现在国内外市场中主流的安全仪表系统SIS的系统架构，一般分为1oo2D、2oo3D和2oo4D，即二重化、三重化和四重化结构。对于这三种不同的结构，安全系统的性能是不同的。对于种1002D的结构，当个CPU被诊断出故障时，该CPU被切除，另一个CPU继续工作。对于第二种结构， 其CPU和I/O卡件采用三重化冗余故障容错设计，是基于高度稳定的硬件基础上的，三个通道设计在一块卡件上实现三重化表决的。对于第三种结构，四个CPU分成两对，既同时工作又相互监督。当其中一个CPU被诊断出故障时，则该对CPU被切除，所剩一对CPU继续以1002D的模式工作。这对系统工作的CPU仍满足安全等级3级的要求。只有当这对CPU其中再有一个故障时，系统才考虑停车。同时此结构对于故障修复时间没有限制，下面着重分析一下安全仪表系统SIS的冗余和容错机制。

   安全仪表系统SIS冗余(Redundant)，具有指定的独立的N：1重元件，并且可以自动地检测故障，切换到后备设备上。并行地使用多个系统部件，以提供错误检测和错误校正能力的系统。

   安全仪表系统SIS容错(Fault Tolerant)，具有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，能够识别故障并使故障旁路，进而继续执行指定的功能。或在硬件和软件发生故障的情况下，系统仍具有继续运行的能力。它往往包括三方面的功能：是约束故障，即限制过程或进程的动作，以防止在错误被检测出来之前继续扩大;第二是检测故障，即对信息和过程或进程的动作进行动态检测;第三是故障恢复即更换或修正失效的部件，即安全仪表系统SIS具有容错结构的硬件与软件系统。

（1）2oo3D结构：也就是TMR结构，它将三路隔离、并行的控制系统（每路称为一个分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高度完善、无差错，不会中断的控制。康吉森、ICS、HollySys等均是采用TMR结构的系统。　　

（2）2004D结构：2004D系统是有2套独立并行运行的系统组成，通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电源故障时，系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性，高安全性及高可用性。HONEYWELL、HIMA的安全仪表系统SIS均采用了2004D结构。

   总之，安全仪表系统SIS通过冗余和故障屏蔽的结合来实现容错。容错系统一定是冗余系统，冗余系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。上图分别表示CPU冗余(双机热备)和三重化冗余容错系统。了解更多安全仪表系统SIS的信息，请访问康吉森。