Скидка на подшипники из наличия!
Новое поступление товара в 2026 году!
Safe Torque Off (STO) — базовая безопасная функция современных частотных и сервоприводов, исключающая возникновение момента на валу двигателя без снятия питания с самого преобразователя. Вместе с производными функциями SS1, SS2, SOS и SLS она составляет ядро встраиваемой функциональной безопасности приводов и определена в международном стандарте IEC 61800-5-2.
В статье разобраны принцип работы STO, отличие от классического обесточивания контактором, состав других безопасных функций по IEC 61800-5-2, связь со стоп-категориями по IEC 60204-1, интеграция привода с контроллером безопасности и характеристики SIL и PL по IEC 62061 и ISO 13849-1.
Safe Torque Off (безопасное отключение момента) — это безопасная подфункция системы силового электропривода с регулируемой скоростью, определённая в международном стандарте IEC 61800-5-2. Её суть: безопасным образом не допустить подачи на двигатель энергии, способной вызвать вращение или линейное перемещение, не отключая при этом сам преобразователь от сети.
В терминологии стандарта IEC 60204-1 (электрооборудование машин) STO соответствует стоп-категории 0 — неконтролируемому останову с немедленным снятием питания, способного вызвать движение. Двигатель при этом теряет момент мгновенно: вращающаяся масса движется далее по инерции, и если есть силы тяжести или внешние нагрузки, для удержания позиции нужны дополнительные средства — механический тормоз или соответствующая кинематика.
STO останавливает не вал — STO останавливает крутящий момент. Всё остальное остаётся как было: преобразователь под напряжением, шина постоянного тока заряжена, коммуникации с контроллером работают.
Эта особенность принципиальна. При классическом обесточивании контактором ради быстрого восстановления работы приходится повторно заряжать звено постоянного тока, восстанавливать связь, перепроверять параметры, восстанавливать положение по датчикам. С STO ничего этого делать не нужно: после снятия запроса на безопасное состояние и квитирования привод готов к работе фактически мгновенно.
Аппаратно STO реализуется блокированием формирования управляющих импульсов для силовых ключей преобразователя — IGBT-транзисторов инвертора. Управляющие сигналы поступают на затворы силовых модулей через драйверы (gate drivers), питание которых, в свою очередь, организовано через гальваническую развязку — как правило, оптопары и развязывающие источники. STO разрывает эту цепочку: при срабатывании функции драйверы остаются без питания, импульсы ШИМ на затворы не приходят, ключи закрыты, фазы двигателя не коммутируются — момент создать невозможно.
Для требуемого уровня безопасности (как правило, SIL 3 / PL e / категория 3 по ISO 13849-1) функция строится по двухканальной схеме. Каждый из двух дискретных входов STO независимо разрывает свой канал блокирования драйверов: один канал отвечает за верхние ключи моста, второй — за нижние. Внутренняя диагностика контролирует состояние обоих каналов; при выявлении расхождения привод уходит в безопасное состояние и сообщает об ошибке.
Логика «одного канала достаточно для перехода в безопасное состояние, но оба канала должны замкнуться для разрешения работы» реализует базовый принцип отказобезопасной техники: единичный отказ компонента не приводит к потере функции безопасности.
Со стороны интерфейса с системой управления у привода обычно два независимых дискретных входа (например, STO1 и STO2), номинально с замкнутыми контактами в рабочем режиме. Размыкание любого из них активирует STO. Многие приводы также имеют выход EDM (External Device Monitoring) или обратную связь по достигнутому состоянию — её использует контроллер безопасности для перекрёстного контроля.
В сетевых решениях STO активируется не сигнальными проводами, а безопасным сообщением по промышленной шине (через профили безопасных коммуникаций по IEC 61784-3). Это упрощает монтаж и позволяет включать привод в распределённую систему безопасности, но требует соответствующей квалификации контроллера и среды.
STO не обеспечивает электрическую изоляцию. На выходных клеммах привода может оставаться напряжение, а звено постоянного тока остаётся заряженным. Перед любыми работами на двигателе или преобразователе обязательна изоляция выключателем или разъединителем выше по сети — это самостоятельная организационная мера, не покрываемая STO.
До массового внедрения встроенных безопасных функций задача быстрого безопасного останова двигателя традиционно решалась силовыми контакторами с механически связанными контактами, устанавливаемыми между сетью и преобразователем или между преобразователем и двигателем. Этот подход остаётся работоспособным, но проигрывает встроенному STO по ряду параметров.
На практике STO и контактор не взаимоисключающие, а дополняющие друг друга решения. STO решает задачу безопасного останова и предотвращения непреднамеренного пуска; питающий разъединитель (а не контактор) решает задачу электрической изоляции при обслуживании. На приводах с особо высокими требованиями к безопасности — например, при необходимости достичь PL e категории 4 на нагрузках, где требуется именно физическое снятие напряжения с двигателя, — STO дополняется выходным безопасным контактором как второй независимый канал.
В стандарте IEC 60204-1 определены три категории остановки. На них опираются и функции безопасности приводов по IEC 61800-5-2.
Важная нормативная оговорка: стандарт ISO 13850 (аварийный останов) ограничивает выбор для функции аварийной остановки категориями 0 и 1. Категория 2 для аварийного останова, как правило, недопустима, поскольку питание после останова не снимается — это вступает в противоречие с самим понятием «аварийной» меры.
SS1 решает проблему STO на инерционных и высокоскоростных приводах. Привод получает запрос, начинает целенаправленное торможение по заданной рампе (или по таймеру), а по достижении состояния покоя — или по истечении контролируемого времени — переходит в STO. Стандарт IEC 61800-5-2:2016 различает варианты SS1(a), SS1(b) и SS1(c), а в индустриальной терминологии чаще встречаются два варианта:
SS1 пригоден для аварийной остановки по категории 1 и подходит для большинства типовых сценариев с инерционной нагрузкой — конвейеров, прессов, упаковочных машин, подъёмников.
По требованию ISO 13850:2015 (пункт 4.1.5.1), минимальный уровень эффективности для функции аварийного останова — PLr c по ISO 13849-1 или SIL 1 по IEC 62061. Более высокий уровень может потребоваться по результатам анализа риска, особенно для машин с высокой энергией движущихся частей.
SS2 отличается от SS1 тем, что после достижения покоя момент с двигателя не снимается. Привод остаётся в активном замкнутом контуре регулирования и удерживает положение силовым моментом, переходя в режим Safe Operating Stop. Такая остановка — категория 2 по IEC 60204-1.
Сценарий применения — обслуживание или вмешательство в технологический процесс на остановленном оборудовании без потери координат: после снятия запроса оборудование возобновляет работу из той же позиции без повторной привязки. Для аварийной остановки SS2 не применяется.
SOS — это мониторинг состояния покоя. Привод активен, удерживает положение, но безопасно контролирует, что отклонение от заданной позиции не превышает заданного порога. При выходе за допуск SOS инициирует переход в более строгое состояние — обычно SS1 или STO. Применяется в составе SS2, а также как самостоятельная функция в роботах и обрабатывающих центрах при доступе оператора в зону.
В стандарте IEC 61800-5-2:2016 безопасные подфункции официально сгруппированы в три категории: функции стопа (stopping sub-functions), функции мониторинга (monitoring sub-functions) и выходные подфункции (output sub-functions — единственный пример — безопасное управление тормозом SBC). В индустриальной практике функции мониторинга часто называют «функциями безопасного движения» (safe motion functions) — это синоним. Ниже — основные функции мониторинга движения, наиболее востребованные в машиностроении.
При выходе любого контролируемого параметра за допустимый предел подфункция мониторинга, как правило, инициирует переход в безопасное состояние — обычно STO или SS1. Такая «реакция отказа» прописывается на этапе проектирования и должна быть учтена в анализе риска.
SLS — одна из самых востребованных безопасных подфункций после STO. Типовой сценарий: при открытии защитного ограждения или при нажатии кнопки удержания (трёхпозиционного «энкодера разрешения») контроллер безопасности подаёт привод запрос на режим SLS, и оператор работает рядом с механизмом при безопасно ограниченной скорости. Подъём скорости выше предела — автоматический безопасный останов.
Безопасное управление внешним механическим тормозом. Привод формирует безопасный сигнал, разрешающий или запрещающий питание катушки тормоза. Тормоз должен быть пружинно-нормально-замкнутым: при наличии тока удерживается в открытом состоянии, при снятии тока пружина накладывает колодки. Это обеспечивает корректное поведение при любом отказе цепи питания.
SBC применяется в связке с STO на вертикальных осях, подъёмниках, кранах — везде, где после снятия момента может произойти неуправляемое движение под действием силы тяжести. SBC активируется одновременно с STO или с опережением, чтобы тормоз сработал до того, как двигатель потеряет момент.
Безопасное тестирование тормоза. Привод периодически прикладывает к закрытому тормозу контролируемый момент и проверяет, что вал не двинулся. Это позволяет диагностировать износ колодок и ослабление пружин без снятия тормоза и без поднятия нагрузки. SBT востребован в подъёмном оборудовании, где отказ тормоза опасен и не выявляется обычной диагностикой.
Функциональная безопасность приводов опирается на иерархию стандартов разного уровня — от рамочного IEC 61508 до специализированных под привод и под машину. Ниже — действующие на 2026 год редакции.
В системе ГОСТ Р действуют переводы более ранних редакций международных стандартов. На 2026 год это:
При проектировании для рынка ЕАЭС обязательны действующие национальные стандарты. При экспортных проектах и работе с импортным оборудованием смотрят на актуальные международные редакции. Расхождения между ними касаются не базовых определений STO, SS1 и т. п., а методики расчёта PFHd, требований к ПО, документации и периодическим испытаниям.
Эффективность безопасной функции измеряется двумя параллельными системами оценок: SIL (Safety Integrity Level) по IEC 61508 и производным стандартам (IEC 62061, IEC 61800-5-2) и PL (Performance Level) по ISO 13849-1. Обе оперируют, в конечном счёте, средней частотой опасного отказа в час — PFHd (или PFH в новой терминологии IEC 62061).
В четвёртой редакции ISO 13849-1:2023 терминология приведена к согласованию с IEC 61508 и IEC 62061: вместо ранее использовавшегося PFHD («average probability of dangerous failure per hour») введён PFH («average frequency of dangerous failure per hour») — частота, а не вероятность. По существу диапазоны и числовые значения для PL не изменились, но обозначение в новых документах правильнее писать как PFH. В этой статье ниже используется традиционное обозначение PFHd, привычное по предыдущим изданиям.
В машиностроении применяется максимум SIL 3. SIL 4 (характерный для тяжёлой химии и атомной промышленности по IEC 61508) для машиностроительных систем управления не используется. Соответствие PL и SIL не является строго взаимно-однозначным: оно справедливо в части PFHd, но категория архитектуры по ISO 13849-1 несёт дополнительные качественные требования.
Типичный современный привод с двухканальной STO достигает SIL 3 / PL e категории 3 как встроенная функция, без дополнительных внешних компонентов. Для достижения категории 4 при некоторых рисках применяется выходной безопасный контактор как второй независимый канал отключения двигателя.
В простейшем случае PFHd безопасной функции, состоящей из последовательных подсистем (датчик — логика — привод), оценивается суммой их PFHd:
PFHd_итого = PFHd_датчик + PFHd_логика + PFHd_привод
Например, для функции SS1, реализованной кнопкой аварийного останова, контроллером безопасности и приводом с PFHd соответственно 2·10⁻⁸, 5·10⁻⁹ и 3·10⁻⁸, суммарное значение составит примерно 5,5·10⁻⁸, что попадает в диапазон PL e (SIL 3).
2·10⁻⁸
5·10⁻⁹
3·10⁻⁸
5,5·10⁻⁸
Метрика SIL Capability используется для подсистем (включая привод как PDS(SR)) — она указывает максимальный SIL, который может быть заявлен в составе общей безопасной функции. Реальный достигнутый SIL функции — производная от всех подсистем и архитектуры в целом.
STO привода обычно не «висит» в воздухе — она встроена в общую архитектуру безопасности машины. Типовой сценарий — связь STO с одним или несколькими сигналами от защитных устройств машины: кнопок аварийного останова, защитных ограждений с блокировкой, световых барьеров, ковриков, двуручных пультов.
Аварийный останов и блокировки ограждений выводятся на безопасное реле или модуль безопасности с механически связанными контактами. Выход модуля коммутирует два входа STO привода. Все коммутации проводятся проводами с защитой от короткого замыкания и обрывов; для категории 3 и выше — с тестовыми импульсами (OSSD-сигналы), позволяющими безопасно обнаруживать замыкания между каналами и на питание.
Схема надёжна, проверена временем, не требует знаний программирования. Недостаток — рост проводных трасс при большом числе приводов и зон, а также отсутствие гибкости (любое перераспределение зон безопасности — пересмотр шкафа).
Машинная безопасность строится на специализированном программируемом контроллере (Safety PLC), который собирает входные сигналы с защитных устройств, выполняет логику зон безопасности и формирует выходы на STO приводов и другие исполнительные органы. Для соответствия IEC 62061 и ISO 13849-1 контроллер должен быть сертифицирован, программа собрана из аттестованных функциональных блоков, должна быть документирована и валидирована.
Преимущества — гибкость конфигурации зон, простая интеграция с диагностикой и HMI, возможность обработки сложных условий. Недостатки — стоимость, требование квалификации, обязательная программная валидация.
Сетевые решения по семейству IEC 61784-3 позволяют передавать команду STO и сообщения о состоянии привода по той же промышленной шине, по которой идёт обычное управление. Безопасная и обычная передача физически делят канал, но логически разделены: безопасные сообщения дублированы, защищены контрольными суммами и счётчиками, имеют контроль времени доставки. Это устраняет лишние проводные трассы и удобно для распределённых машин и линий, но требует совместимых приводов и контроллера.
Несмотря на широкое распространение STO, у функции есть набор ограничений, регулярно недооцениваемых на стадии проектирования.
STO снимает крутящий момент, но не отключает преобразователь от сети и не разряжает звено постоянного тока. На клеммах привода и в кабеле двигателя сохраняется напряжение. Для безопасной работы внутри шкафа или с обмотками двигателя обязательны отдельные меры — главный выключатель или разъединитель с блокируемой рукояткой выше по сети.
STO — категория 0, выбег по инерции. На высокоскоростных или маховичных нагрузках это означает значительное расстояние торможения. Если по расчёту риска оно недопустимо, STO в чистом виде не подходит — нужна SS1 с контролируемой рампой.
На вертикальной оси без механического тормоза STO означает свободное падение. Применять STO на таких нагрузках допустимо только в связке с SBC и пружинным тормозом, причём с подтверждённой логикой задержек: тормоз должен быть гарантированно наложен до того, как двигатель потеряет момент.
Самая распространённая ошибка — «сшивание» каналов STO одним проводом или общим питанием. Это превращает архитектуру в фактически одноканальную и ликвидирует все преимущества двухканальной структуры. Каналы STO должны иметь независимые источники, независимые провода, защиту от перекрёстных замыканий.
STO рассчитана на работу в режиме «высокого спроса» (high demand) — частые срабатывания не запрещены, но активация STO как штатной команды пуска/останова отнимает у функции её исходное назначение и затрудняет диагностику. Для нормальной коммутации привода используются обычные сигналы пуск/стоп; STO — только для безопасных целей.
Сумма задержек защитного устройства, контроллера безопасности и привода определяет реальное время до момента снятия момента. Это время умножается на скорость движения и формирует безопасные расстояния по ISO 13855. Если время реакции занижено или не учтено вовсе, реальные безопасные расстояния окажутся недостаточными.
Сигнал «Стоп» — это команда логике управления привода, которая может быть проигнорирована при отказе ПО, прерывания связи или повреждения электроники. STO — это аппаратное двухканальное отключение возможности формирования момента, реализованное в самом силовом каскаде с независимой диагностикой и сертифицированное на конкретный SIL/PL. Команда «Стоп» — не безопасная функция; STO — безопасная функция, на которую опираются стандарты IEC 61800-5-2, IEC 62061 и ISO 13849-1.
В большинстве случаев — да, при соблюдении нескольких условий. Аварийный останов должен соответствовать стоп-категории 0 или 1 по IEC 60204-1: STO покрывает категорию 0, SS1 — категорию 1. Уровень PL функции (PLr), определённый риск-анализом, должен быть достигнут с учётом всех элементов цепочки: кнопки аварийного останова, логики, привода. Для двигателей с большой инерцией категория 0 (мгновенное снятие момента и выбег) может быть неприемлема — тогда используется SS1.
Нельзя без дополнительных мер. STO снимает момент, но не обеспечивает электрической изоляции. На клеммах преобразователя и на проводах двигателя сохраняется опасный для жизни потенциал, звено постоянного тока остаётся заряженным. Для любых работ на двигателе, преобразователе или внутри шкафа обязательно отключение питания выше по сети с блокировкой и проверкой отсутствия напряжения. STO — это безопасный останов, а не процедура изоляции по LOTO.
Современные преобразователи и сервоприводы со встроенным двухканальным STO обычно сертифицированы на SIL 3 по IEC 61800-5-2 / IEC 62061 и PL e категории 3 по ISO 13849-1. Это максимум, достижимый для машиностроения. Конкретные значения PFHd, SIL Capability, PL для каждой модели указаны в технической документации и в сертификате на функциональную безопасность. Достигнутый SIL/PL всей безопасной функции зависит и от других элементов цепочки — кнопки, контроллера, проводки.
В большинстве серийных машин — нет. STO заменяет аварийный контактор с точки зрения функциональной безопасности при сохранении более быстрого восстановления и меньшего износа. Контактор остаётся целесообразным в двух случаях: когда риск-анализ требует именно физического снятия напряжения с двигателя (защита от прямого контакта при обслуживании) и когда нужно достичь PL e категории 4 при особых условиях — тогда выходной безопасный контактор используется как второй независимый канал в дополнение к STO. Главный разъединитель шкафа — отдельная мера электрической изоляции и не подменяется STO.
STO снимает момент мгновенно: двигатель выбегает по инерции. SS1 сначала тормозит двигатель управляемо — по заданной рампе или в течение заданного времени, — и только потом активирует STO. На инерционных нагрузках SS1 даёт значительно меньший тормозной путь и меньшие безопасные расстояния по ISO 13855. STO остаётся базовым «фоном»: в SS1 переход в STO происходит автоматически по окончании рампы или по выходу за её допуски.
Через профили функциональной безопасности по серии IEC 61784-3. Безопасный контроллер передаёт приводу безопасное сообщение по той же шине, по которой идёт штатный обмен; сообщение защищено двойной структурой данных, контрольной суммой, счётчиком и таймером доставки. Привод декодирует сообщение и активирует STO внутренней логикой. Решение упрощает монтаж и хорошо подходит для распределённых машин, но требует сертифицированных приводов и контроллера, а также корректной конфигурации безопасной шины.
Только в связке с механическим тормозом и функцией SBC. На вертикальной оси без удержания груз начинает падать сразу после снятия момента. Привод должен сначала подать команду на наложение пружинного тормоза, дождаться его срабатывания и только потом активировать STO. Логика и задержки реализуются в самом приводе или во внешнем контроллере безопасности; в любом случае это требует подтверждённой настройки и валидации именно как безопасной функции.
Базовая нормативная сцепка — ГОСТ Р МЭК 61800-5-2-2015 (системы силовых электроприводов, требования функциональной безопасности), ГОСТ Р МЭК 62061-2015 (функциональная безопасность систем управления машин) и ГОСТ ISO 13849-1-2014 (связанные с безопасностью части систем управления). Все три действующие. При этом международные оригиналы за последние годы переизданы (IEC 61800-5-2:2016, IEC 62061:2021, ISO 13849-1:2023) — для проектов под международные требования нужно опираться на актуальные редакции, поскольку методики расчётов и требования к документации в них существенно обновлены.
Вы можете задать любой вопрос на тему нашей продукции или работы нашего сайта.