主要的安全儀表系統(tǒng) (SIS)供應(yīng)商都以1oo2（二選一）、2oo3和2oo4的方式提供冗余硬件的配置。這些冗余配置的應(yīng)用目的是提供更高等級的可靠性，同時(shí)降低非必要關(guān)斷對過程造成影響的可能性。本文基于大型安全系統(tǒng)的 SIL3等級應(yīng)用中常用的雙冗余架構(gòu)進(jìn)行分析，也就是Triconex和Honeywell公司分別所采用的2oo3和2oo4冗余配置。本文僅就這兩家主要的企業(yè)進(jìn)行討論，因?yàn)槠渌鸖IS供應(yīng)商的硬件配置也都類似。希望可以引發(fā)用戶、SIS供應(yīng)商和其他SIS領(lǐng)域?qū)＜覍τ诎凑誌SA和IEC的相關(guān)SIS工業(yè)標(biāo)準(zhǔn)設(shè)置冗余硬件的優(yōu)點(diǎn)和缺點(diǎn)進(jìn)行廣泛的討論。 　　基本SIS架構(gòu) 　　1oo1——這種單輸出電路能夠安全地?cái)嚅_開關(guān)，使設(shè)備斷電并停止工藝過程。所謂安全的失效就是觸點(diǎn)在沒有原因的情況下打開了，雖然此類事件對于整個(gè)過程設(shè)施仍舊具有負(fù)面的經(jīng)濟(jì)影響，但是我們還是將其定義為誤觸發(fā)。危險(xiǎn)失效就是在確實(shí)有安全關(guān)斷的原因時(shí)觸點(diǎn)無法打開，這種情況可能由觸電過熱熔接導(dǎo)致。此類事件被定義為無法按需動(dòng)作。 　　1oo2——這種方法將兩個(gè)輸出（1oo1）串聯(lián)，構(gòu)成常閉帶電的安全關(guān)斷電路。任何一個(gè)SIS動(dòng)作都會導(dǎo)致電路斷開。當(dāng)然，采用兩個(gè)1oo1電路也會引入雙倍誤觸發(fā)的可能，有可能對整個(gè)工藝過程帶來高昂的損失。但是，這種方法確實(shí)更加安全，因?yàn)橹恍枰粋€(gè)觸點(diǎn)動(dòng)作就可以實(shí)現(xiàn)關(guān)斷，無法按需動(dòng)作的危險(xiǎn)失效的可能性低得多。不管是1oo1還是1oo2都無法消除誤觸發(fā)的隱患。 　　2oo2——這些系統(tǒng)的輸出并聯(lián)設(shè)置，兩個(gè)觸點(diǎn)同時(shí)動(dòng)作才能將過程關(guān)斷。由于觸點(diǎn)是并聯(lián)的，所以誤觸發(fā)的可能性降低了，但是明顯的缺點(diǎn)就是危險(xiǎn)失效的可能性加倍了，系統(tǒng)的安全性降低。 　　可以看到，1oo2和2oo2系統(tǒng)都無法有效滿足安全性和誤觸發(fā)的要求。但是，如果能夠增加診斷功能就能夠獲得更高的可用性了，這就是所謂的1oo2D（帶診斷功能的1oo2）。 　　高級SIS架構(gòu) 　　2oo3或者三重模塊冗余（TMR）安全關(guān)斷系統(tǒng)通常被用于燃?xì)鉁u輪機(jī)、壓縮機(jī)和加熱器，也常被用于精煉廠中的獨(dú)立過程單元，例如焦化單元。 　　正如本文下頁開關(guān)圖所示，在2oo3配置下，只要有兩個(gè)通道同時(shí)觸發(fā)，即使第三個(gè)通道并未觸發(fā)，那么輸出動(dòng)作也會被觸發(fā)。如果只有一個(gè)SIS的兩組觸點(diǎn)被觸發(fā)了，那么有一條引線仍舊處于閉合狀態(tài)，所以過程繼續(xù)工作。在現(xiàn)實(shí)世界中采用表決機(jī)制來確定2oo3架構(gòu)的輸出，而第三個(gè)信號被忽略，允許容錯(cuò)配置。 　　工業(yè)中的應(yīng)用 　　主要供應(yīng)商在工業(yè)現(xiàn)場中的具體安裝方案則采用了比這些基本概念的更加復(fù)雜的版本。本文中介紹了兩家主要的SIS供應(yīng)商是如何通過提供診斷功能來實(shí)現(xiàn)各自的2oo3和2oo4配置的。這些企業(yè)和使用類似方法的其他供應(yīng)商能夠針對平均故障間隔時(shí)間、故障概率和按需動(dòng)作失效提供必要的數(shù)據(jù)，作為整個(gè)SIS性能的評價(jià)依據(jù)。

　　每一個(gè)SIS架構(gòu)都具有其自身的特性，能夠在維持較高安全等級的同時(shí)避免誤觸發(fā)。要想搭建一套在兩方面同時(shí)具有較高性能的系統(tǒng)則需要使用相對復(fù)雜的架構(gòu)。

　　2oo3三重化冗余系統(tǒng) 　　每一個(gè)三重化冗余系統(tǒng)都包含三個(gè)主處理器（MP）A、B和C。每一個(gè)MP控制獨(dú)立的通道并與其他兩個(gè)MP并行工作。每個(gè)MP上的專用I/O控制處理器對MP和I/O模塊之間的數(shù)據(jù)交換進(jìn)行管理。在系統(tǒng)主板上使用I/O總線電纜將每一列I/O模塊連接起來形成三重化的I/O總線。 　　I/O控制處理器選擇輸入模塊，并將輸入數(shù)據(jù)發(fā)送給MP。MP隨后將輸入數(shù)據(jù)制表存儲到內(nèi)存當(dāng)中，用于選擇過程使用。使用三重化總線將每一個(gè)MP當(dāng)中的輸入表轉(zhuǎn)移給相鄰的MP，轉(zhuǎn)移之后就可以進(jìn)行選擇。三重化總線采用具有直接讀取內(nèi)存功能的可編程器件，在三個(gè)MP之間完成數(shù)據(jù)的同步、傳輸和比對。 　　如果有不一致出現(xiàn)，那么就以2oo3表格的信號結(jié)果為準(zhǔn)，然后MP根據(jù)結(jié)果校正第三個(gè)表格中的相應(yīng)數(shù)據(jù)。由于采樣時(shí)間不同所導(dǎo)致的差異能夠通過信號模式的不同區(qū)分出來。MP在本地存儲器中保存經(jīng)過必要更正的數(shù)據(jù)。內(nèi)置的故障分析器會將不一致的數(shù)據(jù)做出標(biāo)識，并在每一次掃描之后使用這些標(biāo)識用于判斷是否在特定模塊中有故障存在。 　　2oo4四重化冗余系統(tǒng) 　　四重化模塊冗余（QMR）架構(gòu)基于2oo4D（D代表內(nèi)置診斷功能）表決方式，每一個(gè)QPP（四處理器組，系統(tǒng)的處理模塊）都采用雙處理器技術(shù)。這意味這種方法具有極高的自我診斷功能和故障冗余能力。 　　四重化冗余系統(tǒng)架構(gòu)通過冗余控制器實(shí)現(xiàn)。冗余架構(gòu)包含兩個(gè)QPP，也就是四重冗余，為安全性提供了雙故障冗余能力。2oo4表決機(jī)制通過在每一個(gè)CPU和每一個(gè)QPP的內(nèi)存上采用1oo2表決機(jī)制來實(shí)現(xiàn)，兩個(gè)QPP之間也具有1oo2表決功能。表決機(jī)制在兩個(gè)層面上進(jìn)行：在模塊層面上表決以及在QPP之間表決。