基本SIS架构
1oo1——这种单输出电路能够安全地断开开关,使设备断电并停止工艺过程。所谓安全的失效就是触点在没有原因的情况下打开了,虽然此类事件对于整个过程设施仍旧具有负面的经济影响,但是我们还是将其定义为误触发。危险失效就是在确实有安全关断的原因时触点无法打开,这种情况可能由触电过热熔接导致。此类事件被定义为无法按需动作。
1oo2——这种方法将两个输出(1oo1)串联,构成常闭带电的安全关断电路。任何一个SIS动作都会导致电路断开。当然,采用两个1oo1电路也会引入双倍误触发的可能,有可能对整个工艺过程带来高昂的损失。但是,这种方法确实更加安全,因为只需要一个触点动作就可以实现关断,无法按需动作的危险失效的可能性低得多。不管是1oo1还是1oo2都无法消除误触发的隐患。
2oo2——这些系统的输出并联设置控制工程网版权所有,两个触点同时动作才能将过程关断。由于触点是并联的www.cechina.cn,所以误触发的可能性降低了,但是明显的缺点就是危险失效的可能性加倍了,系统的安全性降低。
可以看到,1oo2和2oo2系统都无法有效满足安全性和误触发的要求。但是,如果能够增加诊断功能就能够获得更高的可用性了CONTROL ENGINEERING China版权所有,这就是所谓的1oo2D(带诊断功能的1oo2)。
高级SIS架构
2oo3或者三重模块冗余(TMR)安全关断系统通常被用于燃气涡轮机、压缩机和加热器,也常被用于精炼厂中的独立过程单元,例如焦化单元。
正如本文下页开关图所示,在2oo3配置下,只要有两个通道同时触发,即使第三个通道并未触发,那么输出动作也会被触发。如果只有一个SIS的两组触点被触发了,那么有一条引线仍旧处于闭合状态CONTROL ENGINEERING China版权所有,所以过程继续工作。在现实世界中采用表决机制来确定2oo3架构的输出,而第三个信号被忽略,允许容错配置。
工业中的应用
主要供应商在工业现场中的具体安装方案则采用了比这些基本概念的更加复杂的版本。本文中介绍了两家主要的SIS供应商是如何通过提供诊断功能来实现各自的2oo3和2oo4配置的。这些企业和使用类似方法的其他供应商能够针对平均故障间隔时间、故障概率和按需动作失效提供必要的数据,作为整个SIS性能的评价依据。
每一个SIS架构都具有其自身的特性,能够在维持较高安全等级的同时避免误触发。要想搭建一套在两方面同时具有较高性能的系统则需要使用相对复杂的架构。
每一个三重化冗余系统都包含三个主处理器(MP)A、B和C。每一个MP控制独立的通道并与其他两个MP并行工作。每个MP上的专用I/O控制处理器对MP和I/O模块之间的数据交换进行管理。在系统主板上使用I/O总线电缆将每一列I/O模块连接起来形成三重化的I/O总线。
I/O控制处理器选择输入模块,并将输入数据发送给MP。MP随后将输入数据制表存储到内存当中,用于选择过程使用。使用三重化总线将每一个MP当中的输入表转移给相邻的MP,转移之后就可以进行选择。三重化总线采用具有直接读取内存功能的可编程器件,在三个MP之间完成数据的同步、传输和比对。
如果有不一致出现,那么就以2oo3表格的信号结果为准,然后MP根据结果校正第三个表格中的相应数据。由于采样时间不同所导致的差异能够通过信号模式的不同区分出来。MP在本地存储器中保存经过必要更正的数据。内置的故障分析器会将不一致的数据做出标识,并在每一次扫描之后使用这些标识用于判断是否在特定模块中有故障存在。
2oo4四重化冗余系统
四重化模块冗余(QMR)架构基于2oo4D(D代表内置诊断功能)表决方式,每一个QPP(四处理器组,系统的处理模块)都采用双处理器技术。这意味这种方法具有极高的自我诊断功能和故障冗余能力。
四重化冗余系统架构通过冗余控制器实现。冗余架构包含两个QPP,也就是四重冗余CONTROL ENGINEERING China版权所有,为安全性提供了双故障冗余能力。2oo4表决机制通过在每一个CPU和每一个QPP的内存上采用1oo2表决机制来实现,两个QPP之间也具有1oo2表决功能。表决机制在两个层面上进行:在模块层面上表决以及在QPP之间表决。