安全仪表系统,sis系统架构分析，主要的安全仪表系统，SIS系统，供应商都以1oo2（二选一）、2oo3和2oo4的方式提供冗余硬件的配置。这些冗余配置的应用目的是提供更高等级的可靠性，同时降低非必要关断对过程造成影响的可能性。本文基于大型安全仪表系统的SIL3等级应用中常用的双冗余架构进行分析，也就是Triconex和Honeywell公司分别所采用的2oo3和2oo4冗余配置。本文仅就这两家主要的企业进行讨论，因为其他SIS系统供应商的硬件配置也都类似。希望可以引发用户、SIS系统供应商和其他SIS系统领域专家对于按照ISA和IEC的相关SIS系统工业标准设置冗余硬件的优点和缺点进行广泛的讨论。

一、安全仪表系统,sis系统架构分析：

　　1oo1——这种单输出电路能够安全地断开开关，使设备断电并停止工艺过程。所谓安全的失效就是触点在没有原因的情况下打开了，虽然此类事件对于整个过程设施仍旧具有负面的经济影响，但是我们还是将其定义为误触发。危险失效就是在确实有安全关断的原因时触点无法打开，这种情况可能由触电过热熔接导致。此类事件被定义为无法按需动作。
　　1oo2——这种方法将两个输出（1oo1）串联，构成常闭带电的安全关断电路。任何一个SIS动作都会导致电路断开。当然，采用两个1oo1电路也会引入双倍误触发的可能，有可能对整个工艺过程带来高昂的损失。但是，这种方法确实更加安全，因为只需要一个触点动作就可以实现关断，无法按需动作的危险失效的可能性低得多。不管是1oo1还是1oo2都无法消除误触发的隐患。
　　2oo2——这些系统的输出并联设置，两个触点同时动作才能将过程关断。由于触点是并联的，所以误触发的可能性降低了，但是明显的缺点就是危险失效的可能性加倍了，系统的安全性降低。
　　可以看到，1oo2和2oo2系统都无法有效满足安全性和误触发的要求。但是，如果能够增加诊断功能就能够获得更高的可用性了，这就是所谓的1oo2D（带诊断功能的1oo2）。
　　2oo3或者三重模块冗余（TMR）安全关断系统通常被用于燃气涡轮机、压缩机和加热器，也常被用于精炼厂中的独立过程单元，例如焦化单元。
　　正如本文下页开关图所示，在2oo3配置下，只要有两个通道同时触发，即使第三个通道并未触发，那么输出动作也会被触发。如果只有一个SIS的两组触点被触发了，那么有一条引线仍旧处于闭合状态，所以过程继续工作。在现实世界中采用表决机制来确定2oo3架构的输出，而第三个信号被忽略，允许容错配置。
二、工业中的应用：
　　主要供应商在工业现场中的具体安装方案则采用了比这些基本概念的更加复杂的版本。本文中介绍了两家主要的SIS供应商是如何通过提供诊断功能来实现各自的2oo3和2oo4配置的。这些企业和使用类似方法的其他供应商能够针对平均故障间隔时间、故障概率和按需动作失效提供必要的数据，作为整个SIS性能的评价依据。

　　每一个SIS系统架构都具有其自身的特性，能够在维持较高安全等级的同时避免误触发。要想搭建一套在两方面同时具有较高性能的系统则需要使用相对复杂的架构。

三、2oo3三重化冗余系统：
　　每一个三重化冗余系统都包含三个主处理器（MP）A、B和C。每一个MP控制独立的通道并与其他两个MP并行工作。每个MP上的专用I/O控制处理器对MP和I/O模块之间的数据交换进行管理。在系统主板上使用I/O总线电缆将每一列I/O模块连接起来形成三重化的I/O总线。康吉森安全仪表系统和Triconex安全仪表系统用于此架构。

　　I/O控制处理器选择输入模块，并将输入数据发送给MP。MP随后将输入数据制表存储到内存当中，用于选择过程使用。使用三重化总线将每一个MP当中的输入表转移给相邻的MP，转移之后就可以进行选择。三重化总线采用具有直接读取内存功能的可编程器件，在三个MP之间完成数据的同步、传输和比对。
　　如果有不一致出现，那么就以2oo3表格的信号结果为准，然后MP根据结果校正第三个表格中的相应数据。由于采样时间不同所导致的差异能够通过信号模式的不同区分出来。MP在本地存储器中保存经过必要更正的数据。内置的故障分析器会将不一致的数据做出标识，并在每一次扫描之后使用这些标识用于判断是否在特定模块中有故障存在。
四、2oo4四重化冗余系统：

   四重化模块冗余（QMR）架构基于2oo4D（D代表内置诊断功能）表决方式，每一个QPP（四处理器组，系统的处理模块）都采用双处理器技术。这意味这种方法具有的自我诊断功能和故障冗余能力。
　　四重化冗余系统架构通过冗余控制器实现。冗余架构包含两个QPP，也就是四重冗余，为安全性提供了双故障冗余能力。2oo4表决机制通过在每一个CPU和每一个QPP的内存上采用1oo2表决机制来实现，两个QPP之间也具有1oo2表决功能。表决机制在两个层面上进行：在模块层面上表决以及在QPP之间表决。