

以上分析提供了正常的驅動控制過程中各模塊參數的約束范圍及接口信號的約束條件。根據式（3）～式（9）以及表2對相電壓關系描述建立驅動參數安全運行區間并形成安全診斷機制，可保證驅動器安全運行。

4 功能安全集成設計

IEC61800-5-2標準作為“可調速電氣傳動系統”的功能安全規范，提出了安全功能集成要求。通過深入分析IEC61800-5-2規范要求，構建安全相關系統架構，重點對安全功能集成方法進行闡述。

4.1 IEC61800-5-2安全功能分析

通過分析IEC61800-5-2中建議的17項安全功能的作用方式，安全功能可分為安全停止、安全監視和安全輸出3類，如表3所示。

表3 IEC61800-5-2建議的伺服驅動安全功能Tab.3 Servo drive safety functions recommended by IEC61800-5-2

3類安全功能的作用原理如下：通過監視功能對電機及驅動器運動過程中具有安全指示意義的參數進行監控，一旦這些參數超過設定的安全范圍，則啟動停止功能保證系統和設備的安全。此外，安全輸出為外部控制器或執行器提供部分參數的監控信息，外部控制單元可根據安全輸出信號，通過輸入輸出接口或是現場總線的方式啟動驅動器的停止功能。

4.2 安全相關系統硬件結構

建立可靠的硬件電路是實現上述安全功能的基礎。通過分析各項功能的實現方式，安全集成硬件的設計要求歸納如下：

（1）具有可靠的外部輸入接口作為停止功能觸發源；

（2）具有符合IEC61784-3規范的安全現場總線傳輸停止功能指令；

（3）具有功能和通道獨立的轉矩切斷電路實現STO指令；

（4）具有高可靠的微處理器電路保證安全邏輯的正常實現；

（5）具有可靠的輸出接口保證信號安全輸出；

（6）具有滿足安全完整性等級要求的傳感器保證監視功能數據源。

限于文章主題和篇幅，本文不對現場總線功能安全以及傳感器可靠性相關問題進行研究，假設其安全完整性等級滿足設計需要。根據硬件設計要求，驅動器安全相關系統由傳感器及輸入接口子系統、邏輯子系統、最終原件子系統構成，其硬件架構原理如圖5所示。

圖5 驅動器安全相關系統的硬件架構原理Fig.5 Schematic diagram of hardware architecture of drive safety-related system

傳感器及輸入接口子系統由輸入接口和滿足安全完整性要求的傳感器輸入接口和總線接口構成。輸入接口包括6路相互獨立的隔離輸入電路，提供了停止功能STO，SS1，SS2的外部指令信號輸入接口，并且每一個輸入的停止信號都有A，B兩路獨立的電路通道，提高了硬件裕度。

邏輯子系統采用具有雙MCU內核的SoC芯片及最小系統電路，形成1oo2D結構。SoC中兩個MCU采用雙核鎖步與看門狗共同作用的安全手段，通過MCU程序內存的相互校驗和外部看門狗定時器，保證其信號處理及算法運行功能的可靠性。此外，各MCU輸出的SVPWM開關信號通過輸出邏輯與的操作，可保證在任何一個MCU失效后可由另一MCU關斷三相全橋逆變器功率器件，使STO功能正常實現。

最終，原件子系統是安全相關系統的最終執行單元，用于執行安全保護功能。設計6路相互獨立的輸出隔離電路，實現對SBC，SCA，SSM信號的雙通道輸出。此外，考慮到STO功能是所有安全功能中唯一不進行閉環控制而直接切斷功率電源與電機關聯的功能，獨立且冗余地切斷執行電路是功能安全重要保障。因此，在功率電源模塊和三相全橋逆變電路之間設計功率開關器件，用STO-A隔離輸入控制逆變電路電源通斷。這種STO方式與MCU通過輸出邏輯關斷功率器件的STO方式，在電路作用原理和硬件執行通道上都具有獨立性。

4.3 基于對象字典的安全功能集成方法

在基于總線的可編程控制系統中，設計基于總線的可配置安全功能底層模塊是快速實現安全邏輯設計，滿足不同應用場景對安全功能的個性化需求的關鍵。

根據表3對IEC61800-5-2中建議的17項安全功能特點，在伺服驅動器中集成3類安全功能模塊，并將功能參數映射到對象字典（OD）中，形成基于總線通信的安全功能和邏輯配置架構，如圖6所示。

圖6 安全功能架構原理Fig.6 Schematic diagram of security function architecture

圖6中，安全停止、安全監視和安全輸出3類功能模塊的使能控制、參數配置、狀態反饋等參數全部映射在OD中。主站可通過總線訪問OD，實現對各功能模塊的狀態讀取與使能調度。

傳感器反饋信號處理模塊將傳感器采集得到的電機實際位置、速度、轉矩、加速度和溫度存放在OD中，作為安全監視功能的條件參數。在系統運行過程中，安全監視功能模塊實時對比OD中電機的實際狀態是否超過設定安全范圍，并將狀態存放在OD中。安全輸出功能模塊在電機的實際狀態滿足OD中參數配置時，輸出安全狀態。安全停止模塊根據OD中對停止方式的要求或控制電機按規定的軌跡停止，或進行電源切斷實現自由停車。

采用上述方式，主站安全邏輯可根據OD中安全監視功能的某項或多項狀態來執行安全停止或安全輸出功能，從而實現安全功能的總線配置與控制。此外，驅動器還設置外部停止信號輸入模塊，也可根據外部安全電路信號或安全輸出信號實現驅動器自身的安全保護功能。

三類安全功能模塊的具體實現可結合前文提出的三環控制器架構。將驅動器原有的控制軟件結構簡化為簡單的閉環回路指令處理功能模塊、反饋處理功能模塊和三環控制功能模塊。在此基礎上集成安全停止、安全監視和安全輸出功能模塊，形成如圖7所示的驅動器安全集成軟件架構。

圖7 驅動器安全集成軟件功能結構Fig.7 Function block diagram of drive safety integrated software

圖7中，安全停止功能模塊（SS1，SS2，SOS）于指令處理功能模塊后端，通過干預閉環控制器的指令狀態，在不切斷電源的情況下通過設定減速度使電機停止。整個過程中，閉環控制功能處于有效狀態。在無安全停止功能觸發時，該模塊透傳Cmd指令作為三環控制器的指令輸入。在存在SS1，SS2停止狀態時，根據設置的減速度、延遲時間等參數進行指令規劃，產生安全停止指令。此外，設計安全停止功能模塊（STO）位于三環控制器的輸出端，用于控制三環控制器輸出的SVPWM信號。同樣，在無STO要求時透傳SVPWM信號。當需要執行STO時，將SVPWM信號全部置0，關閉逆變器所有功率器件并采用關閉柵極使能和切斷逆變器電源的方式使電源不能有效作用于電機。

安全監視功能模塊通過對傳感器反饋信號的處理得到電機的實時位置、速度、轉矩、加速度及溫度。用戶根據實際系統的應用場景和負載特性通過總線對安全監視功能中的極限加速度、安全加速度范圍、極限速度、速度范圍、極限轉矩、轉矩范圍、安全限位、極限增量、安全方向和安全溫度范圍進行配置。當所監視的某項參數或多項參數超過設定范圍后，根據安全邏輯要求啟動安全停止功能使電機停止。

安全輸出功能模塊主要對電機位置和速度是否超過限制狀態進行實時判斷，當參數超過限制時輸出安全信號。另外，安全制動控制根據安全邏輯在停止功能完成后輸出安全信號控制外部制動設備。

上述基于OD的安全功能模塊化集成方式可根據各類應用場景對安全功能的不同要求靈活設計安全邏輯，符合伺服驅動器通用化的使用要求。

5 實 驗

根據前文對安全集成伺服驅動器的分析及設計，以國產京微齊力M7系列SoC芯片為主控MCU，以ROHM公司SCT3060AL碳化硅MOSFET為核心功率器件，開發了高功率密度伺服驅動器，如圖8所示。

圖8 自研高功率密度伺服驅動模塊Fig.8 Self-developed high power density servo drive module

為了驗證本文提出的安全集成方法，搭建了如圖9所示的實驗系統。自研高功率密度伺服驅動模塊對PMSM進行閉環控制。PMSM通過聯軸器與轉矩傳感器和磁粉制動器相連，其末端編碼器作為位置和速度傳感器。轉矩傳感器用于測量電機實時轉矩，磁粉制動器模擬電機負載。筆記本電腦通過仿真器與驅動器主控芯片相連，用于監測并記錄驅動過程中重要的變量數據。

圖9 伺服驅動器安全集成功能實驗設備構成原理框圖Fig.9 Schematic block diagram of experimental setup of servo drive safety integrated function

根據圖9搭建實驗測試平臺。采用額定電流為19.5 A的5對極永磁同步電機作為高功率密度驅動模塊的控制對象。使用電機末端集成2500線增量式編碼器作為速度和位置反饋傳感器。選用輸出轉矩為0～6 N·m的磁粉制動器模擬加載情況。實驗測試平臺如圖10所示。

圖10 伺服驅動器安全集成功能實驗平臺Fig.10 Servo drive safety integrated function experiment platform

由于安全監視、安全停止和安全輸出組合形成的安全邏輯數量過于龐大，無法逐一驗證。本文在驅動器轉矩、速度、位置模式下，分別構造典型的安全保護邏輯來驗證安全集成功能的有效性。

5.1 轉矩模式STO保護實驗

伺服驅動器處于轉矩閉環工作模式時，機械負載特性及摩擦力變化可能導致電機持續加速并超過系統的最大運行速度，產生系統失效。安全保護邏輯設置如下：當電機的實際轉速超過SSR［-100，100］ rad/s后，啟動STO停止功能，保護電機及負載設備安全。

將伺服驅動器配置為轉矩閉環模式，初始轉矩指令為0 N·m。一段時間后，將轉矩指令設置為0.4 N·m，電機開始運動；穩定后，將轉矩指令提高到0.8 N·m，電機開始加速運動。整個過程中，電機的實際運行狀態及STO狀態如圖11所示。可以看出，t=0.56 s時轉矩指令為0.4 N·m，電機的實際轉矩與指令轉矩曲線重合，電機速度由0逐步上升至約22 rad/s時基本穩定。t=2.289 s時，電機的實際轉矩跟隨指令轉矩變為0.8 N·m，電機轉速開始上升。在t=2.948 s時，電機轉速超過SSR的正向范圍100 rad/s。此時，STO狀態由0跳轉到1，啟動STO保護，電機實際轉矩迅速降為0并在慣性作用下，速度逐漸下降為0。

圖11 轉矩模式STO保護時電機運動曲線Fig.11 Motion curves of motor in torque mode STO protection

5.2 速度模式SS1保護實驗

伺服驅動器在速度閉環運行時，由于限位開關故障可能會導致電機及負載運動范圍超過機械結構允許的行程，對設備或人員造成危險。安全保護邏輯設置如下：當電機實際位置超過SLP范圍后，啟動SS1停止功能，電機停止。

設置SLP為［-50，50］ rad，SS1停止時減速度為5 rad/s2，減速至2 rad/s時啟動STO停止。伺服驅動器工作在速度閉環模式，初始速度為0。一段時間后，指令速度設置為20 rad/s，當電機超過限位后由SS1停止功能保護。整個過程中電機運行參數曲線如圖12所示。電機從初始時刻進行零速閉環。在t=1.532 s時，電機速度隨指令增加至20 rad/s。此時，電機位置開始增加，啟動瞬間轉矩出現1.8 N·m的尖峰。t=4.03 s時，電機的實際位置超過50 rad，SS1信號變高并以5 rad/s2的減速度進行減速。t=7.63 s時，電機速度降為2 rad/s，STO信號變高并切斷電源使電機停止。

5.3 位置模式SS2保護實驗

圖12 速度模式SS1保護時電機運動曲線Fig.12 Motor movement curves in speed mode SS1 protection

伺服驅動器在位置閉環模式時，由于機械結構卡住或負載行程內人員誤入可能導致驅動器因閉環需要增加轉矩，對設備和人員產生危害。安全保護邏輯設置如下：當電機實際轉矩超過STR范圍時，啟動SS2停止功能，電機停止。

圖13 位置模式SS2保護時電機運動曲線Fig.13 Motion curves of motor in position mode SS2 protection

設置STR為［-2，2］ N·m，SS2停止時減速度為10 rad/s2，減速至2 rad/s時啟動SOS，使電機保持零速閉環狀態。伺服驅動器上電后，保持當前初始位置閉環。一段時間后，給定較大的位置指令。在電機向目標位置運行的過程中，利用磁粉制動器瞬間施加大轉矩后馬上關閉。電機在負載劇烈變化且超過STR范圍時，執行SS2安全停止保護功能。整個過程中電機的運行狀態參數曲線如圖13所示。在t=1.063 s時，位置指令更新為20 rad，電機按最大20 rad/s速度運行到位。t=4.184 s時，位置指令更新為80 rad，電機仍按最大20 rad/s速度運行。t=5.146 s時，電機未運行到位，通過磁粉制動器瞬間施加3 N·m轉矩后關閉。此時，電機實際轉矩已經超過STR上限2 N·m，SS2信號變高并以10 rad/s2的減速度執行SS2安全停止。t=6.946 s時，電機速度降低至2 rad/s，SOS信號變高并以0為指令速度，電機保持停止。

以上3組實驗分別針對電機不同的控制模式下可能發生危險設置了安全保護邏輯。實驗結果驗證了驅動器安全功能的有效性和驅動器安全集成方法的可行性。

6 結 論

本文對自主可控可編程控制系統伺服驅動模塊的安全設計問題進行了研究。通過建立PMSM的矢量控制數學模型，對典型驅動控制的硬件結構與軟件功能進行了梳理，明確了伺服驅動器的實現原理，并據此對驅動器各功能模塊失效模式、作用方式以及對系統的影響機理進行了分析。利用驅動器傳感器信息，提出了各功能模塊安全運行的參數區間，形成了系統驅動器自身模塊失效的安全監測方法。此外，將IEC61800-5-2建議的17項安全功能進行了歸納和分類，并根據各功能實現要求，設計了冗余的安全相關硬件結構。采用基于對象字典的安全功能調度方式，設計了可通過總線配置和調度的安全邏輯軟件架構，形成了安全集成設計方法。最后，搭建實驗平臺，構造典型的安全保護邏輯，驗證了所設計的伺服驅動模塊的安全功能。