在工业自动化、机器人、伺服驱动和电机控制系统中,电机控制是实现运动控制与执行动作的核心环节,随着工业设备从传统单机控制走向多轴协同、机器人关节、移动平台以及更高功率密度的伺服系统,功能安全正在成为关键。工程师需要面对的问题已经不只是如何让电机转得更快、更准、更稳定,同时也需要当故障发生时,系统能否及时检测、正确判断,并以可验证的方式切入安全状态。
在德州仪器(TI)功能安全研讨会中,围绕电机控制系统中的功能安全实现方式进行了系统性介绍,重点覆盖功能安全标准、伺服驱动系统中的安全功能定义、安全MCU架构、安全电源、安全制动控制、安全转矩关断、安全编码器以及工业安全通信等内容。
需要特别强调的是,电机控制中的功能安全并不是在传统控制系统外部简单增加一个保护电路,而是需要从系统架构、器件诊断、冗余通道、软件隔离、通信校验和最终安全状态触发等多个层面共同设计。
电气安全并不等于功能安全
工程项目中,功能安全经常容易与电气安全混淆。其中,电气安全更多关注的是防止人员触电、绝缘失效、危险接触等问题,而功能安全则需要关注电子、电气或可编程系统在发生故障时,系统能否恢复正常运行状态,或者至少能够以受控方式安全运行。
功能安全的核心不是默认系统永远不会出错,而是承认芯片、传感器、驱动器、供电轨、通信链路和执行机构都可能出现失效,并通过诊断、冗余、监控、隔离和安全输出机制,把这些失效对人员、设备和环境造成的风险降到可接受水平。
对于电机控制系统来说,这一点尤其重要。因为电机本身连接着机械能输出,一旦控制失效,就可能导致转矩异常、速度失控、机械臂下坠、运动平台误动作或制动失效。功能安全设计的目标,就是在这些风险演变成危险事件之前,系统能够检测到异常,并触发如STO(安全转矩关断)、安全制动、安全速度监控或安全停机等功能。
从标准开始定义安全目标
TI特别强调,功能安全项目不应在设计后期才补充,而应在项目最早期就定义清楚安全目标、安全等级和适用标准。不同产品、不同应用所适用的功能安全标准并不相同,工程师首先要知道自己的产品未来要符合哪一类标准,才能进一步决定系统架构、诊断覆盖率、冗余方式和认证路径。
从标准体系来看,功能安全相关标准可以分为不同层级。基础类标准主要提供通用功能安全原则,例如IEC 61508,它定义了SIL等级、失效率、诊断覆盖率、硬件故障容错等基础概念。通用安全标准则面向一类应用或机械设备,例如ISO 13849,其中定义了Performance Level,也就是PL等级,以及Category架构分类,如Cat.1、Cat.2、Cat.3、Cat.4。再往下则是特定产品或特定应用标准,例如面向可调速电力驱动系统的IEC 61800-5-2,它直接定义了伺服驱动和电机驱动系统中常见的安全功能。
对于伺服驱动、机器人关节、工业变频器等应用,如果目标是实现SIL 2、SIL 3,或者Cat.3/PL d、PL e等级的安全要求,架构设计一开始就必须考虑硬件通道数、诊断覆盖率、故障反应时间、器件失效率、软件隔离以及最终安全输出路径。
安全功能正在成为系统设计主线
在一个典型伺服控制系统中,功能安全相关模块分布在多个子系统中。
首先是安全电源轨,因为电源失效可能影响MCU、驱动器、传感器、编码器和通信模块等多个负载,一旦供电异常没有被及时发现,后续安全功能也可能失去基础。其次是机械制动控制,尤其是在机器人、垂直轴伺服和机械臂场景中,电机停止并不等于机械系统已经安全,刹车必须在正确时机抱紧,否则可能发生下坠或滑移。
在IEC 61800-5-2中,STO和SBC是非常关键的安全功能。STO即Safe Torque Off,安全转矩关断,其目标是在检测到危险条件后切断电机产生转矩的能力,使驱动器不再向电机输出有效转矩。SBC即Safe Brake Control,安全制动控制,通常会与STO联动使用。例如在机械臂停止时,系统先确保电机转矩安全移除或运动速度降到安全状态,再控制机械抱闸动作,从而防止机械臂因重力或负载导致下落。
此外,电机控制系统还会涉及安全速度监控、安全位置监控、安全通信和安全编码器等功能。这些功能往往需要MCU参与计算,需要编码器或传感器提供可信反馈,也需要通信链路能够传递安全数据。因此,功能安全并不是单个芯片或单个开关就能解决的问题,而是一个系统级设计问题。
双通道、混合架构与单芯片方案
在安全MCU架构方面,TI介绍了几类典型拓扑方案。第一类是独立功能安全MCU模块,也就是使用两颗独立MCU实现安全功能。这种方式在通用变频器和通用伺服系统中比较常见,因为它可以作为一个相对独立的安全模块存在,便于产品系列化和功能升级。优势是扩展性好,安全模块与主控制系统之间解耦程度较高;缺点则是增加MCU后,外围电路、PCB面积、供电设计和系统成本都会上升。
第二类架构是在第一类双通道思路基础上的优化,也就是把其中一个安全通道放入功能安全多核主控系统中,由主控MCU内部的一个核心与外部MCU形成互检关系。这种架构本质上仍然是双通道安全设计,但相比两个完全独立MCU,可以节省部分硬件空间和成本,同时仍然支持较高等级的功能安全目标。
第三类是更面向小型化需求的单芯片架构,即使用多核MCU加外部具备功能安全特性的PMIC或监控器件来实现安全功能。这类方案特别适合机器人关节、人形机器人、电机小型控制板等对PCB面积高度敏感的应用。对于这类系统来说,关节板可能只有数十平方毫米级尺寸,芯片数量、外围电路和布板面积都是非常关键的约束。
不过,单芯片方案的功能安全也受限,在硬件故障容错上可以理解为HFT=0,因此若要实现较高安全等级,就必须显著提高诊断覆盖率,例如通过外部PMIC、电源监控、数据诊断、安全I/O输出和内部双核互检等机制,尽可能发现潜在故障并及时触发安全状态。
软件隔离同样是功能安全的一部分
在多核MCU中,安全任务和非安全任务如何分配,也会影响功能安全设计复杂度。TI在研讨会中提到,如果在同一颗MCU上同时运行电机控制、工业通信、位置反馈以及安全诊断任务时,需要特别关注不同任务之间的干扰问题。
较理想的方式,是把安全相关功能尽可能放在独立核心或独立执行环境中运行,把非安全功能放在另一颗核心中运行,从而减少不同安全等级软件之间的干扰。如果安全功能和非安全功能混合在同一核心或同一资源空间中,就需要进行更复杂的混合关键性设计。
控制、通信与安全的结合
功能安全不是单纯看算力,而是要看芯片是否支持锁步核、错误检测、存储器保护、外设诊断、时钟监控、电源监控、软件诊断库、安全手册、FMEDA计算以及认证资料等完整配套。
在产品层面,TI提到了面向电机控制和工业应用的多类MCU方案。一类是基于Arm Cortex-R5F的AM26x系列,这类器件面向工业控制和实时系统设计,支持多核架构,部分核心可以配置为锁步或非锁步模式。其片上TCM可以用于存放实时控制代码,以降低访问延迟,提高确定性执行能力。
AM26x系列的另一个特点是集成PRU-ICSS子系统。PRU是Programmable Real-time Unit,可编程实时单元,基于32位RISC架构,强调确定性和低延迟,适合承担工业通信中的数据链路层处理任务。例如在EtherCAT、PROFINET、EtherNet/IP等工业以太网中,PRU可以通过更换固件和协议栈支持多协议,适用于伺服驱动、机器人控制器和工业节点。
同时,PRU-ICSS也可以支持多协议编码器接口,让同一平台能够适配多种主流数字编码器。对于电机控制系统来说,编码器反馈、工业通信和实时控制本身就是高度耦合的三类能力,TI希望通过MCU平台把这些能力整合到一个更适合工业驱动的系统架构中。
另一类则是TI深受好评的C2000系列。C2000基于C28x(C29x) DSP内核,面向实时控制、电机控制和电力电子应用,虽然主频数字未必看起来特别高,但其DSP指令、控制外设和电机控制生态使其在FOC、电流环、电压环、速度环等场景中具有较强优势。对于一些需要小型化设计的电机控制板,C2000的小封装、丰富PWM、ADC、比较器和控制外设,仍然是非常重要的工程选择。
安全电源的注意事项
功能安全系统中的电源设计是安全架构中的一部分。TI介绍了多种安全供电架构,包括在电源上游或下游切断供电路径、使用PMOS或NMOS实现安全断开、通过双DCDC分别给两颗MCU供电,并让两颗MCU交叉检测彼此供电状态等方式。
在前三类架构中,安全电源更多体现为快速切断。当检测到故障后,系统通过切断关键电源轨使受控对象进入安全状态。第四类架构则利用了冗余供电思路。第四类交叉供电方式对于机器人至关重要。人形机器人或复杂机械臂并不总是适合一刀切式断电,有可能在突然断电之后导致姿态失控、跌倒或二次危险。因此,更合理的做法可能是在故障发生后让系统维持短时间受控运行,使机器人回到安全姿态或执行安全制动,然后再进入最终安全状态。
STO:从继电器走向电子开关
STO(安全转矩关断)是伺服驱动中最常见、也最基础的安全功能之一。过去,很多STO设计使用继电器切断安全链路,但继电器存在机械寿命、响应速度、体积和可靠性限制。随着半导体器件发展,越来越多系统开始使用电子开关、负载开关、逻辑器件或驱动器供电切断方式来实现STO。
从实现路径看,STO可以通过切断栅极驱动电源、切断隔离驱动输入、切断PWM信号、切断高低侧驱动供电等多种方式实现。如今,市面上常见STO架构大致可以分为几类:一类是通道A切断上桥臂驱动供电,通道B切断下桥臂驱动供电;第二类是一路切断功率开关侧驱动电源,另一路切断原边输入;第三类是两个开关串联切断栅极侧电源;第四类则是不直接切断电源,而是通过高速逻辑门或逻辑器件阻断PWM信号。
不同架构各有取舍。切断电源路径的方式相对直观,但需要考虑开关耐压、负载电流、隔离和诊断问题;切断PWM的方式不需要大电流流过安全开关,电路可能更轻量,但对诊断速度要求更高。尤其在SIL 3或较高PL等级目标下,系统必须能够快速检测PWM阻断链路是否失效,否则难以满足低PFHd和高诊断覆盖率要求。
TI也强调,低等级STO设计可能不需要复杂诊断,但当系统目标提高到SIL 3或更高安全完整性要求时,诊断电路通常不可省略。工程师需要能够检测每个关键器件是否发生失效,并在检测到异常后通过逻辑链路切断安全输出。也就是说,STO不是单个开关动作,而是一套可诊断、可验证、可计算失效率的安全功能。
SBC:机械制动也要纳入安全链路
与STO相比,SBC更容易被忽略,但在机器人和垂直轴伺服中,它同样关键。因为STO只能确保电机不再产生驱动转矩,却不能保证机械负载不会因重力或外力发生移动。因此,系统需要在合适时机控制机械抱闸,并确认制动控制链路本身的安全性。
SBC可以采用单通道或双通道方案。对于较低安全等级目标,单通道加足够诊断覆盖率可能可以满足要求;对于更高等级目标,则往往需要双通道架构,例如两个开关并联、两个开关串联、都放在高侧、都放在低侧,或者一高一低组合。其中,一高一低的双通道架构是较常见方案,在一些公开的驱动器功能安全手册中也能看到类似思路。
从工程角度看,SBC设计必须考虑制动器的供电路径、释放与抱闸逻辑、故障检测、短路/开路诊断、开关失效模式以及与STO的联动时序。对于机械臂而言,SBC并不是STO的附属功能,而是确保机械系统最终安全状态成立的关键环节。
负载开关、SVS与PMIC
负载开关在STO、SBC等安全功能中作用巨大,负载开关可以用于切断关键供电路径,同时提供过流、过压、电流限制等保护能力。根据负载电流等级和系统电源轨要求,工程师可以选择不同规格的负载开关,以满足安全功能对切断能力、响应速度和诊断能力的需求。
此外,TI还提到了TPS37、TPS38等电源监控器件。这类SVS,也就是Supply Voltage Supervisor,可以用很小封装监控电源轨状态。当被监测电源轨出现欠压、过压或异常时,SVS可以输出开漏信号,触发外部保护电路或安全逻辑。在单芯片功能安全架构中,MCU加PMIC或SVS的组合可以作为提高诊断覆盖率的重要方式,用于支持Cat.3/PL d等目标。
功能安全系统也需要负载开关、PMIC、SVS、逻辑器件、驱动器和编码器等,与MCU共同组成最终安全链路。所有器件的故障模式被纳入FMEDA和系统安全分析中,整个安全功能才具备可认证基础。
安全编码器
电机控制系统的安全判断离不开位置、速度和方向信息,因此编码器也是功能安全设计的重要组成部分。市场上已经有一些具备安全能力的编码器,例如支持双通道内部架构,并通过RS-485等接口将安全数据嵌入通信帧中,再传输到驱动侧进行校验。
这类安全编码器通常采用黑通道原则,也就是说,底层通信介质本身不一定按照功能安全标准设计,但安全机制通过上层协议来覆盖数据丢失、延迟、重复、乱序、ID错误、CRC错误等通信风险。驱动侧接收到安全编码器数据后,再通过双通道比较或安全协议校验,判断反馈信息是否可信。
如果系统不使用集成安全编码器,也可以通过两个独立编码器实现双通道反馈。但这样会带来更多硬件成本、安装空间和解码复杂度。对于高安全等级伺服系统来说,编码器反馈的可信度直接影响安全速度、安全位置、安全方向和安全停止等功能是否可靠。
黑通道机制降低系统耦合复杂度
在工业通信层面,TI提到了类似FSoE这类功能安全通信机制。FSoE通常运行在工业以太网之上,通过黑通道原则实现安全数据传输。它并不要求底层物理层、数据链路层或普通通信协议本身都变成功能安全协议,而是在安全协议层加入序号、时间、ID、CRC、超时和交叉校验等机制,用来覆盖通信过程中的典型错误。
这类设计的价值在于降低系统耦合复杂度。对于伺服驱动和机器人系统来说,安全控制器、驱动器、编码器和I/O节点之间必须传递安全数据,但工业网络本身往往还要同时承担普通控制数据、状态数据和诊断数据。黑通道机制使安全数据能够在已有通信链路上运行,同时仍然具备可分析的安全属性。
当安全MCU收到安全通信数据后,还需要与本地状态、编码器反馈、电源监控和驱动器状态进行交叉检查,最终决定是否触发STO、SBC或其他安全功能。因此,安全通信只是安全链路的一部分,不能脱离系统级诊断独立存在。
功能安全的本质是系统工程
从TI这场研讨会可以看到,电机控制中的功能安全已经从单点保护,发展为覆盖控制、供电、驱动、反馈、通信和执行的系统工程。工程师需要在设计初期明确安全目标和适用标准,再根据目标等级选择合适的架构:是采用双MCU实现高冗余,还是采用多核MCU加PMIC实现小型化;是通过切断栅极驱动电源实现STO,还是通过逻辑链路阻断PWM;是采用单通道制动控制加诊断,还是采用双通道SBC;是使用安全编码器,还是双编码器互检;是依靠独立安全通信,还是基于黑通道机制传递安全帧。
这些选择没有绝对统一答案,而是取决于产品目标、安全等级、系统成本、PCB面积、实时性、认证路径和最终应用场景。对于通用伺服和变频器,双通道安全MCU架构可能带来更清晰的认证边界;对于机器人关节和人形机器人,单芯片小型化方案加高诊断覆盖率可能更符合空间和重量约束;对于高可靠工业系统,安全通信、安全编码器和安全电源则必须被同时纳入系统分析。
功能安全真正考验的不是某一个器件是否足够强,而是系统能否在故障发生时仍然保持可预测、可诊断、可验证和可控。TI所展示的思路,是把MCU、PMIC、负载开关、电源监控、驱动控制、编码器接口和工业通信整合到功能安全设计框架中,让电机控制系统从追求性能,进一步走向追求可证明的功能安全。