SIS設(shè)計(jì)必須遵守的十三大原則！

安全儀表系統(tǒng)的主要作用是在工藝生產(chǎn)過程發(fā)生危險故障時將其自動或手動帶回到預(yù)先設(shè)計(jì)的安全狀態(tài)，以確保工藝裝置的生產(chǎn)的安全，避免重大人身傷害及重大設(shè)備損壞事故。在安全儀表系統(tǒng)的設(shè)計(jì)過程中，IEC 61508，IEC 61511提供了極好的國際通用技術(shù)規(guī)范和參考資料。IEC于2000年5月發(fā)布了IEC 61508標(biāo)準(zhǔn)，2003年1月頒布IEC 61511標(biāo)準(zhǔn)。這兩個標(biāo)準(zhǔn)有很密切的關(guān)系，IEC 61508標(biāo)準(zhǔn)是綜合性基礎(chǔ)標(biāo)準(zhǔn)，主要為裝置的制造商和供應(yīng)商使用，IEC 61511可以說是IEC 61508的延續(xù)，主要針對具體的儀器儀表設(shè)計(jì)者和用戶使用。2006年，2007年等同采用IEC61508，IEC 61511的中國國家標(biāo)準(zhǔn) GB/T 20438，GB/T 21109相繼發(fā)布，中國的功能安全標(biāo)準(zhǔn)開始規(guī)范我們的功能安全工作。在安全儀表系統(tǒng)的設(shè)計(jì)領(lǐng)域，通常將IEC 61508與IEC 61511 結(jié)合使用。在安全儀表系統(tǒng)回路設(shè)計(jì)過程中，一般需要遵循下列幾點(diǎn)原則。

為了保證工藝裝置的生產(chǎn)安全，安全儀表系統(tǒng)必須具備與工藝過程相適應(yīng)的安全完整性等級SIL（Safety Integrity Level）的可靠度。對此，IEC 61508進(jìn)行了詳細(xì)的技術(shù)規(guī)定。對于安全儀表系統(tǒng)，可靠性有兩個含義，一個是安全儀表系統(tǒng)本身的工作可靠性；另一個是安全儀表系統(tǒng)對工藝過程認(rèn)知和聯(lián)鎖保護(hù)的可靠性，還應(yīng)有對工藝過程測量，判斷和聯(lián)鎖執(zhí)行的高可靠性。

評估安全完整性等級SIL的主要參數(shù)就是PFDavg(probability of failure on demand 平均危險故障率)，按其從高到低依次分為1~4級。在石化行業(yè)中一般涉及到的只有1，2，3級，因?yàn)镾IL4級投資大，系統(tǒng)復(fù)雜，一般只用于核電行業(yè)。

詳細(xì)分類見表1 所

IEC 61508 對安全儀表功能所屬的過程工藝定義了兩種模式：低要求(Low demand)模式和高要求(High demand)模式。而IEC 61511則稱之為要求模式和連續(xù)模式。兩種分類方式有著類似的含義，我們只分析低要求模式和高要求模式。低要求模式和高要求模式定義上的區(qū)別在于，低要求模式下，安全儀表功能每年被執(zhí)行的次數(shù)少于一次，并且每個驗(yàn)證測試周期中不超過2次。而高要求模式每年安全儀表功能被執(zhí)行的次數(shù)超過一次，每個驗(yàn)證測試周期中執(zhí)行次數(shù)超過2次。通常來講，石化化工等行業(yè)所采用的EDS，F(xiàn)GS，BMS等系統(tǒng)，均屬于低要求模式。因?yàn)檎Ｇ闆r下，每年安全功能被執(zhí)行的次數(shù)是不會超過一次的。當(dāng)然，實(shí)際的應(yīng)用過程中，有可能有些工廠的SIS系統(tǒng)每年動作多次。那并不意味著它的工藝就是高要求模式，可能是由于不 合理的工藝設(shè)計(jì)，操作習(xí)慣等因素的影響。

那么在低要求模式和高要求模式下，SIL等級與故障幾率相應(yīng)的關(guān)系見表1。

可以看到，低要求模式下，SIL等級的定義是按平均每次動作發(fā)生故障的幾率（PFD）來表示。石化化工行業(yè)常見的SIL3級別，代表著每次執(zhí)行安全功能，發(fā)生故障的幾率是10-3 到10-4。而在高要求模式下，SIL等級則以每小時發(fā)生故障的幾率（PFH）來表示。SIL3級別意味著每小時發(fā)生故障的幾率是10-8  到10-7。而IEC 61511的要求模式和連續(xù)模式下，SIL等級也是分別用PFD和PFH來表示，各個級別的故障幾率與IEC 61508的規(guī)定相同。

提高安全儀表系統(tǒng)的SIL等級，對安全儀表系統(tǒng)回路內(nèi)的各個部分實(shí)行冗余是主要的手段。總體來說，檢測元件的冗余原則為：對于安全儀表系統(tǒng)的SIL1 回路，可采用單一的檢測元件；對于安全儀表系統(tǒng)的SIL2回路，宜用“1oo2D”或 “2oo3”冗余的檢測元件；對于安全儀表系統(tǒng)的SIL3回路，應(yīng)采用“2oo3”冗余的檢測元件。安全儀表系統(tǒng)控制單元的冗余原則為：SIL1 可采用“1oo1D”單控制單元；SIL2 宜采用“1oo2D”或“2oo3” 冗余控制單元；SIL3 應(yīng)采用“2oo3”或 “2oo4D” 冗余控制單元。安全儀表系統(tǒng)執(zhí)行機(jī)構(gòu)的冗余設(shè)置原則為：SIL1可采用單電磁閥，單控制閥；SIL2宜采用冗余電磁閥，單控制閥；SIL3 應(yīng)采用冗余電磁閥，雙控制閥。安全儀表冗余控制閥可以為分別帶電磁閥的兩個開關(guān)閥，也可以為帶電磁閥的一個調(diào)節(jié)閥和一個開關(guān)閥。

可用性（也稱可用度）是指安全儀表系統(tǒng)在一個給定的時間點(diǎn)能夠正確執(zhí)行功能的概率。常用下面公式表示：

A=MTBF/（MTBF+MDT）

其中：

A----------可用性

MTBE----平均無故障工作時間

MDT------平均停車時間

要使系統(tǒng)可用度增加，就要增加平均無故障工作時間（MTBF），或減少平均停車時間（MDT）。對于安全儀表系統(tǒng)的設(shè)計(jì)而言，不能一味的追求系統(tǒng)的高可靠性，系統(tǒng)的可用性也需要考慮。正確的判斷過程事故，可以減少裝置的非正常停車，減少開，停車造成的經(jīng)濟(jì)損失。

為了提高系統(tǒng)的可用性，安全儀表系統(tǒng)應(yīng)具有硬件和軟件自診斷和測試功能。安全儀表系統(tǒng)應(yīng)為每個輸入工藝聯(lián)鎖信號設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測試和維護(hù)同時減少因安全儀表系統(tǒng)系統(tǒng)維護(hù)造成的停車。需要注意的是用于三選二表決方案的冗余檢測元件不需要旁路，手動停車輸入也不需要旁路。同時嚴(yán)禁對安全儀表系統(tǒng)輸出信號設(shè)立旁路開關(guān)，以防止誤操作而導(dǎo)致事故發(fā)生。如果SIL計(jì)算表明測試周期小于工藝停車周期，而對執(zhí)行機(jī)構(gòu)進(jìn)行在線測試時無法確保不影響工藝而導(dǎo)致誤停車，則安全儀表系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長測試周期或采用部分行程測試法，對事故狀態(tài)關(guān)閉的閥門增加手動旁通閥，對事故狀態(tài)開啟的閥門增加手動截止閥等措施，以允許在線測試安全儀表系統(tǒng)閥門。這些手段對于提供安全儀表系統(tǒng)的可用性都是很有幫助的。

安全儀表系統(tǒng)應(yīng)獨(dú)立于基本過程控制系統(tǒng)（BPCS，如DCS，F(xiàn)CS，CCS，PLC等），獨(dú)立完成安全保護(hù)功能。安全儀表系統(tǒng)的檢測元件，控制單元和執(zhí)行機(jī)構(gòu)應(yīng)單獨(dú)設(shè)置。如果工藝要求同時進(jìn)行聯(lián)鎖和控制的情況下，安全儀表系統(tǒng)和BPCS應(yīng)各自設(shè)置獨(dú)立的檢測元件和取源點(diǎn)（個別特殊情況除外，如配置三取二檢測元件，進(jìn)DCS信號三取中，進(jìn)安全儀表系統(tǒng)三取二，經(jīng)過信號分配器公用檢測元件）。如需要，安全儀表系統(tǒng)應(yīng)能通過數(shù)據(jù)通信連接以只讀方式與DCS通信，但禁止DCS通過該通信連接向安全儀表系統(tǒng)寫信息。安全儀表系統(tǒng)應(yīng)配置獨(dú)立的通信網(wǎng)絡(luò)，包括獨(dú)立的網(wǎng)絡(luò)交換機(jī)，服務(wù)器，工程師站等。安全儀表系統(tǒng)應(yīng)采用冗余電源，由獨(dú)立的雙路配電回路供電。應(yīng)避免安全儀表系統(tǒng)和BPCS的信號接線出現(xiàn)同一接線箱，中間接線柜和控制柜內(nèi)。

隨著安全標(biāo)準(zhǔn)的推出以及對安全系統(tǒng)重視度的不斷提高，安全儀表系統(tǒng)的認(rèn)證也變得越來越重要，系統(tǒng)的設(shè)計(jì)思想，系統(tǒng)結(jié)構(gòu)都須嚴(yán)格遵守相應(yīng)國際標(biāo)準(zhǔn)并取得權(quán)威機(jī)構(gòu)的認(rèn)證。安全儀表系統(tǒng)必須獲得IEC 61508 SIL和/或TUV AK（德）相應(yīng)SIL等級的認(rèn)證。安全儀表系統(tǒng)系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化，同時必須獲得國家有關(guān)防爆，計(jì)量，壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。

當(dāng)安全儀表系統(tǒng)的元件，設(shè)備，環(huán)節(jié)或能源發(fā)生故障或者失效時，系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)使工藝過程能夠趨向安全運(yùn)行或者安全狀態(tài)。這就是系統(tǒng)設(shè)計(jì)的故障安全行原則。能否實(shí)現(xiàn)“故障安全“取決于工藝過程及安全儀表系統(tǒng)的設(shè)計(jì)。整個SIS，包括現(xiàn)場儀表和執(zhí)行器，都應(yīng)設(shè)計(jì)成以下絕對安全形式，即：

1）現(xiàn)場觸點(diǎn)應(yīng)開路報(bào)警，正常操作條件下閉合；

2）現(xiàn)場執(zhí)行器聯(lián)鎖時不帶電，正常操作條件下帶電。

對于執(zhí)行器，如切斷閥，一般情況下SIS應(yīng)設(shè)計(jì)成安全聯(lián)鎖動作時，切斷閥在安全的即失氣的狀態(tài)。當(dāng)有多個不同的工藝回路對該切斷閥有不同動作要求時；如同一個FC（失氣時關(guān)）切斷閥，A安全聯(lián)鎖動作時要求該閥門全開；另一個B安全聯(lián)鎖動作時要求該閥門全關(guān)。此時就要求SIS在A安全聯(lián)鎖中輸出“1“使電磁閥帶電閥門全開，在B安全聯(lián)鎖中輸出”0“使電磁閥失電閥門全關(guān)。

以上的說明是通常情況下的故障安全。其實(shí)對于故障安全還應(yīng)具體情況具體分析，要確定最有可能發(fā)生的故障狀態(tài)，并不是一律“常閉接點(diǎn)，正常帶電“。

為了提高安全儀表系統(tǒng)的SIL等級，對系統(tǒng)的各個單元實(shí)現(xiàn)冗余是必須的。其基本原則為：

（1）      傳感器的冗余原則：對于SIS的SIL1回路，可采用單一的傳感器；對于SIS的SIL2回路，宜采用“1oo2D” 或“2oo3”冗余的傳感器；對于SIS的SIL3的回路，應(yīng)采用“2oo3”冗余的傳感器。

（2）      SIS邏輯表決算器的冗余原則：SIL1可采用“1oo1D”單邏輯單元；SIL2宜采用“1oo2D” 或“2oo3” 冗余邏輯單元；SIL3宜采用“2oo3” 或“2oo4D” 冗余邏輯單元；

（3）      SIS控制閥的冗余設(shè)置原則：SIL1可采用單電磁閥，單SIS控制閥；SIL2宜采用冗余電磁閥，單SIS控制閥；SIL3應(yīng)采用冗余電磁閥，雙SIS控制閥；

  SIS冗余控制閥為分別帶電磁閥的兩個SIS開關(guān)閥，也可為帶電磁閥的1個調(diào)節(jié)閥加1個SIS開關(guān)閥；冗余輸入的SIS邏輯應(yīng)當(dāng)包括輸入信號偏差報(bào)警（2個變送器的信號偏差，報(bào)警設(shè)定值為5%）。

SIS應(yīng)具有硬件和軟件自診斷及測試功能。SIS應(yīng)為每個輸入工藝聯(lián)鎖信號設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測試和維護(hù)。用于3選2表決方案的冗余傳感器不需要旁路，手動停車輸入也不需要旁路。嚴(yán)禁對SIS輸出信號設(shè)立旁路開關(guān)。如果SIL計(jì)算表明測試周期小于工藝停車周期，而對最終執(zhí)行元件進(jìn)行在線測試時無法確保不影響工藝或?qū)е抡`停車；則SIS的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長測試周期或采用部分行程測試法，對故障關(guān)的閥門增加手動旁通閥，對故障開的閥門增加手動截止閥等措施，以允許在線測試SIS閥門。對于SIS聯(lián)鎖旁路應(yīng)設(shè)置“禁止/允許”開關(guān)。SIS旁路開關(guān)的動作應(yīng)當(dāng)在DCS中產(chǎn)生報(bào)警并予以記錄。除非旁路解除，報(bào)警始終處于活動狀態(tài)。

1 、MOS作用

維護(hù)旁路開關(guān)(Maintenance Override Switch,MOS)為SIS的變送器，檢測開關(guān)等現(xiàn)場設(shè)備的在線檢修設(shè)置。由于在旁路狀態(tài)下SIF的功能及其安全完整性都是受限的。因此旁路的設(shè)計(jì)和操作管理，成為SIS工程中重要的關(guān)注點(diǎn)之一。

旁路操作本身應(yīng)有報(bào)警，記錄和顯示；在旁路期間也應(yīng)始終保持對工藝過程狀態(tài)的檢測和指示。旁路操作應(yīng)有明確的操作程序，并納入到功能安全評估和現(xiàn)場功能安全審計(jì)的范圍之內(nèi)。重要的一點(diǎn)，旁路設(shè)計(jì)應(yīng)僅限于正常的工藝過程操作界限之內(nèi)，不能代替或用作安全防護(hù)層功能。

2 、設(shè)置 MOS要遵循以下原則：

1） 當(dāng)傳感器被旁路時，操作人員有其它手段和措施觸發(fā)該傳感器對應(yīng)的最終執(zhí)行元件，使工藝過程置于安全狀態(tài)；

2）當(dāng)傳感器被旁路時，操作人員有其它手段和措施監(jiān)測到該傳感器對應(yīng)的過程參數(shù)或狀態(tài)。

3）當(dāng)傳感器被旁路時，操作人員有其它手段和措施，并有足夠的響應(yīng)時間取代該傳感器相關(guān)的SIF，將工藝過程置于安全狀態(tài)。

4）MOS不能用于屏蔽手動緊急停車按鈕信號，檢測壓縮機(jī)工況的軸振動/位移信號以及報(bào)警功能等；

5）MOS的啟動狀態(tài)應(yīng)有適當(dāng)?shù)娘@示。旁路狀態(tài)的時間不宜太長，如果對該時間有嚴(yán)格的限定，可設(shè)計(jì)“時間到”報(bào)警，但是不能自動解除旁路狀態(tài)。

對于MooN表決機(jī)制的變送器信號，MOS邏輯設(shè)計(jì)要考慮降級模式對安全性和可用性的影響。例如，從安全性角度，2oo3旁路后應(yīng)降級1 oo2；而對于停車將造成重大經(jīng)濟(jì)損失的回路，2oo3旁路設(shè)計(jì)可能采用降級為2oo2。

SIS的設(shè)計(jì)應(yīng)保證一旦工藝過程進(jìn)入安全狀態(tài)，在進(jìn)行手動復(fù)位前應(yīng)保持工藝過程在安全狀態(tài)。最終執(zhí)行元件在所有的聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)前不得復(fù)位。帶多個傳感器和最終執(zhí)行元件的復(fù)雜聯(lián)鎖回路需要在邏輯中設(shè)置一個總聯(lián)鎖復(fù)位信號（按鈕），當(dāng)聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)之后，能用該復(fù)位信號（按鈕）對整個聯(lián)鎖回路進(jìn)行復(fù)位。對火焰加熱爐，氣化爐，反應(yīng)器等高危險設(shè)備的最終執(zhí)行元件，需配備一個獨(dú)立的，就地手動復(fù)位裝置。總聯(lián)鎖復(fù)位必須在就地手動復(fù)位前先復(fù)位，就地手動復(fù)位裝置的信號必須輸入SIS邏輯。

在SIS 可編程邏輯控制器中，應(yīng)用軟件編程組態(tài)遵循的最重要原則，是如何保證滿足安全完整性要求。邏輯控制器的整體性能表現(xiàn)，在很大程度上受制于軟件的質(zhì)量。我們知道，安全完整性包括硬件安全完整性和系統(tǒng)性安全完整性。其中軟件錯誤或缺陷是影響系統(tǒng)性安全完整性的重要因素之一。不幸的是，我們很難對軟件失效建立數(shù)學(xué)模型并對失效率進(jìn)行準(zhǔn)確預(yù)測。

應(yīng)用軟件設(shè)計(jì)和組態(tài)應(yīng)遵循模塊化，低復(fù)雜性的指導(dǎo)原則。按照工藝過程特點(diǎn)和防護(hù)邏輯，劃分為相對獨(dú)立。簡單的單元或?qū)哟危@將給功能測試和修改帶來極大的便利，有利于增強(qiáng)軟件的完整性。不論設(shè)計(jì)文件采用哪種格式，包括因果圖（Cause-Effect）,功能邏輯圖，流程圖，文字?jǐn)⑹龅刃问剑家銐蛟敿?xì)，確保對停車邏輯，設(shè)定值，報(bào)警，診斷以及時序等的正確組態(tài)。基于“經(jīng)驗(yàn)使用”原則，盡可能采用標(biāo)準(zhǔn)功能或功能塊。如果需要采用；嵌套”邏輯，應(yīng)盡可能地降低嵌套層。

SIS必須獲得IEC 61508SIL和/或TUV AK（德）相應(yīng)SIL等級的認(rèn)證。鑒于某些特殊原因，需要由SIS執(zhí)行的非安全功能應(yīng)在因果圖上明確標(biāo)明（如“非安全功能”，“NSF”，SIL=“N/A” 或其它標(biāo)識）并在其他SIS設(shè)計(jì)文件中指明。非安全功能的動作，如果由SIS執(zhí)行則不得干擾或危及SIS的任何安全功能。SIS系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化， 同時必須獲得國家有關(guān)防爆，計(jì)量，壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。

當(dāng)按照安全要求規(guī)格書的要求，完整了SIS設(shè)備的選型和結(jié)構(gòu)設(shè)計(jì)，自然地要回答這一問題，最終的SIF是否達(dá)到了預(yù)期的SIL要求？

SIF的最終SIL評估，通常有兩個必要條件：一是評定SIS子系統(tǒng)是否滿足了“結(jié)構(gòu)約束(ArchitecturalConsraintts)要求，在IEC61508/IEC 61511中，結(jié)構(gòu)約束條款用最小的“硬件故障裕度”(Hardware Fault Tolerance,HFT)表征，代表了設(shè)備或子系統(tǒng)在構(gòu)成SIL回路時，從硬件結(jié)構(gòu)上對安全完整性等級的限制。

1、 IEC 61508中的結(jié)構(gòu)約束

結(jié)構(gòu)約束是除PFD avg之外，在某個特定應(yīng)用中使用某個設(shè)備的附加約束。

根據(jù)設(shè)備類型及其SFF（安全失效分?jǐn)?shù)，也有稱之為安全故障）和設(shè)備所在子系統(tǒng)的HFT(硬件故障裕度，也有稱之為硬件容錯能力）來確定設(shè)備子系統(tǒng)能夠用于哪級SIL水平的安全儀表系統(tǒng)。IEC 61508提供了一張表，分別為設(shè)備類型A和B的子系統(tǒng)定義了結(jié)構(gòu)約束，如表3所示。

表3        IEC 61508中對A類及B類設(shè)備的結(jié)構(gòu)約束

 為了便于區(qū)分，IEC 61508將各種組成安全儀表功能的元件分成兩種A型和B型。A型指那些所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件。例如普通傳感器，閥門等。而B型則相反，指那些故障類型沒有被完整的定義，也沒有足夠的故障數(shù)據(jù)的元件，一般指的是含有處理器的元件，例如智能傳感器，邏輯運(yùn)算器等。

由表3，我們可以看出，確定安全儀表回路各個元件的SIL等級，取決于2個參數(shù)。1是安全失效分?jǐn)?shù)，2是硬件故障裕度。對自動化產(chǎn)品來說，安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測到的平均危險失效率與子系統(tǒng)總平均失效率之比。

 安全失效分?jǐn)?shù)

SFF=(λSD+λSU+λDD) / (λSD+λSU+λDD+λDu)

 提高安全失效分?jǐn)?shù)，就是提高產(chǎn)品的故障安全能力，也就是說，當(dāng)產(chǎn)品出現(xiàn)故障時，具有的使系統(tǒng)以安全的方式失效的能力提高安全失效分?jǐn)?shù)的辦法有很多，最重要的就是提高診斷覆蓋率，也就是用各種內(nèi)部診斷的方式將可能導(dǎo)致危險失效檢測出來提高診斷測試到的危險失效概率在危險失效總概率中的比例。

 硬件故障裕度HFT和系統(tǒng)或者元件的結(jié)構(gòu)有關(guān)。我們常見的系統(tǒng)或者元件設(shè)計(jì)結(jié)構(gòu)有1oo1,2oo2,1oo2,2oo3,1oo3,2oo4.這種MooN結(jié)構(gòu)指的是需要總共N個通道中的M個獨(dú)立通道來實(shí)現(xiàn)安全功能。而硬件容錯能力HFT的定義是，假如硬件容錯能力是X，那么當(dāng)出現(xiàn)X+1個危險故障時，將會導(dǎo)致安全功能的喪失。所以很明顯，我們可以得出在MooN結(jié)構(gòu)中，硬件容錯能力的計(jì)算HFT=N-M。如表2所示。

表2 硬件容錯能力計(jì)算表

 有時候，冗余的設(shè)備是為了提高過程的可用性，而不是為了提高安全性。

硬件故障裕度(Hardware fault tolerance,HFT)是指在能夠正常行使安全功能的情況下，系統(tǒng)結(jié)構(gòu)配置能夠容忍的危險失效數(shù)目。硬件故障裕度有時與冗余配置容易混淆。硬件故障裕度和冗余不是一回事。例如，1oo3,2oo3,3oo3的設(shè)備冗余數(shù)都是3，而它們的硬件故障裕度卻分別是2，1，0。有時候，冗余的設(shè)備是為了提高過程的可用性，而不是為了提高安全性。

如果某個B類設(shè)備具有92%的安全失效分?jǐn)?shù)，硬件故障裕度為0，根據(jù)表3可得到它滿足SIL2的要求。但一般在實(shí)際工程中，結(jié)構(gòu)約束是以另一種方式使用的。已知的是目標(biāo)SIL水平，設(shè)備類型及其安全失效分?jǐn)?shù)，要確定的是硬件故障裕度。例如，某A類設(shè)備的SFF為50%，安全儀表功能的目標(biāo)SIL水平為2，那么根據(jù)表2硬件裕度為1，所以該設(shè)備的子系統(tǒng)需要為1oo2或2oo3之類的冗余配置。

2 、IEC 61511中的結(jié)構(gòu)約束

IEC 61511中要求硬件故障裕度的最低水平應(yīng)該是SIL水平的函數(shù)。這就是說以達(dá)到功能安全為目的的冗余必須與安全儀表功能的目標(biāo)SIL水平相聯(lián)系。對于現(xiàn)場儀器儀表和非可編程邏輯控制器，其結(jié)構(gòu)約束如表4所示。

表4       IEC 61511中為現(xiàn)場設(shè)備規(guī)定的最小硬件故障裕度

按照上表，為了達(dá)到SIL2的安全水平必須使用兩個變送器，并且這兩個變送器只需其中一個動作就能夠執(zhí)行安全功能，即1oo2配置。同樣，對于SIL3的安全水平，必須使用三個變送器，配置為1oo3。IEC 61511中使用另一張表對可編程電子邏輯控制器的結(jié)構(gòu)提出要求，如表5所示。

表5        IEC 61511中為邏輯控制器規(guī)定的最小硬件故障裕度

使用此表時也需要計(jì)算安全失效分?jǐn)?shù)SFF。它的使用方法和IEC 61508中的結(jié)構(gòu)約束是一樣的。

儀表圈 | 技術(shù)交流群 

現(xiàn)向所有圈友開放！

(進(jìn)群請與圈秘書甜甜：DHE-china聯(lián)系，獲得入群資格。)

儀表圈，儀表人自己的圈子！