安全仪表系统的十个事实（五）

来源：Invensys

很多公司都宣称它们的双重冗余SIS技术(1oo2D (Dual), 1oo2DR (Dual Redundant), 2oo4D)是三重模块化冗余（TMR）系统的低成本的替代方案。这是对双重冗余SIS架构能力的不恰当的误述。以1oo2 (1 out of 2)方式配置的双重冗余PLC是为“故障安全”最初选择的解决方案，但是它们不能克服误动作的固有问题。
因为任何一个通道发生故障都导致关断，所以1oo2表决逻辑能引起误动作。

性能
由供应商赞助，发表论文的作者已经得出结论：相对于2oo3系统来说，2oo4系统的要求故障概率(PFD)是有竞争力的。这个结论是基于Markov模型和仅仅应用到能够理想的认为是4-3-2-0降级曲线理论2oo4系统的方程式。然而，这样的性能在以“四重” 2oo4D为标志的逻辑控制器在商业实施中是不可能的。
在一个电子模块中具有2个处理器的所有商业实施中，这样的系统能以4-2-0曲线只降级其处理器。当发现相同模块中的两个处理器中的一个故障时，即仅有一对可用，因此按4-2-0曲线降级。
此外，在大多数情况下，I/O模块不是“四重”，它们甚至不冗余，输出最好组态成1oo2D。在所有商业可用架构中，通过增加额外的硬件，实现要求的冗余等级。底线是加强这些系统的处理器的容错部分从而基本上实现“双重”冗余。
上述提到的出版物（见参考文献）是基于ISA TR84.02标准，第2部分定义了测定PFD的简化方程式，然而，“该技术报告的目标是为用户提供评价SIF（PFD平均值）的硬件安全完整性和测定伪造的MTTF的技术。建模系统故障的方法也说明如果已知系统的故障率，作为ISA-TR84.0.02 标准第2部分提供用于评价遵循ANSI/ISA 84.01-1996 标准，“过程行业安全仪表系统应用”，已安装的要求模式安全仪表功能的SIL值的简化方程式的一种方法，就能实现这样的定量分析。第2部分不应解释为唯一可能使用的评价技术。

我们认为强调ISA-TR84.0.02标准第 2部分的一些假设是重要的。
l 4.6 逻辑控制器故障率包括输入模块、逻辑控制器、输出模块和电源。这些故障率典型地由逻辑控制器供应商提供。
l 4.9 假设测试间隔(TI)比平均无故障时间(MTTF)更短。
l 4.10 假设系统中的组件的测试和修理是理想的。
l 4.16 Beta模型用于处理可能的常见原因故障。假设是1− β≈1 ，在计算中产生保守的结果。
l 4.17 在本节开发的方程式假设理想的降级路径，例如，假设2oo4系统按4-3-2-0降级路径降级。
在简化PFD平均值的方程式的过程中，忽略了一些时间。例如，在方程式中，由于很短的修理时间，可以忽略不计修理期间多个故障的时间间隔。在计算中没有包括表示常见原因（Beta因数时间）和系统故障的方程式中的那些时间。
因此，使用的方程式是实际性能的简化，该性能并不说明比较的逻辑控制器架构的特殊特点。这些方程式也与商业可用产品没有联系，可能导致不准确的结果。
双重冗余系统的性能不好，因为降级路径典型的是2-0。极少数用户能在单一的处理器上运行他们的工艺，并满足供应商在系统安全手册中证明的推荐性能。大多数双重冗余系统需要在维护的误比较后关断，影响了安全和过程正常运行。

实施
为了更接近2oo4系统的理想性能，最终用户或系统集成商应增加以下方面：
l 为在I/O等级提供冗余，增加额外的I/O模块。
l 为把同一个仪表接到多个I/O模块，增加额外的终端面板。
l 为把额外的I/O点连接到它们的冗余对上，增加额外的应用程序编程。
l 为比较或表决输入，增加额外的应用编程。
l 为选择输出，增加额外的逻辑。
因为以上提到的增加不属于产品，所以实施需要兼容安全标准和规章的额外文件，也需要额外的文件使在产品的生命周期之内维护容易。所有以上提到的额外增加部分,提高了成本和安装的复杂性。

硬件
满足冗余要求的额外硬件的成本不仅仅是硬件本身的成本，还包括机柜空间、布线、配电和文件的成本。
单独增加的硬件不提供设计想要的冗余系统等价的性能。必须实施某种形式的冗余中间变量，典型的是在应用程序中，补偿嵌入式诊断的缺乏。
大多数商业可用系统不能处理多个诊断硬件故障。实际的例子是一个模块上的一个输出点故障，该模块典型地驱动模块上的所有点到它们的安全状态。除非已经安装冗余模块，所有那些最终元件将会转变到它们的安全状态，影响安全和过程正常运行。
嵌入式诊断
双重冗余架构的简单分析将暴露微处理器的诊断范围的限制，并证明依赖多个通道之间比较诊断的特点的价值。底线是在双重冗余系统中，在通道之间任何非诊断误比较导致系统的误关断。尽管“故障安全”的名称与1oo2D 或2oo4D双重冗余系统有关，但是它们有假故障的趋势。
另一方面，容错和过程正常运行是TMR技术固有的。
军事和航空航天工业已经使用三重冗余系统几十年了。一些公司在过程工厂中已经实现最优的实施。在所有实际的实施中，2oo3多数表决和自诊断与比较诊断的优点的结合已经被证实是容错架构的关键优点。
应用编程事实
在应用程序编程环境中的软件灵活性已经成为SIS实施中的最终限制。软件灵活性允许应用程序编程人员表达过程及其应用的实际要求。它也允许编程人员补偿系统嵌入诊断的缺乏。当构建诊断基础结构时，逻辑表决，标签比较逻辑，双标签名和冗余表仅仅是编程人员将面临的挑战的一些例子。

结论
理解你的应用的目标安全完整性等级（SIL）。确定考虑启动时和未料到的情况、环境影响和经济影响。
不要比较苹果和橘子，试图理解每个选择的好处，并确定哪个选择更适合你的应用要求。
不要仅仅考虑硬件的初始投资，也要考虑维护的影响、维护文件的成本、解决故障的成本和误动作对工厂性能的影响等因素。
如果误动作比较多或计划修理维护是一个问题，不要选择双重冗余逻辑系统，而选择2oo3 TMR系统。平均来说，TMR比双重冗余系统高10%的初始投资，但是你能延长过程正常运行时间以及在不牺牲安全的情况下极大增加可靠性。
选择具有恰当TUV认证和包括特定应用认证的逻辑控制器供应商。遵循和理解系统的安全指导方针和限制。最终，确定你能理解你评价的制造商提供的基本的要求时故障概率（PFD）计算。

参考文献
l A Conceptual Comparison Bert Knegtering, Honeywell and Erik Dom, Borealis Polymers Hydrocarbon Engineering, Dec 2003
l The New Quad Architecture: Explanation and Evaluation Lawrence V. Beckman, SafePlex Systems, Inc. Safety Users Group 2001
l ISA-TR84.0.02 Technical Report Safety Instrumented Functions (SIF) --Safety Integrity Level (SIL) Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations Version 5 March 2002
l Triconex Availability and Probability to Fail on Demand Calculations for Tricon and Trident Controllers Velten-Phillipe and Shabe, TÜV 2003-02-03
l Is The Risk Worth It? Beware of the New Safety Instrumented Suppliers Bob Adamski, Director, Premier Consulting Services