2024年3月28日发(作者:)

安全相关系统的系统结构

1、引用文件

IEC 61508;

GB/T 20438;

安全PLC及安全相关系统的介绍及安全可靠性分析-湖州职业技术学院 刘纪愉;

2、几种主要的系统结构

基本系统不外乎几种:1oo2,2oo3,1oo1D,1oo2D,2oo4结构。

提高安全性的手段包括冗余和诊断。从冗余的目的区分,冗余可以分为提高可靠性的冗

余、提高可用性的冗余和提高安全性的冗余。提高可靠性、可用性的冗余一般是使用热备系

统,一个正常工作的主设备,另外一个或多个热备的设备,当主设备故障时热备设备立刻开

始接管主设备的功能,其着眼点是针对主控设备失效,而不过多关心主控设备输出是否正常

和安全。提高安全性的冗余通常是若干个通道并行工作,其结果进行比较,着重于保证输出

结果的正确性和安全性,而不过多考虑可靠性的问题。

常见的体系结构包括单通道系统1oo1(K oo N,K Out Of N,N个里面取K个的含义);

双通道系统1oo2,2oo2;三通道系统1oo3、2oo3;如果附加了诊断措施,每种类型又可衍

生出一种新的“带诊断”的体系结构:1oo1D,1oo2D,2oo2D,1oo3D,2oo3D。另外,还有

一种由若干厂商如横河和黑马主推的所谓2oo4D系统,严格来讲相对于1oo2D并未提高安全

性,而只是提高了可用性。能够达到安全完整性等级SIL3的体系结构目前有三种:1oo2D,

2oo3,2oo4D。单通道系统1oo1,系统没有多重化,只有一个通道,这是常规PLC的典型体

系结构,一般使用此种体系结构安全完整性无法达到SIL3。1oo1一般包含有现场输入、逻

辑控制、执行三部分。单通道系统可能出现安全失效、危险失效,并且没有任何附加的保护

电路来保障失效发生时进入安全状态。单通道系统的可靠性、安全性都受到限制,很难应用

在高安全要求情况。单通道系统很难避免单点故障。

2.1 1oo2D体系结构及其失效分析

采用1oo2D体系结构的系统可以达到比1oo2更理想的安全性,已经证明,采用1oo2D

体系结构可以达到SIL3等级要求。从图1-1可以看出,1oo2D体系结构的诊断电路里也有

和输出有关的控制电路,该控制电路可以由两个单元(通道)分别进行控制。1oo2D结构相

当于两个输出控制电路A1,A2串联、B1,B2串联之后再并联,每个单元有独立的控制输出,

同时,最终输出的结果还跟两个通道的诊断结果相关。最终输出结果必须经过诊断电路的判

断才能完成输出,如果任一单元的诊断电路发现问题,则可以强制安全输出(在本图中即开

路)。1oo2D体系结构见图1-1。

图1-1 1oo2D体系结构

1oo2D体系机构提供了一组额外的控制线,为双通道的体系结构提供额外的安全功能,

从而比单纯的1oo2有更好的安全性。例如,当A通道输出开关A1错误闭合时,相应的通道

诊断电路没有发现,而下边B通道发现该问题并通过控制线路将此开关打开,把危险失效转

化为安全失效。这样,在最终输出之前,诊断电路还有机会把错误的输出更正或者进行安全

输出。1oo2D提高安全性的方法本质上是通过诊断技术,使用高达90%以上的诊断覆盖率,

可以发现绝大多数随机硬件失效,将其中可能导致的危险失效转化为安全失效。

系统危险失效的充分必要条件是,A和B发生了共因危险失效,并且该共因失效没有被

A或B的诊断电路所发现(未检测);或者A和B同时发生非共因危险失效,且这两个危险

失效都没有被A或B的诊断电路所发现。所谓共因失效是指两个通道由于相同的原因,发生

了硬件随机失效而导致的失效。危险失效是危及到系统安全功能的失效,是需要尽力避免的。

从安全仪表系统的角度来讲,危险失效即是要求时失效,例如,一个紧急停车系统,紧急停

车功能是其安全功能,当按下紧急停车按钮或要求执行紧急停车功能时发生失效而导致紧急

停车功能没有被执行,即是危险失效,也即是要求时失效。在本文中,要求时失效与危险失

效含义相同。