安全相关系统的系统结构.doc

安全相关系统的系统结构 1、引用文件 IEC 61508； GB/T 20438； 安全PLC及安全相关系统的介绍及安全可靠性分析-湖州职业技术学院 刘纪愉； 2、几种主要的系统结构 基本系统不外乎几种：1oo2,2oo3,1oo1D,1oo2D,2oo4结构。 提高安全性的手段包括冗余和诊断从冗余的目的区分，冗余可以分为可靠性的冗余提高可用性的冗余和提高安全性的冗余。提高可靠性可用性的冗余一般是使用热备系统，一个正常工作的主设备，另外一个或多个热备的设备，当主设备故障时热备设备立刻开始接管主设备的功能，其着眼点是针对主控设备失效，而不过多关心主控设备输出是否正常和安全。提高安全性的冗余通常是若干个通道并行工作，其结果进行比较，着重于保证输出结果的正确性和安全性，而不过多考虑可靠性的问题。常见的体系结构包括单通道系统1oo1（K oo N，K Out Of N，N个里面取K个的含义）；双通道系统1oo2，2oo2；三通道系统1oo3、2oo3；如果附加了诊断措施，每种类型又可衍生出一种新的“带诊断”的体系结构：1oo1D，1oo2D，2oo2D，1oo3D，2oo3D。另外，还有一种由若干厂商如横河和黑马主推的所谓2oo4D系统，严格来讲相对于1oo2D并未提高安全性，而只是提高了可用性。能够达到安全完整性等级SIL3的体系结构目前有三种：1oo2D，2oo3，2oo4D。单通道系统1oo1，系统没有多重化，只有一个通道，这是常规PLC的典型体系结构，一般使用此种体系结构安全完整性无法达到SIL3。1oo1一般包含有现场输入、逻辑控制、执行三部分。单通道系统可能出现安全失效、危险失效，并且没有任何附加的保护电路来保障失效发生时进入安全状态。单通道系统的可靠性、安全性都受到限制，很难应用在高安全要求情况。单通道系统很难避免单点故障。1oo2D体系结构及其失效分析采用1oo2D体系结构的系统可以达到比1oo2更理想的安全性，已经证明，采用1oo2D体系结构可以达到SIL3等级要求。从图1可以看出，1oo2D体系结构的诊断电路里也有和输出有关的控制电路，该控制电路可以由两个单元（通道）分别进行控制。1oo2D结构相当于两个输出控制电路A1,A2串联、B1,B2串联之后再并联，每个单元有独立的控制输出，同时，最终输出的结果还跟两个通道的诊断结果相关。最终输出结果必须经过诊断电路的判断才能完成输出，如果任一单元的诊断电路发现问题，则可以强制安全输出（在本图中即开路）。1oo2D体系结构见图1。1oo2D体系结构1oo2D体系机构提供了一组额外的控制线，为双通道的体系结构提供额外的安全功能，从而比单纯的1oo2有更好的安全性。例如，当A通道输出开关A1错误闭合时，相应的通道诊断电路没有发现，而下边B通道发现该问题并通过控制线路将此开关打开，把危险失效转化为安全失效。这样，在最终输出之前，诊断电路还有机会把错误的输出更正或者进行安全输出。1oo2D提高安全性的方法本质上是通过诊断技术，使用高达90%以上的诊断覆盖率，可以发现绝大多数随机硬件失效，将其中可能导致的危险失效转化为安全失效系统危险失效的充分必要条件是，A和B发生了共因危险失效，并且该共因失效没有被A或B的诊断电路所发现（未检测）；或者A和B同时发生非共因危险失效，且这两个危险失效都没有被A或B的诊断电路所发现。所谓共因失效是指两个通道由于相同的原因，发生了硬件随机失效而导致的失效。危险失效是危及到系统安全功能的失效，是需要尽力避免的。从安全仪表系统的角度来讲，危险失效即是要求时失效，例如，一个紧急停车系统，紧急停车功能是其安全功能，当按下紧急停车按钮或要求执行紧急停车功能时发生失效而导致紧急停车功能没有被执行，即是危险失效，也即是要求时失效。在本文中，要求时失效与危险失效含义相同。2oo4D是把两个1oo2D的设备并联，形成热备效果，两者都接受相同的输入，同时运行，但是有一个1oo2D设备不进行有效输出，作为热备，另一个进行有效输出，作为主站。通过这种方式提供了额外的可用性，安全性本身并没有发生改变，与1oo2D相同。2oo3体系结构及其失效分析2oo3体系结构，又称为三重冗余、三模冗余结构，在航空、航天、军事上的应用相当广泛，兼顾安全性和可用性。顾名思义，2oo3是一种三通道系统，它包含输入、逻辑控制和输出，输出部分还有表决电路。在安全相关系统中，2oo3结构保证当系统中最少有两路处于安全状态时，系统是安全的。2oo3系统的输入、输出都包含有“投票”（Vote），用以判断和纠正其输入和输出值。 图 2oo3体系结构如图所示的三重冗余系统，在该图中的危险失效是“该开路而短路”。分析图结构，可以发现输出电路的失效模式有两种：“该开路而短路”和“该短路而开路”，前者是危险失效（使安