冗余安全集成系统的硬件配置

控制系统架构师选择性地应用冗余来确保可靠性,同时最大限度地减少误报。以下是一些策略选择。

作者:Robert I. Williams, PE 2013年9月6日

主要的SIS(安全集成系统)供应商提供基于1002 (1 of 2)、2003和2004的冗余硬件配置。这些配置的应用旨在提供更高水平的可靠性,同时减少不必要的误脱扣关闭过程的可能性。本讨论回顾了这些策略是如何开发的,并更详细地概述了在大规模SIS SIL3应用中常用的两种冗余架构,即Triconex和Honeywell分别应用的2003和2004。这两家主要公司只是例子,因为其他SIS供应商也可以提供类似的硬件配置。

本文旨在激发用户、SIS供应商和其他SIS专家之间的讨论,详细阐述根据ISA和IEC的相关SIS行业标准实现冗余硬件配置的好处、优点和缺点。您可以直接通过本文的在线版本发表评论,或者通过发送电子邮件到最后列出的地址。

SIS的基本架构

这个单工输出电路打开开关,使设备断电并安全关闭过程。安全故障是指触点在没有相关原因的情况下打开,这将被归类为滋扰行程,尽管此类事件对整个过程设施并非没有相关的负面经济影响。如果确实存在安全关闭原因并且触点未能打开,则会出现危险的故障。这可能是由于触点过热和随着时间的推移而被焊接而导致的。此类事件被归类为未能按需操作。

这种方法有两个输出(1001)串联,用于常闭和通电的安全关闭电路。只有一个SIS可以启动关闭。当然,拥有两个1001电路会带来两倍的麻烦故障的可能性,由于整个过程的收入损失,这可能是昂贵的。然而,它是一个更安全的电路,因为只需要一个触点来实现关闭,并且根据需求操作的危险故障概率要低得多。1001和1002都没有能力减少潜在的麻烦旅行。

这些系统的输出并联,需要两个触点操作来启动过程关闭。由于触点是并行的,因此减少了一个触点的麻烦跳闸,但明显的缺点是无法按需操作的危险故障情况增加了一倍,使系统不那么安全。

如图所示,1002和2202系统对安全出行和麻烦出行都不有效。但是,使用SIS诊断可以实现更高的可用性,称为1002d(带有诊断的1002)。

先进的SIS架构

30003或三重模块冗余(TMR)安全关闭系统通常用于燃气轮机、压缩机和加热器等应用,以及炼油厂内的单个工艺装置,如焦化装置。

如切换图所示,oo3配置要求三个通道中的两个同意输出,即使第三个通道不同意。如果只有一个SIS断开了它的一对触点,其中一个腿仍然保持关闭状态,因此该过程继续进行。现实世界的系统使用投票方案来维持输出,当2003个信号是OK的,但第三个信号被忽略,允许容错配置。

工业实现

主要供应商构建的工业安装使用这些基本概念的更复杂版本。下面的示例描述了两个主要SIS供应商如何提供诊断以实现其20003和20004配置。这些公司和其他使用类似方法的供应商可以提供MTBF(平均故障间隔时间)、故障概率和按需操作故障的必要数据,这些数据可以作为完整SIS实现评估的基础。

作为三模冗余

每个三叉戟系统包含三个主处理器(MP), A, B和c。每个MP控制一个单独的通道,并与其他两个并行运行。每个MP上有一个专用的I/O控制处理器管理MP和I/O模块之间交换的数据。位于底板上的三路I/O总线使用I/O总线电缆从一列I/O模块延伸到下一列。

I/O控制处理器轮询输入模块并将新的输入数据传输到MPs。然后,议员们将输入的数据汇编成表格,这些表格存储在内存中,以便在投票过程中使用。每个MP中的输入表通过trib传输到相邻MP。在此转移之后,进行投票。trib采用可编程器件,可直接访问存储器,实现三个MPs之间的数据同步、传输和比较。

如果出现分歧,则三个表中的两个表中的信号值占上风,议员们相应地纠正第三个表。由样本时间变化引起的一次性差异与不同数据的模式相区别。MPs在本地存储器中保存有关必要更正的数据。内置故障分析器例程标记任何差异,并在每次扫描结束时使用它来确定特定模块上是否存在故障。

三个好,四个更好?

需要考虑的一个问题是,由于涉及到额外的硬件和软件,双重冗余概念2004是更安全还是更不安全。

四重模块冗余(QMR)架构基于2004d (D指固有诊断)投票,在每个QPP(四处理器包,系统的处理模块)中采用双处理器技术。这意味着它的特点是具有最高级别的自诊断和容错能力。

采用冗余控制器实现QMR结构。该冗余架构包含两个qpp,实现了四重冗余,使其具有双重容错安全性。

通过每个QPP中cpu和内存的102d投票,以及两个QPP之间的102d投票来实现2004d投票。投票在两个层面上进行:模块层面和qpp之间。

多年来,过程安全从业人员一直在讨论各种冗余配置的利弊。你参与过这些对话吗?请告诉我们你对保持整体安全与避免麻烦旅行的微妙平衡的想法。在线评论或给我发电子邮件。

Robert I. Williams, PE,是一名系统顾问,专门研究DCS, SIS和SCADA。打电话给他。riwilliams1@cox.net

关键概念:

  • 一个有效的安全系统必须在紧急情况下关闭一个过程,但它也必须避免造成假警报。
  • 为了完成这两个关键任务,安全系统架构师创造了各种各样的策略,有些简单,有些复杂。

在线

https://iom.invensys.com

www.honeywellprocess.com

请看下面的相关报道。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

相关文章
面向工程师的新产品
搜索系统集成商,发现您所在行业的新创新
GrayMatter

Warrendale,美国
创世纪工程解决方案有限公司。

金,美国
ONYX工程有限公司

温莎,
顶峰工业控制有限公司。

孟买,
Excelpro

Trois-Rivieres,