西驰变频器 STO 安全转矩切断完整实现方案

西驰全系列高性能通用变频器、矿用隔爆兼本安变频器标配双通道硬件独立 STO，符合 IEC 61800-5-2、EN ISO 13849-1，达到SIL2 / PLd Cat.3功能安全等级；整套分为双通道独立硬件架构、驱动级硬件封锁、双通道交叉诊断、软件安全联锁、矿用防爆专项联动、故障自锁复位逻辑六层实现，核心是安全电路完全独立于主控 CPU，软件失效不影响 STO 硬件安全动作。

一、双通道隔离硬件输入回路（外部安全信号采集层）

1. 双路完全电气隔离，无共通电源 / 元器件对外引出独立端子：STO1、STO2、24V 公共 COM，两路通道采用独立光耦隔离、独立供电支路，两路电路无共用芯片、电源轨，规避单电源失效导致双通道同时故障（硬件容错 HFT=1）。

• 正常运行：STO1、STO2 同时接入 24V 高电平，硬件放行驱动电源；

• 任意一路断开（0V 低电平），立刻启动 STO 关断逻辑；单通道断线、触点粘连、短路均可被诊断检出。

2. 外部安全设备匹配支持双通道急停蘑菇头、安全门联锁、安全光栅、柜门开盖开关、矿用瓦斯本安信号接入；外部必须配套双通道安全继电器，杜绝单线路单点失效。

3. 防共因失效设计两路光耦、限流电路、开关器件选用不同批次 / 不同封装元器件，降低同一批次元器件批量失效风险；两路布线物理分区，强弱电腔体金属隔离。

二、驱动板硬件级底层封锁（STO 核心执行层，最高安全优先级）

西驰 STO 不走主控软件关断 PWM，直接切断 IGBT 驱动芯片的隔离驱动电源，硬件硬封锁，纳秒级切断驱动能量：

1. 两路 STO 通道分别控制两路独立电子开关，分别给六路 IGBT 上下桥驱动芯片供电；

2. 只要任意一路 STO 信号丢失，对应驱动电源立刻切断，IGBT 无栅极驱动电压，彻底无法输出转矩，属于0 类安全停机；

3. 主控 CPU、驱动 DSP 完全无法绕过 STO 硬件电路强行输出 PWM；即便主控死机、程序跑飞、通讯中断，硬件封锁依然有效。

4. 响应速度：从 STO 端子失电到 IGBT 完全关断＜20ms，远优于 SIL2 标准 100ms 限值。

与普通软件停机本质区别

普通故障停机是 CPU 停止发 PWM，存在 CPU 失效无法停机风险；STO 直接物理切断驱动供电，不依赖任何运算芯片，是硬件兜底安全屏障。

三、双通道交叉诊断自检电路（故障实时监测，诊断覆盖率 DC＞90%）

内置硬件反馈检测回路，持续监控两路 STO 通道自身健康状态：

1. 通道一致性比对硬件逻辑实时比对 STO1、STO2 电平状态，两路状态差值超过 20μs 即判定通道故障，立即触发 STO 停机并报「STO 通道异常」故障；

2. 断线 / 短路自检24V 回路内置微弱检测电流，可识别外部线缆断线、对地短路、触点粘连；上电开机自动完整双通道自检，自检不通过禁止变频器合闸运行；

3. 驱动电源反馈校验两路驱动供电支路带电压采样反馈，一旦检测到某一路开关失效、驱动电源异常，直接锁死 STO 状态，禁止输出。

四、主控软件安全联锁与状态管理（上层逻辑、故障记录、权限管控）

安全 CPU 与运动控制 CPU 双内核隔离，安全逻辑独立运算：

1. 多源故障联动 STO 触发逻辑除外部急停、安全门以外，内部高危故障自动同步触发 STO 硬件关断：

• 全预测温控超上限、IGBT 结温超限、隔爆外壳 T4 温度超标；

• 电机 PTC 超温、输出接地短路、功率硬件击穿；

• 矿用机型：瓦斯浓度超标、本安回路故障、腔体开盖联锁信号；上述信号送入独立安全内核，同步拉低 STO 通道电平，硬件同步封锁驱动。

2. 故障自锁，禁止自动复位STO 触发后整机进入安全闭锁状态：

• 即使外部 STO 回路恢复 24V，变频器不会自动重启；

• 必须人工清除故障、面板手动复位、本地确认后才能恢复运行，杜绝设备意外启动伤人；

3. 分级权限管控STO 安全参数、停机阈值、联锁逻辑仅管理员密码可修改；普通操作员无权限关闭 STO 功能、降低安全阈值；参数修改永久存入故障日志，不可删除。

4. 全事件日志固化存储每一次 STO 触发、通道故障、复位操作记录触发时间、故障来源（急停 / 超温 / 瓦斯 / 柜门），本地存储≥1 年，支持煤矿、自动化集控平台溯源审计。

五、矿用隔爆机型 Ex d [ib] I Mb STO 专项防爆联动增强设计

针对井下瓦斯、煤尘爆炸环境做防爆安全升级：

1. 本安信号联动 STO瓦斯传感器、腔体温湿度探头、漏水检测信号经 ib 级安全栅隔离后接入 STO 安全内核；瓦斯≥1.0% CH₄直接双通道拉低触发 STO，同步切断主高压接触器，双重防爆兜底。

2. 腔体开盖硬件联锁直连 STO 通道隔爆门双通道机械联锁开关直接串联进 STO1/STO 外部回路，柜门打开瞬间双通道失电，硬件立刻封锁 IGBT，带电无法打开隔爆腔体，防止开盖电弧引燃瓦斯。

3. 无内部风机密闭散热与 STO 协同保护水冷 / 热管散热失效、流量不足、漏水探头报警信号联动 STO，避免壳体持续高温形成外部点火源；

4. 隔爆腔体内 STO 电路浇封处理STO 光耦、开关、反馈电路采用环氧树脂阻燃浇封，故障击穿无电弧、熔融金属飞溅，符合隔爆腔体内部防爆要求。

六、配套辅助安全机制

1. SS1 受控停机扩展（重载绞车 / 皮带选配）支持安全停止 1 功能：STO 触发前先执行可控减速斜坡，电机平稳停稳后再切断驱动转矩，避免高速急停冲击损坏减速机、皮带机械结构；

2. EMC 抗干扰硬件滤波STO 输入端子配套共模 / 差模滤波电路，井下变频器、接触器强电磁干扰下不会误触发 STO 停机；

3. 独立安全 24V 供电STO 回路采用与主控、驱动分开的隔离辅助电源，主控制电源损坏时，STO 回路依然可正常工作。

七、西驰 STO 核心优势对比通用单通道简易安全回路

1. 纯硬件底层封锁，不依赖 CPU：主控死机、程序崩溃仍可可靠切断转矩；

2. 双通道完全独立隔离，诊断覆盖率高，单通道故障不会丢失安全功能；

3. 矿用机型原生集成瓦斯、开盖、散热故障联动，防爆场景一体化联锁；

4. 闭锁后强制人工复位，无自动重启风险，满足煤矿安全规范；

5. 上电全自检 + 实时交叉诊断，提前识别线路、硬件隐患，避免现场安全失效。

八、完整工作流程简述

1. 上电：自动双通道 STO 自检，异常直接闭锁禁止运行；

2. 正常工况：STO1、STO2 同时 24V 高电平，两路驱动电源正常供电，变频器可输出；

3. 触发条件（急停开门 / 超温 / 瓦斯超标 / 通道断线）：任意一路 STO 电平跌落；

4. 硬件动作：两路 IGBT 驱动电源切断，瞬间无输出转矩，电机自由停机（0 类停机）；

5. 软件动作：记录故障代码、声光报警、上传集控；保持闭锁，人工复位后方可恢复。