SIS的冗余架構(gòu)

目前，SIS系統(tǒng)的冗余架構(gòu)主要有DMR（雙重化）、TMR（三重化）和QMR（四重化）三種：

1）DMR雙重化冗余架構(gòu)

這種結(jié)構(gòu)包括兩個(gè)功能單元，正常工作時(shí)，兩個(gè)功能單元獨(dú)立運(yùn)算，輸出結(jié)果在表決器中進(jìn)行表決；若其中一個(gè)功能單元故障，則系統(tǒng)導(dǎo)向安全狀態(tài)；DMR故障裕度為0，降級(jí)模式為2-2-0。

1oo2物理結(jié)構(gòu)

2）TMR三重化冗余架構(gòu)

這種結(jié)構(gòu)包括三個(gè)功能單元，正常工作時(shí)，三個(gè)功能單元獨(dú)立運(yùn)算，輸出結(jié)果在表決器中進(jìn)行多數(shù)表決；若其中一個(gè)功能單元故障，系統(tǒng)隔離故障的功能單元，降級(jí)為二取一架構(gòu)；若兩個(gè)或以上功能單元故障，則系統(tǒng)導(dǎo)向安全狀態(tài)；TMR故障裕度為1，降級(jí)模式為3-2-0。

2oo3物理結(jié)構(gòu)

3）QMR四重化冗余架構(gòu)

它由四個(gè)功能單元組成，四個(gè)功能單元均正常工作時(shí)采用多數(shù)表決輸出；若其中一個(gè)功能單元故障，系統(tǒng)隔離故障的功能單元，降級(jí)為三取二架構(gòu)；若其中兩個(gè)功能單元故障，系統(tǒng)隔離故障的功能單元，降級(jí)為二取一架構(gòu)；若超過(guò)三個(gè)功能單元故障，則系統(tǒng)導(dǎo)向安全狀態(tài)；QMR故障裕度為2，降級(jí)模式4-3-2-0。

2oo4物理結(jié)構(gòu)

基于QMR四重化冗余架構(gòu)的UW510s

UW510s系統(tǒng)由控制站和操作站組成，控制站的冗余架構(gòu)設(shè)計(jì)如下圖所示：

輸入模塊有兩個(gè)獨(dú)立的通道，兩個(gè)通道同時(shí)采集同一現(xiàn)場(chǎng)信號(hào)并分別進(jìn)行數(shù)據(jù)處理，經(jīng)表決后發(fā)送到CNet冗余控制網(wǎng)絡(luò)上；控制模塊組件采用四重化冗余架構(gòu)，由4個(gè)獨(dú)立的控制模塊構(gòu)成，控制模塊從CNet控制網(wǎng)絡(luò)上接收數(shù)據(jù)并進(jìn)行表決，各控制模塊完成數(shù)據(jù)運(yùn)算后，對(duì)運(yùn)算后的結(jié)果進(jìn)行表決，并將表決后的結(jié)果送到CNet控制網(wǎng)絡(luò)上；輸出模塊從CNet控制網(wǎng)絡(luò)上接收數(shù)據(jù)并進(jìn)行表決，表決結(jié)果送到兩個(gè)通道進(jìn)行數(shù)據(jù)輸出處理，處理結(jié)果表決后輸出驅(qū)動(dòng)信號(hào)。

UW510s系統(tǒng)結(jié)構(gòu)

UW510s系統(tǒng)基于完全的四重化冗余架構(gòu)，符合IEC 61508定義的SC3系統(tǒng)能力等級(jí)和SIL3硬件安全完整性等級(jí)，通過(guò)SIL3等級(jí)安全評(píng)測(cè)認(rèn)證。

幾種表決方式安全性與可用性的比較

注：依據(jù)IEC61508功能安全國(guó)際標(biāo)準(zhǔn)及《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》（GB/T 50770）

不同表決方式拒動(dòng)與誤動(dòng)概率計(jì)算

從上表的計(jì)算結(jié)果中可以看出2oo4是最優(yōu)的表決方式，能將拒動(dòng)和誤動(dòng)的概率同時(shí)降到最低，安全性和可用性最好，比2oo3高出一個(gè)數(shù)量級(jí)。