双人vs双人

我本能地，大多数人认为“如果一个好，两个应该更好，三个一定是最好的。”“不幸的是，就安全系统的性能而言，事情并不像看起来那么直观。如果设计得当，双系统比三系统具有更高的在线可用性和更高的安全性能。

失效模式

安全系统可能以两种方式失效。首先，他们可能会受苦，或者发起，这是一次令人讨厌的旅行(并在没有任何问题的情况下关闭了工厂)。例如，设计成继电器通电和触点闭合的电路将在触点打开时失效(导致停机)。有些人称之为“安全”失败。大多数PLC(可编程逻辑控制器)和DCS(分布式控制系统)供应商使用术语“可用性”来衡量性能。不幸的是，这引起了一些混淆，因为这与整个安全标准中使用的术语“安全可用性”不同。更好的说法应该是“讨厌旅行率”或“讨厌旅行的平均间隔时间”，以年为单位。

与安全相关的系统也可能遭受功能失效(抑制)和没有回应到实际关闭需求失败。一个例子是具有闭合触点的通电继电器，其“焊接”关闭并且不能打开以导致停机。业内称这些故障为“危险的”故障，性能测量术语为“安全可用性”、“按需故障概率”和“风险降低系数”。

体系结构的比较

参考“冗余的实际影响”图，所有示例系统都使用具有常闭触点的通电继电器，1001(1 / 1)示例表明，在继电器断电和继电器触点打开导致安全跳闸的任何时候都会发生安全故障。假设此模式下的故障概率为0.04，则意味着在一段时间内(例如1年)，系统有4%的概率会出现故障。另一种看待它的方式是，在100个系统中，每年有4个会造成讨厌的旅行。(这些数字仅供比较。实际故障概率数是根据经验和硬件测试建立的。

在1001例中，当触点被焊接闭合时，会发生危险的故障。假设焊接触点的失效概率为0.02，在规定的时间段内(例如1年)，当有需求(即危险情况)时，系统有2%的概率不能正常运行。另一种看待它的方式是，在100个系统中，每年有两个系统在需要时无法响应。交换数字并不重要;重点是说明冗余提供的影响。

利用双1002(1 / 2)系统，两个常闭输出串联，意味着如果任何一个继电器输出打开，都会发生安全关闭。1002系统的缺点是涉及两倍的硬件，因此在规定的时间内可能发生两倍的麻烦行程，导致0.04的故障概率翻倍到0.08。

在危险模式下(触点焊接)，只有在以下情况下，1002系统才会失效这两个渠道失败同时．(如果其中一个焊接关闭，另一个将断电并导致停机。)两个同时失败的概率是多少?实际上，这很简单。抛硬币并且正面朝上的概率是多少?这是50%。的概率是多少两个硬币正面落地?是25%或者是1的概率，的平方(0.5 × 0.5 = 0.25)。所以的概率两个同时发生故障的通道是远程的(0.02 x 0.02 = 0.0004)。

1002系统非常安全(发生危险故障的概率非常小)，但是系统遭受的麻烦绊倒次数是simplex的两倍(从损失生产的角度来看，这是不可取的)。

双2202(二出二)系统将两组常闭继电器触点并联，要求这两个要打开的联系人以便执行关机。一个危险的故障(焊接合同)将阻止20002系统启动关闭。由于2000系统的硬件数量是单纯系统的两倍，因此它的危险故障数量是单纯系统的两倍，因此0.02增加一倍，变为0.04。

为了让这个系统有一个讨厌的旅程，这两个通道将不得不遭遇安全故障。和前面一样，两个同时失败的概率等于一个的概率的平方。因此，在oo2系统中不太可能出现麻烦的跳闸故障(0.04 x 0.04 = 0.0016)，但该系统比单纯形系统更不安全。这并不意味着200个系统应该这样做从来没有被设计。如果按需故障概率(PFD)值满足总体性能要求，则可接受2202设计。

三选二(三选二)制度是多数投票制度。然而，两个或更多的渠道“投票”，这就是系统所做的。用于在2003系统中获得投票的数学出现在ISA TR84技术报告，IEC 61508标准草案和D.J. Smith写的一本书中，名为可靠性，可维护性和风险，工程师的实用方法， Butterworth-Heinemann出版，ISBN 0-7506-0854- 4,1993。

大多数人都惊讶地发现，一个20003系统比一个20002系统有更高的麻烦行程率，并且比一个20002系统有更大的发生危险故障的可能性。但在回答了这些问题之后，启示就出现了:

• 一个1002系统需要同时发生多少次故障才会发生危险的故障?答:两个。

• 一个2003系统需要同时发生多少次故障才会发生危险的故障?答:两个。

• 一个2000年的系统需要同时发生多少次故障才能产生麻烦的故障?答:两个。

• 一个2003系统需要同时发生多少次故障?答:两个。

有一个启示，triplicate(2003)系统有最多的硬件，因此更多的故障组合;(a + b, a + c, b + c)。复杂的系统实际上是一种权衡。总的来说，它们相当不错，但不如20002和20002系统好。

仔细看看双系统

对Simplex系统图中包含的数字进行更仔细的检查表明，1002系统比2003系统更安全，并且2002系统比2003系统提供更好的麻烦行程率。多年来，人们已经知道，如果一个双系统可以设计成提供两个双系统的最佳性能，这样一个系统将优于一个三重系统。但是，在过去的10年里，技术已经达到了可以适当实施这种设计的程度。这些系统通常被称为102d。

双重并不总是比单一的好，三重并不总是比双重的好。如果设计得当，双冗余系统可以提供与三冗余系统相同或更高的在线可用性和安全性。用户在评估安全仪表系统时，有一件事对他们有利，那就是来自组织的独立第三方认证，比如TÜV Rheinland (Cologne, Germany)的自动软件信息(ASI)技术部。

例如，ASI用于认证可编程电子系统(PES)的标准包括DIN V 19250“测量和控制设备的基本安全方面”和IEC 61508“电气/电子/可编程电子系统(PES)的功能安全”。只有一点要注意，在审查ASI的认证时，一定要熟悉排名方法。曾经由AK(应用程序类)进行的排名现在由RC(需求类)进行，并且RC值和SIL值不直接相关。

欲了解更多关于TÜV/ASI安全体系认证的信息，请访问www.isep.de。 评论?电子邮件dharrold@cahners.com

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。