功能安全技术讲座：第16讲 功能安全中表决结构的分析与应用

Control Tech of Safety & Security

功能安全技术讲座

【摘 要】【关键词】Abstract: The paper introduces some typical voting structure and their analysis and application methods. Through the comparison between the various voting structures, fi nd their difference on implementing the safety integrity of Functional Safety.

Keywords: Functional Safety V oting Redundancy

阐述功能安全理论中几种典型的表决结构及其分析应用方法，通过对不同表决结构的比较，确

定其在实现安全功能的安全完整性和可用性上的差异。

功能安全 表决 冗余

[编者按] 本刊在2007～2008的两年间，在“安全控制技术”栏目共安排了12讲功能安全技术讲座，系统介绍了功能安全的基本概念、方法与技术，并针对读者关心的一些问题进行了分析，得到广大读者的广泛关注与积极回应。2009年，该讲座还将继续进行，主题将集中在安全相关子系统的功能安全评估与认证技术上。本讲主讲人是熊文泽工程师。

第十六讲 功能安全中表决结构的分析与应用

Chapter 16: Analysis and Application on Voting Structure for Functional Safety

熊文泽

（机械工业仪器仪表综合技术经济研究所，北京市 100055）

Xiong Wenze

(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)

主讲人简介：

熊文泽，男，工学学士，机械工业仪器仪表综合技术经济研究所功能安全技术研发中心工程师，对功能安全标准I E C 61508（G B/T 20438-2006）和IEC 61511（GB/T 21109-2007）有深入的研究，参与多项国家科技部、863课题中功能安全子项的研究。

功能安全理论的服务对象为：执行多种安全功能的E/E/PE （电子、电气和可编程电子）安全相关系统，这些系统在石化、化工、电力、铁路等领域中已经得到广泛应用，如：主要应用于流程工业（石化、化工）的安全联锁系统（Safety Interlock System —SIS ）和紧急停车系统（Emergency Shutdown —ESD ）；在电厂中广泛应用的火灾及气体检测系统（Fire and gas systems —F&G ）和燃烧管理系统（Burner Management System ）以及应用于铁路的列车自动防护系统（ATP ）。这些系统不仅能响应生产过程因超过安全极限而带来的风险，而且能检测和处理自身的故障，从而按预定条件或程序使生产过程处于安全状态，对于保障人员、设备及工厂周边环境的安全至关重要。

不同的表决结构配置直接影响安全相关系统的好坏。如何选择表决结构，才能既保证安全相关系统

安全控制技术

1）假定将执行某一安全功能的安全系统回路划分为传感器单元、终端执行单元和逻辑解算器（安全PLC ）三部分，根据统计数据表明，各部分出现故障的概率分布如下：

* 检测元件故障概率35%* 终端执行元件故障概率50%

* 逻辑解算器故障概率15%

[2]

可见，在检测元件和终端执行元件采用多通道表决，可以有效的提高SIL 等级。以上面例子来说，若通过冗余使得检测元件和执行元件的PFDavg 降低如下：

传感器 PFD s 3.09*10-4(SIL 3)终端执行器 PFD A 2.0*10-4(SIL 3)

则

达到了SIL3的要求。

2）根据IEC6 1508.2（GB/T 20438.2）中关于硬件安全完整性的结构约束要求，系统必须根据其安全失效分数达到相应的硬件故障裕度（HFT ），例如硬件故障裕度为1，则可选用1oo2或2oo3表决[1]。

3）与安全相关系统关联的传感器和终端执行元件应与常规控制元件分开单独设置，并采用保障故障安全（fail-safe ）配置，如正常工况带电（励磁），非正常工况失电（非励磁），保障安全系统发生故障时能将过程置于安全状态。

4）在实际应用中为保证整个系统的有效性，避免安全失效导致安全相关系统误动作，与安全相关系统关联的单元可采用二取一、二取二、三取二等表决结构，其好处是即使其中一个通道发生失效，通过诊断能对失效的通道报警，在保证安全的前提下继续工作，等待在规定时间内完成修复，如果不能完成修复再将过程置于安全状态。

5）冗余的构成必须充分考虑到共因失效的影响，尽可能保证不同通道对电源、外界环境影响的独立性，可能的话对不同通道采用不同的厂商设备、不同的诊断测试机制和置于不同的物理位置。3 几种典型表决结构的分析计算3.1 一取一表决逻辑

该结构由单通道构成，如图2所示。

图2 1oo1结构图

安全可靠性要求，当危险发生时及时采取响应措施，使设备能够按照预定要求进入安全状态，防止事故发生；又能尽量避免由于安全相关系统系统安全失效而导致误停车，从而造成极大的经济损失，是广大工程师们必须要考虑的问题。

本文将分别讨论不同表决结构的分析计算方法并对其不同应用效果进行比较。

1 什么是表决

MooN 表决是指一套安全相关系统或者其中某一部分，有N 个独立的通道，以这样的方式连接：即至少需要其中的M 个通道完好，才能执行正确的安全功能。例如1oo2表决就意味着2个独立设备，只需要其中一个装置正常运行就能正确的执行安全功能，只有当两个设备都出现危险故障时，安全功能才会失效[1]。

2 构建表决结构的要点

功能安全的最终量化标准是安全完整性等级（SIL ），一个安全功能要达到要求安全完整性等级，就必须保证执行这个安全功能的整个安全回路从传感器单元、逻辑解算器单元到最终执行器单元都必须达到相应的SIL 等级，例如若一个安全功能要求达到SIL3级，那必须保证三个部分都至少为SIL3级，如图1所示。

图1 SIL3系统的基本要求示例

如何保证每一部分都能达到SIL3要求？大家知道，对于现场仪表来说，由于环境条件或技术条件等的限制，若SIL 等级要求很高，单台设备往往不能满足要求。

另一方面，即使每个部分都达到了相应的SIL 等级，整个回路是否一定能满足SIL 要求呢？假定，三部分在要求时的失效概率PFDavg 分别如下

传感器 PFD s 5.09*10-4(SIL 3)安全PLC PFD L 1.21*10-4(SIL 3)终端执行器 PFD A 5.1*10-4(SIL 3)则

可见即使系统的三个部分都达到了SIL3的安全完整性等级，整个系统也不一定能达到SIL3。

在以上情况下，采用多通道表决使系统达到要求的SIL 等级是一个不错的选择。

这里归纳出以下几个要点说明在实际操作中如何考虑构建表决结构：