IEC 61800-5-2 — PDS-SR 工业 motor drive 8 个安全功能

功能安全L3别名 IEC 61800-5-2 · STO · Safe Torque Off · SS1 · SS2 · Safe Stop 1 · Safe Stop 2 · SOS · Safe Operating Stop · SLS · Safely Limited Speed · SDI · Safe Direction · SLI · Safely Limited Increment · SBC · Safe Brake Control · SCA · Safe Cam · SSM · Safe Speed Monitor · PDS-SR · 工业 motor drive 安全功能 · IEC 60204-1 · Stop Category · 停车类别相关[[topic-asil-decomposition]][[topic-safety-mechanism-catalog]][[topic-e-gas-architecture]][[topic-hv-inverter-iso26262-concept]]

本质与导读

本质 IEC 61800-5-2 把"E-stop 后 motor 怎么停"标准化成可认证的安全功能,其中 STO 是基石——切的是 driver 电源/PWM 命令,不是 disconnection,DC bus 仍带电。原理与汽车 ISO 26262 互通(STO≈HSS、SS1≈ramp-down+cut),但工业 motor 可自由轮停、汽车高速 motor 切电会反电势充电,故 BEV 独有 ASC 而工业无对应。

核心要点

PDS-SR 8 个功能 — STO / SS1 / SS2 / SOS / SLS / SDI / SLI / SBC + 监控 SCA / SSM
3 大类 — A 类立即(STO/SS1/SS2/SOS)、B 类受控(SLS/SDI/SLI)、C 类制动(SBC)
IEC 60204-1 三个 Stop Category — Cat 0 ↔ STO,Cat 1 ↔ SS1,Cat 2 ↔ SS2/SOS
STO 是基石 — 90% 的工业 drive 至少做 STO,SIL 2 / PL d 是入门
STO 双通道 — 一路切 driver 电源,一路切 PWM 命令信号,任一独立有效
STO ≠ disconnection — DC bus 仍带电,维修必须配 SBC 抱闸
工业 vs 汽车 — 静止机器可自由轮停;汽车高速 motor 切电会反电势充电 → 必须 ASC

主线坐标:第 6 站 · 电机 + 控制采样 · ↑ 全景主线

1. 8 个安全功能 — 按类型组织

IEC 61800-5-2 的 8 个安全功能按"动作激进程度"分三类:立即停止 / 运行限制 / 制动控制。下图给出完整地图。

8 个安全功能

1.1 A 类 — 立即类(STO / SS1 / SS2 / SOS)

STO — Safe Torque Off(最基本)

立即切断扭矩输出,motor 进入自由轮(coast)
不主动制动,实际停下时间由负载惯量决定
几乎所有 SIL 2+ drive 都默认带 STO

SS1 — Safe Stop 1

变频器主动减速(用 PWM 控制 ramp down)
速度归零后切到 STO 状态
适合大惯量 / 高电压系统(直接 STO 自由轮太久)

SS2 — Safe Stop 2

受控减速到 0,但驱动器保持上电
进入 SOS 状态(伺服闭环维持位置)
适合机器人 cycle 短暂停止

SOS — Safe Operating Stop

维持位置不动,伺服力矩仍存在
不允许有指令位移
通常是 SS2 之后的状态

1.2 B 类 — 运行限制(SLS / SDI / SLI / SLP / SLT)

SLS — Safely Limited Speed

速度不超指定上限(典型 $\leq 250 mm/s$ )
违例 → STO / SS1
维护门开 / 教学模式必备

SDI — Safe Direction

只允许一个旋转方向
反向运动 → 立即触发安全停止
输送线 / 升降机 / 单向门必备

SLI — Safely Limited Increment

每次按钮按下,motor 只走有限步长
点动 / 示教模式
超距离 → STO

SLP / SLT / SMS(扩展功能)

SLP — Safely Limited Position(位置范围)
SLT — Safely Limited Torque(扭矩上限)
SMS — Safe Maximum Speed(最大速度永久限制)

1.3 C 类 — 制动控制(SBC)+ 监控输出(SCA / SSM)

SBC — Safe Brake Control

外部机械抱闸(电磁刹车)的安全控制
默认掉电抱闸(fail-safe)
通常配合 STO:STO 切电 → SBC 抱闸
垂直轴 / 重力下落场景必须

SCA — Safe Cam

位置在指定窗口内时输出 1
给 PLC 做联锁判定

SSM — Safe Speed Monitor

速度在指定窗口内时输出 1
给 PLC 做联锁判定

2. STO 双通道实现 — 工业标准做法

STO 是所有 8 个功能里最基础的,如果只能做一个安全功能必做 STO。SIL 2 / Cat 3 PL d 的标准实现是双通道独立 + 反馈监控。

STO 双通道实现

2.1 双通道架构

PLC / 安全控制器输出两路 STO 命令 STO_A 和 STO_B,任何一路有效都能切断扭矩:

通道	动作	切什么
STO_A	关 gate driver 电源	阻断 driver IC 12V/15V 供电
STO_B	关 logic 控制信号	阻断 PWM 命令路径

任一通道短路 / 卡死,另一通道独立有效 —— 这就是 Freedom From Interference (FFI) 在硬件层的具体实现。

2.2 反馈监控(Diagnostic Coverage)

光切断不够,还要确认切断:driver 内部 STO_FB1 和 STO_FB2 信号回报给 controller,测试周期(开机自检 / 定期 pulse 测试)验证两通道都能独立切断。

DC(诊断覆盖率) $> 99%$ 是 SIL 2 STO 的典型门槛,容易满足。

2.3 性能要求

STO 不是 binary "有 / 无",IEC 61800-5-2 按 SIL 等级给出命令延时 / PFH_d / 架构三个量化门槛,选型时反向推 PFH_d 目标:

指标	SIL 2 STO	SIL 3 STO
命令到扭矩消失	$< 20 ms$	$< 10 ms$
PFH_d	$< 1 0^{- 6}$ /h	$< 1 0^{- 7}$ /h
需要	双通道 + 反馈	双通道 + 异构 + 反馈
典型 SM	1oo2 voting	1oo2D / 2oo3

2.4 STO 的局限 — 不是电气隔离

STO ≠ disconnectio…

STO ≠ disconnection STO 只切扭矩控制信号,但 DC bus(800V)仍带电!驱动器仍有储能。即使 motor 不转,touching 输出端子仍会电击。

维修前必须:

拉总闸断电

等 DC bus 电容放电(LVD 监控 < 60 V)

配 SBC 机械抱闸(防重力下落)

张贴 LOTO(Lock-Out Tag-Out)标识

2.5 STO 5 种切断点 — 选哪个等于选成本

把"切断扭矩"这件事拆开,沿着 power flow 有 5 个候选切断点。离功率级越近越可靠但越贵,实际项目根据 ASIL/SIL 等级和成本约束挑 2-3 个组合:

序号	切断点	实现	优劣
①	AC mains 与逆变器之间	主接触器 / 断路器	完全切电,但触点机械寿命 + 通信延迟大
②	逆变器与电机之间	输出接触器	不依赖逆变器状态,但成本高 + 重新启动慢
③	Gate driver supply	safe pulse block,切 driver 隔离供电	主流方案,响应快 + 成本中
④	PWM 命令信号	disable PWM,buffer 加 AND gate	最快响应,但电源不切,适合搭 ③ 用
⑤	Processor torque reference	SW 把扭矩目标置 0	仅供 SIL 1 / non-safety,SW 单点失效

典型组合:工业 SIL 2 STO = ③ + ④ 双通道 / SIL 3 = ③ + ④ + ②(机械 backup);汽车 ASIL D = ③ + ④ + 主接触器(② 不常见,因主驱不允许长时间断开)。

2.6 STO subsystem 4 种架构

TI 在 HV Seminar 2024 提出 4 种 STO subsystem 架构,对应不同 retrofit 难度 + 隔离侧选择(TI HV Seminar / Martin Staebler):

STO 4 subsystem 架构

架构	STO-A	STO-B	适用
1	gate drive 逻辑供电(top)	gate drive 逻辑供电(bottom)	opto-input gate driver,IEC 61800-5-2 Annex B 推荐
2	隔离供电(top + bottom)	逻辑供电(top + bottom)	CMOS-input + 6 通道隔离器,TÜV SÜD 认证(TIDA-01599)
3	隔离供电(top + bottom)	隔离供电(top + bottom)	通用方案,易 retrofit;需 2 × 24V load switch
4	PWM disable + 短诊断脉冲	PWM disable + 短诊断脉冲	电源不切,响应最快;RC filter 抑制 20 ns 诊断脉冲,代价是 PWM 传播延迟

TIDA-01599 BOM 节选(TÜV SÜD assessed,SIL 2 / Cat 3 PL d):

数字隔离器:ISO1211 24 V 兼容输入
Safety switch:TPS27S100(P24V output)+ TPS22919(3.3V VCC)
隔离 DC/DC gate drive supply:TIDA-00199(Vin = P24V,Vout = 4 × ±15/-8V)
隔离 gate driver:ISO5452 / ISO5852S(6 个半桥)
Diagnostic 由 SIL1 MCU 跑双通道 cross-check

架构 4 的关键 trick:fast buffer 不切电源而是用一个 AND gate 把 PWM 与 STO-A 与起来,STO-A 信号在正常运行时周期注入 20 ns 短脉冲——下游 RC filter 滤掉短脉冲但保留长 STO 命令,这样诊断不影响 motor 但能验证通道未 stuck。代价是 PWM 边沿被 RC filter 引入额外几百 ns 延迟,SVPWM 死区 budget 要重新核算。

3. 与 IEC 60204-1 Stop Category 映射

IEC 60204-1 是机械电气设备标准(机器整机),定义三个停车类别 —— 它比 61800-5-2 早 10 年,所以 motor drive 是把这三个类别细化映射到具体安全功能。

Stop Category 映射

IEC 60204-1	动作	IEC 61800-5-2 对应	应用
Cat 0	立即切电(自由轮)	STO	E-stop / 小惯量
Cat 1	受控减速 → 切电	SS1	大惯量 / 高电压
Cat 2	受控减速 → 保持上电	SS2 → SOS	机器人 cycle

设计师在做机器整体 risk assessment(EN 12100)时,先决定该机器需要 Cat 0 / 1 / 2,然后 drive 选 STO / SS1 / SS2。

3.1 选 Cat 0 vs Cat 1 的工程判定

如果不确定,从这几个问题入手:

惯量大吗?(电机 + 负载在自由轮下多久能停)— 大 → Cat 1
电压高吗? $> 400 V$ DC bus → Cat 1(driver 切电后 motor 反电势仍会注 DC bus)
是否会撞东西? 自由轮过程中机器人臂可能砸到工件 → Cat 1
维护场景重要吗? Cat 0 简单可靠,维护场景倾向 Cat 0

工业实践:80% 工况 Cat 1 + SS1 是更安全且更通用的选择,Cat 0 只在 E-stop 极端场景或小机器。

4. 工业 vs 汽车 — 同物理 / 不同标准

EV inverter / EPS motor 也是 motor drive,但汽车从不用 IEC 61800-5-2 术语,而是 ISO 26262 框架。两套术语描述的是同一物理现象,但工程语言不同。

工业 vs 汽车对照

4.1 标准对照

工业(61800-5-2)和汽车(26262)在功能安全骨架上共通,但等级命名 / 量化指标 / 认证体全不同——跨域工程师最容易在 PFH_d ↔ PMHF 换算上栽:

维度	工业 IEC 61800-5-2	汽车 ISO 26262
等级	SIL 1-3 / PL a-e	ASIL A-D
量化	PFH_d	PMHF + SPFM + LFM
认证体	TÜV / IFA / SUVA	TÜV / SGS / DEKRA
应用	CNC / 机器人 / lift	EV inverter / EPS / BMS

4.2 功能术语映射

工业 8 个安全功能(STO/SS1/SS2/SOS/SLS/SDI/SLI/SBC)和汽车域不完全对应——有的有直接映射(STO=HSS/Free-Wheel),有的汽车根本没对应(SS2 静止保持力矩在汽车不存在):

工业	物理动作	汽车对应
STO	立即切扭矩 / 自由轮	HSS / 6 个开关全 OFF / Free-Wheel
SS1	受控减速 → STO	EV ramp-down + cut PWM
SS2 / SOS	减速 + 保持位置	无对应(汽车不停车保持力矩)
SLS	速度上限监控	EV 限速 limp-home(非安全级)
SDI / SLI	方向 / 位移限制	无对应
SBC	机械抱闸	无对应(EV 用机械刹车独立)
无对应	—	ASC(Active Short Circuit / 3PO)

4.3 关键差异 — 静止机 vs 移动车

工业:机器人 / CNC / 输送线永远可以停下 —— 任何时刻 STO 自由轮都安全,不会"自由轮地飞出去"。

汽车:车在动 ≠ 可停:

高速 BEV 切 PWM → motor 反电势 → DC bus 充电 → 损坏
必须 ASC(三相短路)让 motor 进入"制动扭矩"模式
低速 BEV(< 50 km/h)可以用 Free-Wheel(类 STO)

详见 topic-asil-d-case-studies BEV inverter safe state 切换。

5. PFH_d 计算 — STO 案例

工业 SIL 2 STO 的 PFH_d 目标 $< 1 0^{- 6}$ /h。典型实现的失效率分解:

元件	$λ$ (FIT)	备注
双 opto 输入	5 × 2	FIT = failures per $1 0^{9}$ h
Driver IC STO 通道	15	内部 redundant
单 opto 短路 / 卡死	2 (CCF)	共因失效
合计 $λ_{D U}$	~ 27 FIT	DU = 危险未检

PFH_d $= λ_{D U} \times 1 0^{- 9} = 2.7 \times 1 0^{- 8}$ /h $≪ 1 0^{- 6}$ /h —— SIL 2 余量充足。

实际 SIL 3 STO 需要异构通道(不同 IC + 不同时钟)+ 2oo3 voting,详见 topic-functional-safety-chip-selection。

6. 工程 cheat-sheet

下表组织 PDS-SR 安全功能的选型与设计决策。

场景	推荐功能	配套 SM
E-stop 按下,小机器	STO	双通道 + 反馈
大惯量 / 大电压 motor	SS1	受控减速 + STO 兜底
机器人 cycle 暂停	SS2 → SOS	减速 + 位置保持
维护门开,需保留 jog	SLS + STO bypass	速度 + 距离限制
单向输送 / lift	SDI	反向触发 STO
教学示教	SLI	每次按按钮限步长
垂直轴 / 重力下落	STO + SBC	切电 + 机械抱闸
EV inverter 高速 fault	ASC(汽车独有)	三相短路
EV inverter 低速 fault	Free-Wheel(类 STO)	6 个开关 OFF

7. 常见误区

工程实践中遇到的 PDS-SR 陷阱,主要来自"把 STO 当作完整安全方案"或"把工业概念套到汽车"。

❌ "STO 一切就完事" — STO 不切 DC bus,维修必须配独立断电
❌ "Cat 0 比 Cat 1 简单更安全" — 大惯量场景 Cat 0 自由轮可能更危险
❌ "STO 只需要软件命令" — 必须硬件双通道,软件命令是补充
❌ "ASIL D = SIL 3" — 两套标准量化方式不同,不能直接换算
❌ "STO 是个产品" — 不是产品,是变频器需具备的功能
❌ "EV inverter 不需要 STO" — 需要类似功能(HSS),只是不叫 STO

8. 自检题

前 3 题考 8 个功能,4-6 考 STO 实现,7-10 考映射与工程判断。

PDS-SR 8 个安全功能各自的核心动作?哪些是"停止类",哪些是"运行限制"?
STO 和 SS1 的物理差异?哪个适合大惯量?
SOS 与 SS2 的关系?为什么 SS2 → SOS 而不是 → STO?
SIL 2 STO 双通道分别切什么?为什么要双通道?
DC(诊断覆盖率) $> 99%$ 需要做什么?
STO 命令到扭矩消失多少 ms 是 SIL 2 典型?
IEC 60204-1 Cat 0 / 1 / 2 与 IEC 61800-5-2 哪些功能对应?
为什么汽车 EV inverter 在高速下不能用类 STO 的方法?
ASC(三相短路)在 IEC 61800-5-2 里有对应吗?为什么?
维修 motor 前必须做哪几步(光 STO 不够)?

Cross-references

← 索引
topic-functional-safety — 总框架(SIL / ASIL / PMHF / PFH_d)
topic-functional-safety-industrial-vs-auto — 两套标准的根本差异
topic-torque-safety — 汽车扭矩安全(ASIL D / E-Gas / STO / ASC)
topic-e-gas-architecture — 三层监控架构(L1/L2/L3)
topic-safety-mechanism-catalog — 安全机制总目录
topic-asil-decomposition — 把 ASIL D 拆成 B+B 的方法
topic-hv-inverter-iso26262-concept — EV inverter HSS / LSS / 3PO 安全态
topic-functional-safety-chip-selection — SBC / driver IC 选型