SIS的冗余架构
目前,SIS系统的冗余架构主要有DMR(双重化)、TMR(三重化)和QMR(四重化)三种:
1)DMR双重化冗余架构
这种结构包括两个功能单元,正常工作时,两个功能单元独立运算,输出结果在表决器中进行表决;若其中一个功能单元故障,则系统导向安全状态;DMR故障裕度为0,降级模式为2-2-0。
1oo2物理结构
2)TMR三重化冗余架构
这种结构包括三个功能单元,正常工作时,三个功能单元独立运算,输出结果在表决器中进行多数表决;若其中一个功能单元故障,系统隔离故障的功能单元,降级为二取一架构;若两个或以上功能单元故障,则系统导向安全状态;TMR故障裕度为1,降级模式为3-2-0。
2oo3物理结构
3)QMR四重化冗余架构
它由四个功能单元组成,四个功能单元均正常工作时采用多数表决输出;若其中一个功能单元故障,系统隔离故障的功能单元,降级为三取二架构;若其中两个功能单元故障,系统隔离故障的功能单元,降级为二取一架构;若超过三个功能单元故障,则系统导向安全状态;QMR故障裕度为2,降级模式4-3-2-0。
2oo4物理结构
基于QMR四重化冗余架构的UW510s
UW510s系统由控制站和操作站组成,控制站的冗余架构设计如下图所示:
输入模块有两个独立的通道,两个通道同时采集同一现场信号并分别进行数据处理,经表决后发送到CNet冗余控制网络上;控制模块组件采用四重化冗余架构,由4个独立的控制模块构成,控制模块从CNet控制网络上接收数据并进行表决,各控制模块完成数据运算后,对运算后的结果进行表决,并将表决后的结果送到CNet控制网络上;输出模块从CNet控制网络上接收数据并进行表决,表决结果送到两个通道进行数据输出处理,处理结果表决后输出驱动信号。
UW510s系统结构
UW510s系统基于完全的四重化冗余架构,符合IEC 61508定义的SC3系统能力等级和SIL3硬件安全完整性等级,通过SIL3等级安全评测认证。
几种表决方式安全性与可用性的比较
注:依据IEC61508功能安全国际标准及《石油化工安全仪表系统设计规范》(GB/T 50770)
不同表决方式拒动与误动概率计算
从上表的计算结果中可以看出2oo4是最优的表决方式,能将拒动和误动的概率同时降到最低,安全性和可用性最好,比2oo3高出一个数量级。