安全仪表系统架构分析

周玲艳，秦悦明

(1.云南解化清洁能源开发有限公司解化化工分公司，云南 开远 661699；2.北京一诺先科装备技术有限公司，北京 100020)

近年来，随着化工领域工业安全理念的发展，以及国家安监政策的出台，以安全保护和抑制减轻灾害为目的的安全仪表系统(Safety Instrumented System，SIS)已广泛应用于化工领域紧急停车系统(ESD)、安全联锁系统(SIS)、火气检测报警系统(FGS)等不同工艺或装置防护场合，用于保护人员、设备和环境。

企业用户在安全产品选择及使用时，面对众多供应商提供的不同架构形式和性能的安全仪表系统往往只停留在简单使用维护层面，对其系统架构和该架构对于产品性能的影响不太了解。本文结合自己多年应用经验以及对不同安全产品的了解，简略分析安全仪表系统架构，以及架构对于安全产品性能的影响，为企业的安全仪表选型、使用、维护提供参考。

1 安全仪表系统架构类型及核心组成[1]

目前，国内外市场，常见的安全仪表系统类型主要分为三类：一是四重化冗余容错(QMR)系统，安全降级运行模式为4-2-0模式；二是三重化冗余容错(TRM)系统，安全降级运行模式为3-2-0模式或3-2-1-0模式；三是双重冗余PLC系统，安全降级运行模式为2-0模式。

截至目前，E/E/PE安全相关系统尤其是PE安全相关系统，都是以搭积木的方式进行组合，由安全组件(element)组合成安全子系统(subsystem)，再由安全子系统(subsystem)组合成E/E/PE安全相关系统。作为安全工程的设计者或使用者，或者作为安全工程的审查者或评估者，只能以有效的、可判别的安全组件进行安全分析与评估，而不可能进入到电气/电子元器件的颗粒度去判别功能安全是否到达。而安全组件(element)，是最小的可判别的基本安全单元，其是由安全产品生产商根据相关的功能安全标准例如IEC61508进行设计、制造，并由具有适当资质的安全评估机构进行评估与定级的。一种情况是，生产商可能只生产安全组件(element)，如具有SIL等级的变送器，在这种情况中，现场安全工程中的变送器子系统是根据项目需要来拼搭组合的。例如，使用SIL2等级的变送器1只、或者2只、或者3只。另一种情况是，生产商不仅生产安全组件(element)，而且还有安全组件(element)组合成安全子系统(subsystem)，如安全控制系统厂商生产SIL3等级的AI、DI、DO模块和CPU模块，并提供这些模块组合成一个SIL3等级的安全子系统(subsystem)所需要的所有必须的配件。

组件(element)的定义是实现一个具体功能时不可拆分的最小元件集合。安全组件(element)的定义是实现安全功能时不可拆分的最小元件集合，包括由具有适当资质的安全评估机构进行评估与定级时进行功能安全判别的单元颗粒。例如，一个8通道的AI模块就是一个SIL3级别的安全组件(element)，虽然这个安全组件具有8个控制通道，但只能作为一个安全组件(element)被整体设计和评估、以及整体使用与维护，8个通道中虽然只有一个通道发生故障、另外7个通道完全可以继续执行安全功能，但这个安全组件进入故障状态；另一种情况是将这个8通道的AI模块一分为8、作为8个SIL2级别的单通道AI模块，但这8个SIL2级别的单通道AI模块是8个完全一样的安全组件(element)，虽然完全可以实现一个SIL3级别的8通道AI模块的所有功能，但这8个SIL2级别的单通道AI模块在设计和评估、使用与维护的过程中，与8通道AI模块完全不一样。

根据IEC61508-2标准的要求，对于由Type B(复杂类)安全相关组件或子系统实施的安全功能最大可允许的安全完整性等级如表1所示。

表1 Type B(复杂类)安全相关组件或子系统实施的安全功能最大可允许的安全完整性等级

表1所示为安全组件(element)与对应的硬件故障裕度(HFT)的确切关系，硬件故障裕度(HFT)是针对安全组件(element)提出的并联结构容错要求，而不是针对硬件通道(channel)而言的。并且，在决定安全组件(element)的硬件故障裕度(HFT)时，不考虑可以控制故障影响的措施(如诊断)。为什么采用安全组件(element)的概念，而不是硬件通道(channel)的概念，原因如下：① 安全组件(element)是不可拆分的最小单元，方便安全评估、工程设计和使用维护，硬件通道(channel)在概念上貌似可拆分和可进行安全评估，但在工程设计和使用维护上又无法进行单通道拆分与使用维护；② 硬件通道(channel)的概念不够清晰，例如，一个安全子系统(subsystem)中，具有单通道的地方，例如端子板和信号电路，和三重化的模块，例如AI模块和CPU模块；还有可能是信号电路是三通道，而CPU是二通道，因此通道的概念比较模糊，对安全工程的设计和评估不利；硬件通道(channel)的概念与功能安全评估没有清晰的界定关系。

2 安全仪表系统架构实现方式[2]

四重化冗余容错(QMR)系统是采用1OO2D技术实现SIL3的功能安全产品，即主要的安全组件(element)采用双通道比较、互诊的方式，达到表1中左边第1列SFF≥99%、HFT=0和SIL=3的要求，具体来说就是AI、DI、CPU、DO作为安全组件(element)，其实都是双通道的硬件模块，因为每个模块作为一个安全组件(element)都达到SFF≥99%、HFT=0和SIL=3的要求，因此单个系统采用全部单个的CPU模块和IO模块就能达到SIL3的系统安全完整性要求。然而，符合1OO2D技术特点的CPU模块和IO模块只要在两个通道中发生数据不一致，即会造成相应的关闭动作，因此在安全性完全有保障的情况下，可用性大大降低，对于大规模流程生产而言非常不利。为了在保证安全性的前提下同样保证可用性，因此采用两套本质上由单模块组成的SIL3系统并列运行的方式。当采用两套本质上由单模块组成的SIL3系统并列运行时，如果一套单模块系统中，由于某个1OO2D安全组件内部检测到故障并降级运行到1OO1D时，剩下的1OO1D单通道运行不可信，其输出接点与健康的1OO2D系统直接并联，在1OO1D侧发生隐形失效时会完全屏蔽1OO2D侧的健康输出，此种情况不可接受，因此1OO2D安全组件在检测到故障时直接关闭，而不是降级到1OO1D继续运行。

三重化冗余容错(TRM)系统实际采用了3*1OO1D的系统架构形式，如图1所示。系统的主体运行状态是三通道模式(TMR Mode)；在发生一个控制器故障时，系统降级运行到双通道模式(Dual Mode)；在发生第二个控制器故障时，系统降级运行到单通道模式(Single Mode)或者触发安全状态。三通道系统的基本组成单元是单通道系统，即由输入、运算、输出组成的单通道系统。按照表1所示复杂类(Type B)通道或子系统实施的安全功能最大可允许的安全完整性等级，可知单通道系统最高可申明为SIL3水平。但单通道做到SIL3水平是极其困难的，由表1可知，在1OO1D结构时硬件故障裕度HFT=0，达到SIL3安全等级的要求是安全失效分数SFF≥99%。

图1 3*1OO1D的系统架构形式

已知安全失效分数：

SFF=(ΣλS+ΣλDD)/(ΣλS+ΣλDD+ΣλDU)=(ΣλS+DC*ΣλD)/(ΣλS+ΣλD)，且：

ΣλS=ΣλD

可知：DC≥98%。

由以上推导可知，在完全单通道的情况下要达到SIL3安全等级，就要求由输入模块的IO通道(AI或者DI)、主控模块的控制通道、输出模块的DO通道所组成的子系统(subsystem)控制通道的整个电路的总的诊断覆盖率≥98%。但由于在所有的通道电路中，主控单元的CPU、可变内存RAM、IO模块的MCU等等，一方面失效率尤其是软错误率很高，另一方面要达到很高的诊断覆盖率(DC≥98%)难度很大成本很高，所以单通道系统通常声明为SIL2安全等级。表2所示为IEC61508-6附表C.2所示的控制通道中不同器件所能达到的诊断覆盖率水平。

表2 控制通道中不同器件所能达到的诊断覆盖率水平

即使单通道做到SIL3水平，其实还是有很大的局限性，包括：①单通道不容错，即硬件故障裕度HFT=0，在发生显性危险失效(λDD)的时候，因为不容错，要么导致误动，要么只能拒动；在发生隐性危险失效(λDU)的时候因为没有比较、无法揭示隐性危险失效的出现，只能是拒动；②单通道在进行SIL3合规的PFGavg计算时，通常会导致一个较短的SIL3合规的检验测试时间(T1)。例如TS3000系统在单通道时申明SIL3合规运行时间只有 150 h，而在双通道时申明SIL3合规运行时间达到 3000 h，两者的区别主要在于双通道运行时，控制器模块控制输出区域的数值可以进行表决，存在数据不一致即揭示出故障条件；在双通道运行时，揭示出故障条件后即会导致被控输出点关闭(断开)。③由于单通道无法揭示发生的隐性危险失效(λDU)，考虑到CPU、RAM等的复杂性以及软错误率的数量，从严格意义上来讲，单通道是不可信的。

双重冗余PLC系统，是目前国内新研发出的安全产品，实际采用了2*1OO1D的系统架构形式，安全级别申明为SIL2(双冗余模式下)。系统的主体运行状态是双通道模式(Dual Mode)；其声明的硬件故障裕度HFT=0，因此在发生一个控制器故障时，直接导向安全输出状态。

3 基于诊断的故障安全运行、SIL3安全合规的安全运行及安全分区的建立[3]

以三重化冗余容错(TRM)系统为例，该系统以1OO1D为基本组织单位，采用广泛的诊断技术与措施，1OO1D通道在检测到故障后，输入数据部分会采用安全值，输出数据部分会导向安全值；三重化冗余容错(TRM)系统非常强调正确地管理故障信息，避免过程或者工厂不必要的跳车。

对于1OO1D单通道系统，主要的故障诊断包括：

① 不能够检测DI输入点的状态改变；

② 不能够检测AI输入数值的改变；

③ 不能够改变DO输出点的状态(OVD)；

④ 对于系统通道：

IO通信总线失效；

三通道数据表决总线失效；

控制程序执行故障；

控制输出点状态不能正确决定。

“D”的含义是诊断到故障并导向安全值。按照IEC61508标准要求，对于运行于低需求模式的任何通道类型的安全子系统，或者运行于高需求或者连续运行模式中且硬件故障裕度HFT≥1的安全子系统，在检测到故障后要求在MRT(主修复时间)内(在线)修复即可，并没有要求在一个控制周期内关闭；1OO1D是系统底层的通道故障安全型运行机制，可能在单通道(认证 150 h SIL3合规)或者双通道模式(认证 3000 h SIL3合规)中运行很长时间，这样就会超出TUV认证的SIL3合规运行时间。

为了非常严格地执行安全项目，并且与TUV SIL3认证合规，实际上需要在应用层面对双通道运行时间或者单通道运行时间进行SIL3合规运行的约束。每个项目或者每个用户对自己装置的安全仪表系统在降级运行到双通道和/或者单通道运行的时间，应当根据TUV SIL3认证合规的要求，在降级运行到规定的时间后。例如双通道运行时间≤3000 h，和/或者单通道运行时间≤150 h，通过诊断与定时器的方法，在到达了规定的SIL3合规运行时间后，触发ESD逻辑动作将过程或装置关闭。这样做的目的是防止隐性危险失效概率的累积不会突破SIL3安全认证的限制数值。

此外一套SIS系统中，并不是所有的信号全部用于安全相关功能，或者用于完全同样安全等级的安全相关功能。比如说，用户将一些用于监视的信号接进了SIS系统，这些用于监视的信号可能会因为通道故障而降级运行于双通道或者单通道模式。这些监视信号的降级运行不应该进入SIL3合规运行时间的计时之中。因此，系统需要提供手段，帮助工程设计人员和实施人员，对SIL3合规运行时间的逻辑实施，区分出安全关键信号和非安全关键信号。作为信号的载体，可以在通道的级别上进行区分，也可以在IO模块的级别上进行区分；在通道的级别上进行区分，会区分的很细，但会造成软件复杂、数据量大；在IO模块的级别上进行区分，软件会相对简单一些，数据量也会少一些。但这要求在工程设计和实施的时候，将安全关键信号和非安全关键信号分类分配在安全关键模块和非安全关键模块上。系统软件需要提供基于槽位/模块的运行模式诊断函数，组态时分别对每个安全关键模块调用槽位/模块的运行模式诊断函数，运行时识别安全关键模块的运行模式(三通道、双通道、单通道)，之后将一个装置的安全关键模块的运行模式诊断结果汇总起来，进入TUV SIL3合规运行时间逻辑。非安全关键信号和模块的运行模式不被关注。这个TUV SIL3合规运行时间逻辑，即作显示，又做报警，还做控制。更进一步地讲，当采用一套大型SIS系统控制多个装置或者全厂时，可以建立多个安全分区，每个安全分区的TUV SIL3合规运行时间逻辑自成一体，这样做方便工厂的安全审查和安全管理。

TUV SIL3合规运行时间逻辑对克服隐性危险失效(λDU)和控制检验测试周期都很有好处。在国外的项目中通常都被采用。然而在国内的项目中很少被采用，除了极个别的项目中被采用外，绝大部分项目的TUV SIL3合规运行时间逻辑组态都做了，但都不投入使用，是为了在双通道或者单通道运行时追求最大的使用率。

4 系统中的表决与DO模块的表决[4]

以三重化冗余容错(TRM)系统为例，系统采用了3*1OO1D的系统结构方式，运行模式包括三通道、双通道甚至单通道。其中三通道和双通道运行模式采用三通道表决算法(三取二表决)，模拟量三取中、二取高；双通道时，第三个通道采用后备安全值；三通道和双通道的硬件故障裕度HFT=1。

三重化冗余容错(TRM)系统中的表决包括，CPU模块中的总线上对开关量输入数据的表决，CPU对模拟输入量的表决，和DO模块控制输出的表决；CPU模块中总线的表决主要就是对开关量输入数据的表决，除此之外，还负责将其他两通道和本通道的模拟量输入数据拷贝到运算CPU的RAM区，将本通道运算后的开关量输出数据拷贝到通信RAM区、并比较三通道的开关量输出数据、上报不一致，将本通道运算后的模拟量输出数据拷贝到通信RAM区。

DO模块控制输出的表决，主要是四方驱动控制电路和四方驱动输出电路，其与DO模块三个通道的MCU配合，实现的逻辑是3取2表决输出、2取2表决输出、1取1表决输出。其中，3取2表决输出安全性高、可用性高，2取2表决输出安全性高、可用性最低，1取1表决输出可用性高、安全性最低。

5 系统结构的外在表现形式[5]

前面介绍了安全仪表系统的内部架构组成和表决机制，市面常见的安全仪表系统的外在表现结构也是多种多样，主要分为机笼框架式结构与模块式结构，下面简略介绍:

机笼框架式结构：CPU、AI、AO、DI、DO等模块为卡板式，插在带有底板通讯的机笼框架内，多模块应用场景则会增加机笼框架及相应卡件，各机笼间通过专用总线进行链接；由于各系统使用的安全组件架构不同各卡板的结构组成也各有差异。例如在三重化冗余容错(TRM)架构下，CPU板卡有的设计为单板*3结构组成三重化，有的设计为单板三重化电路，并组成主备槽互备结构；I/O模块一般设计为单板三重化电路，并组成主备槽互备结构，机笼框架式结构的优点是空间节约，缺点是易出现共因失效，多机笼级联易使数据传输时间延长导致CUP的运算时间增加，另需远程站通讯时增加成本较高。

模块式结构：CPU、AI、AO、DI、DO等模块均为完全独立式卡件，以3*1OO1D形式组成三重化冗余容错系统，这种系统采用分布式的I/O网络结构，I/O网络的通讯速度高达100M/S，I/O吞吐率(I/O Throughout)非常高，I/O实时响应速度快。采用分布式I/O网络有如下好处：可以节省电缆的敷设，可以将I/O模块就地安装，采用这种方式还可以避免由于距离过长导致的信号衰减；可以提高系统的抗干扰能力，系统的I/O网络可以采用光纤方式传输，避免电气干扰；维护简单。

6 结语

安全是化工企业永恒的话题，安全仪表系统作为确保工艺装置生产安全，避免重大人身伤害及重大设备损坏事故的自动化保护系统，起到了关键作用。作为企业安全工程的使用者，有必要对安全仪表系统的原理、机制、架构、使用、维护做深入的学习，切实让它起到相应的保护功能。同时也要对国家制定的安全法律、法规、标准、规范做相应的了解与学习，提升企业安全意识和安全管理水平。

同时也要清楚的认识到，安全仪表系统只是企业安全生产的一个保护层，不能认为仅仅使用维护好安全仪表系统就实现了安全目标，应当从保护模型出发，落实各层面的安全保护措施，持续提高化工企业安全生产水平。