康吉森安全仪表系统TSxPlus采用了的三重化设计（2oo3D）TMR架构，降级模式为3-2-1-0，也就是说康吉森安全仪表系统的表决机制是三选二，那么康吉森安全仪表系统为何采用三选二的表决机制呢？

   (1) 当一个SIS系统的安全完整性等级要求为SIL3，而实际配置为传感器为2.2×10-3(SIL 2)，逻辑解算器为1.3×10-4(SIL3)(包括I/O接口)，终端执行器为2.41×10-3(SIL2),所以整个系统为SIL2不满足要求。

   (2) 于是我们改变传感器的配置结构，选择1oo2冗余，其中共因失效=10%，诊断覆盖率(DC)=90%，可以算出1oo2传感器的结构的PFD=2.3×10-4，达到SIL3的水平，同理可以配置执行器为1oo2冗余结构，也可达到SIL3的要求，于是整体SIS系统的SIL可以达到SIL3的要求。

   (3) 这个问题的解决给我们以启示，当装置引进一个SIS系统时，整体安全完整性等级不仅取决于逻辑解算器部分，而且传感器、终端执行器部分也非常关键。配置系统时，除了引进一个SIL3的安全仪表系统，譬如FSC等，还要将传感器、终端执行器一并讨论。算出SIS整体的SIL数据，定量的安全仪表系统配置任务才算完成。

   安全仪表系统SIS冗余表决方法及其安全性、可用性的关系，即可用性(A：Availability)是指系统可使用工作时间(连续运行时间)的概率，用百分数计算A值越大，可用性越好：

A = MTBF/(MTBF+MTTR)

而PFD= MTTR /(MTBF+MTTR)

PFD越小则安全性越好。

   康吉森安全仪表系统TSxPlus冗余逻辑表决方法及安全性-可用性的关系对比例子如下表所示。

以上可见：

(1)隐故障(危险故障)使SIS该动而拒动，隐故障概率越高，安全性越差。

(2)显故障(安全故障)使ESD不该动而误动，显故障概率越高，可用性越差。

1oo2(二选一)安全性好，但可用性差;2oo2(二选二)可用性比较好，但安全性比较差;2oo3(三选二)可兼顾。

   所以，康吉森安全仪表系统采用三选二的系统架构，并且已通过安全完整性等级SIL3级认证，并获得国际ICE61508 ICE62443及德国TUV等功能安全和信息安全联合认证；康吉森安全仪表系统主控制器运算周期短<><>康吉森。