Control Tech of Safety & Security功能安全技术讲座【摘 要】【关键词】Abstract: The paper introduces some typical voting structure and their analysis and application methods. Through the comparison between the various voting structures, fi nd their difference on implementing the safety integrity of Functional Safety.Keywords: Functional Safety V oting Redundancy阐述功能安全理论中几种典型的表决结构及其分析应用方法，通过对不同表决结构的比较，确定其在实现安全功能的安全完整性和可用性上的差异。

功能安全 表决 冗余[编者按] 本刊在2007～2008的两年间，在“安全控制技术”栏目共安排了12讲功能安全技术讲座，系统介绍了功能安全的基本概念、方法与技术，并针对读者关心的一些问题进行了分析，得到广大读者的广泛关注与积极回应。

2009年，该讲座还将继续进行，主题将集中在安全相关子系统的功能安全评估与认证技术上。

本讲主讲人是熊文泽工程师。

第十六讲 功能安全中表决结构的分析与应用Chapter 16: Analysis and Application on Voting Structure for Functional Safety熊文泽（机械工业仪器仪表综合技术经济研究所，北京市 100055）Xiong Wenze(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)主讲人简介：熊文泽，男，工学学士，机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师，对功能安全标准I E C 61508（G B/T 20438-2006）和IEC 61511（GB/T 21109-2007）有深入的研究，参与多项国家科技部、863课题中功能安全子项的研究。

功能安全理论的服务对象为：执行多种安全功能的E/E/PE （电子、电气和可编程电子）安全相关系统，这些系统在石化、化工、电力、铁路等领域中已经得到广泛应用，如：主要应用于流程工业（石化、化工）的安全联锁系统（Safety Interlock System —SIS ）和紧急停车系统（Emergency Shutdown —ESD ）；在电厂中广泛应用的火灾及气体检测系统（Fire and gas systems —F&G ）和燃烧管理系统（Burner Management System ）以及应用于铁路的列车自动防护系统（ATP ）。

这些系统不仅能响应生产过程因超过安全极限而带来的风险，而且能检测和处理自身的故障，从而按预定条件或程序使生产过程处于安全状态，对于保障人员、设备及工厂周边环境的安全至关重要。

不同的表决结构配置直接影响安全相关系统的好坏。

如何选择表决结构，才能既保证安全相关系统安全控制技术1）假定将执行某一安全功能的安全系统回路划分为传感器单元、终端执行单元和逻辑解算器（安全PLC ）三部分，根据统计数据表明，各部分出现故障的概率分布如下：* 检测元件故障概率35%* 终端执行元件故障概率50%* 逻辑解算器故障概率15%[2]可见，在检测元件和终端执行元件采用多通道表决，可以有效的提高SIL 等级。

以上面例子来说，若通过冗余使得检测元件和执行元件的PFDavg 降低如下：传感器 PFD s 3.09*10-4(SIL 3)终端执行器 PFD A 2.0*10-4(SIL 3)则达到了SIL3的要求。

2）根据IEC6 1508.2（GB/T 20438.2）中关于硬件安全完整性的结构约束要求，系统必须根据其安全失效分数达到相应的硬件故障裕度（HFT ），例如硬件故障裕度为1，则可选用1oo2或2oo3表决[1]。

3）与安全相关系统关联的传感器和终端执行元件应与常规控制元件分开单独设置，并采用保障故障安全（fail-safe ）配置，如正常工况带电（励磁），非正常工况失电（非励磁），保障安全系统发生故障时能将过程置于安全状态。

4）在实际应用中为保证整个系统的有效性，避免安全失效导致安全相关系统误动作，与安全相关系统关联的单元可采用二取一、二取二、三取二等表决结构，其好处是即使其中一个通道发生失效，通过诊断能对失效的通道报警，在保证安全的前提下继续工作，等待在规定时间内完成修复，如果不能完成修复再将过程置于安全状态。

5）冗余的构成必须充分考虑到共因失效的影响，尽可能保证不同通道对电源、外界环境影响的独立性，可能的话对不同通道采用不同的厂商设备、不同的诊断测试机制和置于不同的物理位置。

3 几种典型表决结构的分析计算3.1 一取一表决逻辑该结构由单通道构成，如图2所示。

图2 1oo1结构图安全可靠性要求，当危险发生时及时采取响应措施，使设备能够按照预定要求进入安全状态，防止事故发生；又能尽量避免由于安全相关系统系统安全失效而导致误停车，从而造成极大的经济损失，是广大工程师们必须要考虑的问题。

本文将分别讨论不同表决结构的分析计算方法并对其不同应用效果进行比较。

1 什么是表决MooN 表决是指一套安全相关系统或者其中某一部分，有N 个独立的通道，以这样的方式连接：即至少需要其中的M 个通道完好，才能执行正确的安全功能。

例如1oo2表决就意味着2个独立设备，只需要其中一个装置正常运行就能正确的执行安全功能，只有当两个设备都出现危险故障时，安全功能才会失效[1]。

2 构建表决结构的要点功能安全的最终量化标准是安全完整性等级（SIL ），一个安全功能要达到要求安全完整性等级，就必须保证执行这个安全功能的整个安全回路从传感器单元、逻辑解算器单元到最终执行器单元都必须达到相应的SIL 等级，例如若一个安全功能要求达到SIL3级，那必须保证三个部分都至少为SIL3级，如图1所示。

图1 SIL3系统的基本要求示例如何保证每一部分都能达到SIL3要求？大家知道，对于现场仪表来说，由于环境条件或技术条件等的限制，若SIL 等级要求很高，单台设备往往不能满足要求。

另一方面，即使每个部分都达到了相应的SIL 等级，整个回路是否一定能满足SIL 要求呢？假定，三部分在要求时的失效概率PFDavg 分别如下传感器 PFD s 5.09*10-4(SIL 3)安全PLC PFD L 1.21*10-4(SIL 3)终端执行器 PFD A 5.1*10-4(SIL 3)则可见即使系统的三个部分都达到了SIL3的安全完整性等级，整个系统也不一定能达到SIL3。

在以上情况下，采用多通道表决使系统达到要求的SIL 等级是一个不错的选择。

这里归纳出以下几个要点说明在实际操作中如何考虑构建表决结构：Control Tech of Safety & Security可靠性框图如图3所示。

注：λD为危险失效率图3 1oo1可靠性框图假定系统处于低要求操作模式，采用可靠性框图法分析计算并简化（下同），其要求时平均失效率PFDavg为：可见由于只有一个通道执行安全功能，虽然结构简单，但系统的拒动率和误动率都很高，而不具有容错能力，对设备的各种失效模式没有保护能力，一旦发生危险失效（λD），系统无法执行安全功能将过程置于安全状态。

3.2 一取一带诊断表决逻辑1oo1D该结构由一个普通通道和一个诊断通道构成。

如图4所示。

图4 1oo1D表决结构图可靠性框图如图5所示。

注：λDU为未检测到的危险失效率（下同）图5 1oo1D可靠性框图假定不考虑诊断测试间隔的影响（以下同），其要求时平均失效率PFDavg简化计算公式为：可见由于带有诊断通路，不但系统的可靠性得以提高，而且能通过自诊断检测出发生故障的元件，向系统或操作员报警，通知工厂相关人员及时对故障元件进行维修，保障系统的整体安全。

3.3 二取一表决逻辑1oo2据标准GB/T20438，1oo2结构为两个并联的通道构成，无论哪一个通道都能处理安全功能。

如图6所示。

可靠性框图如图7所示。

考虑共同原因失效影响，引入共因失效因子β（分析计算方法参见标准GB/T20438.6），其要求时平均失效率PFDavg为：若检验测试时间间隔足够短，那么非共因失效部分的数量级将远小于共因部分，上式可近似为：若两通道采用相同的结构，即λD1=λD2=λD，则可见由于系统采取了冗余结构（二取一结构），能有效地抵御危险失效的发生。

由于采用的是失电停车，通过将两个PLC单元串联起来，如果一个单元故障发生了危险失效，但由于系统或操作人员不知道，它将仍有假性正常输出，而另一个单元仍然可以检测到故障，发出命令使系统进入安全状态，起到保护作用。

从公式可以看出，此时共同原因失效成为系统发生失效的关键因素，在实际设计过程中应尽量避免。

总的来说系统安全性较好，但可用性差。

3.4 二取一带诊断表决逻辑1oo2D1oo2D结构中有4个通道，其中包括两个诊断电路通道。

1oo2D结构由双重1oo1D系统并联接线，每个诊断电路通道，不仅受到自身所在电路单元的控制，同时也受到另外一个冗余电路单元的控制。

正常工作期间，在发生安全功能之前，两个通道都要求安全功能。

如果任一通道中诊断测试检测到一个故障，则将采用输出表决，因此整个输出状态则按照另一通道给出的输出状态。

如果诊断测试在两个通道同时检测到故障、或者检测到两个通道间存在差异时，输出（2）（1）图6 1oo2表决结构图注：λCC为共因失效部分（下同）图7 1oo2可靠性框图（3）安全控制技术则转到安全状态。

为了检测两个通道间的差异，通过一种与另一通道无关的方法，无论其中那个通道都能确定另一通道的状态[1]。

图8 1oo2D表决结构图假设λD1=λD2=λD，λS1=λS2=λS（以下均采用此假设），可靠性框图如图9所示。

注：λDD为检测到的危险失效率，λSD为检测到的安全失效率λDU为未检测到的危险失效率，λSU为未检测到的安全失效率图9 1oo2D可靠性框图参考1oo2和1oo1D的公式，且由于前两项很小可忽略，其要求时平均失效率PFDavg为：通过以上的分析可见，这种结构的好处是既能够容忍一个单元通道未检测出的危险失效也能容忍安全失效。

一方面当一个单元中的通道未检测出危险失效时，其诊断电路的开关将处于短路状态而不能被该单元打开，但1oo2D的另一个单元检测到过程危险后除了将自己诊断电路开关打开外，同时也可以将危险失效单元诊断电路的开关打开，从而执行单元动作，保证系统安全。