为了提高E/E/PE安全相关系统的可靠性或可用性,利用更多的设备构成冗余结构是实际应用中经常采用的方法。E/E/PE安全相关系统的冗余由两部分组成:其一是逻辑控制器本身的冗余;其二是传感器和执行器的冗余。常见的冗余表决结构有1oo1、1oo2、2oo2、1oo3、2oo3、1oo2D,下面将分别详细介绍。一、1oo1结构这种结构只有一个单独的通道,诊断测试只报告发现的故障,但不改变输出。通道的任何危险失效都会导致危险事件出现时安全功能不能正确执行。其物理结构如图1所示。❖ 
图1 1oo1物理结构二、1oo2结构这种结构包括两个并联通道,每一个通道都可以使安全功能得到执行。假设诊断测试只能对发现的故障进行报告,不能够改变输出的状态或表决的输出。因此,只有两个通道都发生危险失效才会导致整个表决组失效。1oo2表决结构适用于安全性要求较高的情况。其物理结构如图2所示。❖ 
图2 1oo2物理结构三、2oo2结构该结构包括两个并联通道,两个通道一起作用才能够使得安全功能得到执行。假设诊断测试只能对发现的故障进行报告,不能够改变输出的状态或表决的输出。因此,两个通道中只要有一个发生危险失效就会导致整个表决组在要求时失效。2oo2表决结构适用于安全性要求一般,而可用性要求较高的情况。其物理结构如图3所示。❖ 
图3 2oo2物理结构四、1oo3结构该结构包括三个通道,每一个通道都可以使安全功能得到执行。假设诊断测试只能对发现的故障进行报告,不能够改变输出的状态或表决的输出。因此,只有三个通道都发生危险失效才会导致整个表决组失效。1oo3表决结构适用于安全性很高的情况,但增大了安全失效发生的机会。其物理结构如图4所示。❖ 
图4 1oo3物理结构五、2oo3结构这种结构包括三个通道,采用多数表决的方式来确定输出。假设诊断测试只能对发现的故障进行报告,不能够改变输出的状态或表决的输出。当只有一个通道出现执行安全功能的信号时并不会触发安全功能的执行,必须至少有两个通道的信号有效才能触发安全功能的执行。2oo3结构的安全性和可用性保持相对均衡,适用于安全性、可用性均较高的情况。其物理结构如图5所示。❖ 
图5 2oo3物理结构六、1oo2D结构另一种可同时提高E/E/PE安全相关系统的可靠性和可用性的结构是采用自诊断通道,如1oo2D、2oo3D等。带“D”的结构的输出与其他结构略有不同,诊断功能可以改变输出。正如IEC61508-6中所述,1oo2D系统由并联的两个通道组成。在正常工作期间,必须两个通道同时提出安全功能要求,系统安全功能才能够得到执行。此外,如果诊断测试发现两个通道之一出现了故障,输出表决将会改变,使得整体输出跟随未发生故障的另一通道。如果诊断测试发现两个通道都出现了故障,或者检测到两个通道的信号相矛盾且不能确定哪个通道故障时,输出将会转到安全状态。任何一个通道都能够通过一种独立于另一个通道的方式获取另一个通道的状态。如图6所示。❖ 
图6 1oo2D物理结构除了逻辑控制器可以实现自诊断外,传感器和执行机构(如电磁阀)的一些失效也可以通过自身的或与之相连的逻辑控制器实现。七、小结一般表决结构的诊断通常只具备报警的功能,如图1~图5所示表决结构中的诊断模块。其诊断不能改变输出状态或改变输出应该跟随的信号通道。而以字母“D”结尾的表决结构的自诊断模块还能够控制表决组的输出,改变输出应该跟随的信号通道,如图6中的诊断模块。例如,诊断通道与逻辑控制器通道互相独立,但诊断通道连接到逻辑控制器通道上,并能够控制输出。当诊断电路检测到逻辑控制器发生失效时,将使控制器的输出开路,导致系统发生安全失效。也就是说,诊断通道将被检测到的危险失效转换成安全失效。目前,安全仪表系通常同时采用自诊断技术和冗余结构。世界上符合IEC61508标准并获得TÜVSIL3等级认证的安全仪表系统主要有以下3种主流CPU结构:①冗余容错完全自诊断结构,即1oo2D结构(诊断率99.99%);②三重化表决部分自诊断结构,即2oo3D结构(TMR,诊断率70%);③CPU双重化冗余容错完全自诊断,即2oo4D结构(QMR,诊断率99.99%)。IEC61511中定义冗余为使用多个设备或子系统来执行同一种功能。正如前所述,为了提高E/E/PE安全相关系统的可靠性或可用性,系统的逻辑控制器、传感器和执行器通常分别采用多个设备构成冗余表决结构。冗余表决逻辑记为“MooN”,表示“MoutofN”,即从N中取M。常见的冗余表决结构有1oo2、2oo2、1oo3、2oo3。冗余表决结构在提高系统安全性或可用性的同时会增加系统的误动作率,即增加系统的安全失效;同时还会引入共因失效的问题。IEC61511在对冗余的定义中指出,冗余可以是同型冗余,也可以是异型冗余。在实际应用中,冗余系统的确往往由不同类型的设备构成,例如2个不同型号的传感器构成1oo2表决结构,或者3个不同类型的阀门构成1oo3表决结构。另外,在实际应用中还常会出现“多重”冗余结构,例如2个CPU构成1oo2表决结构,而每个CPU又有3个输入卡,每一个卡是2oo3表决结构,这样从系统总体来看,输入卡已构成多重表决结构。而原来的PFDavg计算模型没有考虑到这些特殊结构,因此,需要建立更加通用的可靠性计算模型。另外,冗余表决结构之所以可以提高系统的可用性或可靠性,就是因为其具有一定的硬件故障容错能力,或者称为具有一定的硬件故障裕度。但是反过来,系统的目标SIL等级对其结构又有一定约束作用。通过对冗余表决结构的分析得出,冗余表决结构在提高系统安全性或可用性的同时会增加系统的误动作率,同时还会引入共因失效的问题。另外,冗余可以是同型冗余,也可以是异型冗余。IEC61508中的PFDavg计算模型没有考虑到实际应用中往往是异型冗余结构,需要建立更加通用的冗余结构可靠性计算模型。
长按二维码识别关注我们
