ZHCU410B December 2017 – November 2022
安全状态由以下事件触发:
驱动状态反馈 STO_FB 子系统
STO_FB 信号为逻辑低电平信号,用于指示驱动状态。高电平信号(逻辑电平 1)表示正常驱动运行,而低电平信号(逻辑状态 0)表示处于安全驱动状态。原理图如图 2-5 所示。相应 STO_1 和 STO_2 安全子系统的输出信号 STO_1_FB 和 STO_2_FB 会逻辑组合成单个低电平有效反馈信号 STO_FB 并发送至隔离式 24V 数字输出。表 2-3 中显示了相应的逻辑状态。
|
输入 1:STO_1 |
输入 2:STO_2 |
输出 1:STO_1_FB |
输出 2:STO_2_FB |
驱动状态 |
STO_FB |
注释 |
|---|---|---|---|---|---|---|
|
1 |
1 |
1 |
1 |
正常运行 |
1 |
|
|
0 |
0 |
0 |
0 |
安全状态(关闭) |
0 |
|
|
1 |
1 |
0 |
1(卡在高电平故障) |
安全状态(关闭) |
0 |
(1) MCU 已经检测到子系统 STO_2 中的单个危险故障(卡在高电平),并已经通过 STO_1 子系统触发安全状态。 |
|
1 |
1 |
1(卡在高电平故障) |
0 |
安全状态(关闭) |
0 |
(2) MCU 已经检测到子系统 STO_1 中的单个危险故障(卡在高电平),并已经通过 STO_2 子系统触发安全状态。 |
|
0 |
0 |
0 |
1 |
安全状态(关闭) |
0 |
之前可能已检测到单个检测到的故障,请参阅上一行中的 (1)。 |
|
0 |
0 |
1(卡在高电平故障) |
0 |
安全状态(关闭) |
0 |
之前可能已检测到单个检测到的故障,请参阅上一行中的 (2)。 |
|
0 |
0 |
1(卡在高电平故障) | 1(卡在高电平故障) | 正常运行 |
1 |
危险状态,由两个危险故障造成,安全子系统 STO_1 和 STO_2 中各有一个。注意:该系统设计为支持单一容错 (HFT=1),而不是允许发生两个故障,每个子系统各一个。 |
STO_FB 信号可以为低电平有效(逻辑状态 0),而 STO_1 和 STO_2 均为高电平无效(逻辑状态 1)。当诊断 MCU (SIL 1) 在 STO_1 或 STO_2 子系统其中一个上检测到单一危险故障时,便会出现此状态。如果发现短路或卡在高电平,MCU 便会将诊断脉冲 MCU_Diag_Ctrl_Out1 和 MCU_Diag_Ctrl_Out2 持续驱动至低电平,以将三相 IGBT 逆变器置于安全状态。例如,此状态可由外部安全 PLC 用来识别 STO_1 或 STO_2 系统中的单一故障并采取适当的措施。安全 PLC 及相关行为不在本设计的讨论范围内。