冗余安全集成系统硬件配置
控制系统架构师有选择地应用冗余来确保可靠性,同时最大限度地减少错误警报。以下是一些策略选择。
主要SIS(安全集成系统)供应商提供基于1oo2(2选1)、2oo3和2oo4配置的冗余硬件配置。这些配置的应用旨在提供更高级别的可靠性,同时降低误钻导致不必要的流程关闭的可能性。本讨论回顾了这些策略是如何开发的,并更详细地概述了在大规模SIS SIL3应用中常用的两种冗余架构,即Triconex和Honeywell分别应用的2oo3和2oo4。这两家主要公司只是例子,因为类似的硬件配置可从其他SIS供应商获得。
本文旨在激发用户、SIS供应商和其他SIS专家之间的讨论,详细阐述根据ISA和IEC的相关SIS行业标准实现冗余硬件配置的优点、优点和缺点。您可以直接通过本文的在线版本发表评论,也可以发送电子邮件到文章末尾列出的地址。
SIS基本架构
1oo1 -这个单工输出电路打开开关,使设备断电并安全地关闭过程。当触点在没有相关原因的情况下打开时,则属于安全故障,这将被归类为妨扰行程,尽管此类事件对整个工艺设施并非没有相关的负面经济影响。如果确实存在安全关闭原因,触点无法打开,则是危险的故障。这可能是由于触点过热和随着时间的推移焊接关闭造成的。此类事件被归类为按需操作失败。
这种方法有两个输出(1oo1)串联用于常闭和通电的安全停机电路。只需要一个SIS就可以启动关机。当然,拥有两个1oo1电路会带来两倍的潜在麻烦故障,由于整个过程的收入损失,这可能是昂贵的。然而,这是一种更安全的电路,因为只需要一个触点来操作以实现停机,并且按需操作的危险故障的概率要低得多。无论是1oo1还是1oo2都不能减少潜在的麻烦。
这些系统的输出是并行连接的,需要两个触点操作以启动过程关闭。由于触点是并联的,一个触点的恼人行程减少了,但明显的缺点是,危险的故障场景(无法按需操作)增加了一倍,使系统更不安全。
如图所示,1oo2和2oo2体系在安全下钻和骚扰下钻两方面都不有效。但是,使用SIS诊断可以实现更高的可用性,称为1oo2D(带有诊断的1oo2)。
先进的SIS架构
2oo3或三重模块化冗余(TMR)安全停机系统通常用于燃气轮机、压缩机和加热器等应用,以及炼油厂内的单个工艺单元,如焦化装置。
正如开关图所示,2oo3配置要求三个通道中的两个同意输出,尽管第三个通道不同意。如果只有一个SIS松开了它的一对触点,其中一个腿仍保持关闭状态,因此流程继续运行。现实系统使用投票方案来维持输出时,2oo3是OK,但第三个信号被忽略,允许容错配置。
工业实现
由主要供应商建造的工业装置使用这些基本概念的更复杂版本。下面的例子描述了两个主要的SIS供应商如何提供诊断来实现其2oo3和2oo4配置。这些公司和其他使用类似方法的供应商可以为MTBF(平均故障间隔时间)、故障概率和按需操作失败提供必要的数据,这些数据可以作为完整SIS实施评估的基础。
2oo3作为三模冗余
每个“三叉戟”系统包含三个主处理器(MP), A、B和c,每个MP控制一个单独的通道,并与其他两个并行操作。每个MP上都有一个专用的I/O控制处理器来管理MP和I/O模块之间交换的数据。三I/O总线位于底板上,通过I/O总线电缆从I/O模块的一列延伸到下一列。
I/O控制处理器轮询输入模块并将新的输入数据传输给MPs。然后,议员们将输入的数据组装成表格,这些表格存储在内存中,用于投票过程。每个MP中的输入表被triit传输到相邻的MP中。在此转移之后,进行投票。triit使用一个可编程设备,直接访问内存来同步、传输和比较三个mp之间的数据。
如果出现分歧,则三张表中有两张表中的信号值占优先地位,议员则相应地修正第三张表。由样本时间变化引起的一次性差异与不同数据的模式相区别。MPs在本地内存中维护有关必要更正的数据。内置的故障分析例程标记任何差异,并在每次扫描结束时使用它来确定特定模块上是否存在故障。
三个好,四个更好?
需要考虑的一个问题是,由于涉及额外的硬件和软件,双冗余概念2oo4是否被认为更安全。
四重模块冗余(QMR)架构基于2oo4D (D指固有诊断)投票,每个QPP (quad processor pack,系统的处理模块)采用双处理器技术。这意味着它具有最高水平的自我诊断和容错能力。
采用冗余控制器实现QMR结构。该冗余架构包含两个qpp,可实现四重冗余,具有双重容错功能。
2oo4D投票是通过结合每个QPP中cpu和内存的1oo2投票,以及两个QPP之间的1oo2D投票来实现的。投票在两个层面上进行:模块层面和qpp之间。
多年来,过程安全从业者一直在争论各种冗余配置的利弊。你参与过这些对话吗?请告诉我们你对保持整体安全与避免恼人旅行之间微妙平衡的想法。在网上评论或给我发电子邮件。
Robert I. Williams是一位专攻DCS、SIS和SCADA的系统顾问。联络他的地址是riwilliams1@cox.net
关键概念:
- 有效的安全系统必须在紧急情况下关闭进程,但也必须避免引起错误警报。
- 为了完成这两项关键任务,安全系统架构师创造了各种各样的策略,有些简单,有些复杂。
在线
https://iom.invensys.com
请看下面的相关报道。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
