本文根据SIS安全系统的 SIL3等级应用中常用的双冗余架构进行分析，也就是Triconex和Honeywell公司分别所采用的2oo3和2oo4冗余配置。本文仅就这两家主要的企业进行简述，因为其他SIS系统供应商的硬件配置也都类似。希望可以引发用户、SIS安全仪表系统供应商和其他SIS系统领域专家对于按照ISA和IEC的相关SIS系统工业标准设置冗余硬件的优点和缺点进行广泛的讨论。

   本文所讲的SIS安全仪表系统 (SIS)供应商都以1oo2（二选一）、2oo3和2oo4的方式提供冗余硬件的配置。这些冗余配置的应用目的是提供更高等级的可靠性，同时降低非必要关断对过程造成影响的可能性。

一、SIS安全仪表系统基本架构
　1、1oo1——这种单输出电路能够安全地断开开关，使设备断电并停止工艺过程。所谓安全的失效就是触点在没有原因的情况下打开了，虽然此类事件对于整个过程设施仍旧具有负面的经济影响，但是我们还是将其定义为误触发。危险失效就是在确实有安全关断的原因时触点无法打开，这种情况可能由触电过热熔接导致。此类事件被定义为无法按需动作。
　2、1oo2——这种方法将两个输出（1oo1）串联，构成常闭带电的安全关断电路。任何一个SIS动作都会导致电路断开。当然，采用两个1oo1电路也会引入双倍误触发的可能，有可能对整个工艺过程带来高昂的损失。但是，这种方法确实更加安全，因为只需要一个触点动作就可以实现关断，无法按需动作的危险失效的可能性低得多。不管是1oo1还是1oo2都无法消除误触发的隐患。
　3、2oo2——这些系统的输出并联设置，两个触点同时动作才能将过程关断。由于触点是并联的，所以误触发的可能性降低了，但是明显的缺点就是危险失效的可能性加倍了，系统的安全性降低。
　　可以看到，1oo2和2oo2系统都无法有效满足安全性和误触发的要求。但是，如果能够增加诊断功能就能够获得更高的可用性了，这就是所谓的1oo2D（带诊断功能的1oo2）。
　4、高级SIS架构
　　2oo3或者三重模块冗余（TMR）安全关断系统通常被用于燃气涡轮机、压缩机和加热器，也常被用于精炼厂中的独立过程单元，例如焦化单元。

　　正如本文上图所示，在2oo3配置下，只要有两个通道同时触发，即使第三个通道并未触发，那么输出动作也会被触发。如果只有一个SIS的两组触点被触发了，那么有一条引线仍旧处于闭合状态，所以过程继续工作。在现实世界中采用表决机制来确定2oo3架构的输出，而第三个信号被忽略，允许容错配置。

二、SIS安全仪表系统在工业中的应用
　　主要供应商在工业现场中的具体安装方案则采用了比这些基本概念的更加复杂的版本。本文中介绍了两家主要的SIS系统供应商是如何通过提供诊断功能来实现各自的2oo3和2oo4配置的。这些企业和使用类似方法的其他供应商能够针对平均故障间隔时间、故障概率和按需动作失效提供必要的数据，作为整个SIS系统性能的评价依据。河北康吉森自动化，提供专业SIS安全仪表系统设计安装。