周玲艷，秦悅明

(1.云南解化清潔能源開(kāi)發(fā)有限公司解化化工分公司，云南 開(kāi)遠(yuǎn) 661699；2.北京一諾先科裝備技術(shù)有限公司，北京 100020)

近年來(lái)，隨著化工領(lǐng)域工業(yè)安全理念的發(fā)展，以及國(guó)家安監(jiān)政策的出臺(tái)，以安全保護(hù)和抑制減輕災(zāi)害為目的的安全儀表系統(tǒng)(Safety Instrumented System，SIS)已廣泛應(yīng)用于化工領(lǐng)域緊急停車(chē)系統(tǒng)(ESD)、安全聯(lián)鎖系統(tǒng)(SIS)、火氣檢測(cè)報(bào)警系統(tǒng)(FGS)等不同工藝或裝置防護(hù)場(chǎng)合，用于保護(hù)人員、設(shè)備和環(huán)境。

企業(yè)用戶在安全產(chǎn)品選擇及使用時(shí)，面對(duì)眾多供應(yīng)商提供的不同架構(gòu)形式和性能的安全儀表系統(tǒng)往往只停留在簡(jiǎn)單使用維護(hù)層面，對(duì)其系統(tǒng)架構(gòu)和該架構(gòu)對(duì)于產(chǎn)品性能的影響不太了解。本文結(jié)合自己多年應(yīng)用經(jīng)驗(yàn)以及對(duì)不同安全產(chǎn)品的了解，簡(jiǎn)略分析安全儀表系統(tǒng)架構(gòu)，以及架構(gòu)對(duì)于安全產(chǎn)品性能的影響，為企業(yè)的安全儀表選型、使用、維護(hù)提供參考。

1 安全儀表系統(tǒng)架構(gòu)類型及核心組成[1]

目前，國(guó)內(nèi)外市場(chǎng)，常見(jiàn)的安全儀表系統(tǒng)類型主要分為三類：一是四重化冗余容錯(cuò)(QMR)系統(tǒng)，安全降級(jí)運(yùn)行模式為4-2-0模式；二是三重化冗余容錯(cuò)(TRM)系統(tǒng)，安全降級(jí)運(yùn)行模式為3-2-0模式或3-2-1-0模式；三是雙重冗余PLC系統(tǒng)，安全降級(jí)運(yùn)行模式為2-0模式。

截至目前，E/E/PE安全相關(guān)系統(tǒng)尤其是PE安全相關(guān)系統(tǒng)，都是以搭積木的方式進(jìn)行組合，由安全組件(element)組合成安全子系統(tǒng)(subsystem)，再由安全子系統(tǒng)(subsystem)組合成E/E/PE安全相關(guān)系統(tǒng)。作為安全工程的設(shè)計(jì)者或使用者，或者作為安全工程的審查者或評(píng)估者，只能以有效的、可判別的安全組件進(jìn)行安全分析與評(píng)估，而不可能進(jìn)入到電氣/電子元器件的顆粒度去判別功能安全是否到達(dá)。而安全組件(element)，是最小的可判別的基本安全單元，其是由安全產(chǎn)品生產(chǎn)商根據(jù)相關(guān)的功能安全標(biāo)準(zhǔn)例如IEC61508進(jìn)行設(shè)計(jì)、制造，并由具有適當(dāng)資質(zhì)的安全評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估與定級(jí)的。一種情況是，生產(chǎn)商可能只生產(chǎn)安全組件(element)，如具有SIL等級(jí)的變送器，在這種情況中，現(xiàn)場(chǎng)安全工程中的變送器子系統(tǒng)是根據(jù)項(xiàng)目需要來(lái)拼搭組合的。例如，使用SIL2等級(jí)的變送器1只、或者2只、或者3只。另一種情況是，生產(chǎn)商不僅生產(chǎn)安全組件(element)，而且還有安全組件(element)組合成安全子系統(tǒng)(subsystem)，如安全控制系統(tǒng)廠商生產(chǎn)SIL3等級(jí)的AI、DI、DO模塊和CPU模塊，并提供這些模塊組合成一個(gè)SIL3等級(jí)的安全子系統(tǒng)(subsystem)所需要的所有必須的配件。

組件(element)的定義是實(shí)現(xiàn)一個(gè)具體功能時(shí)不可拆分的最小元件集合。安全組件(element)的定義是實(shí)現(xiàn)安全功能時(shí)不可拆分的最小元件集合，包括由具有適當(dāng)資質(zhì)的安全評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估與定級(jí)時(shí)進(jìn)行功能安全判別的單元顆粒。例如，一個(gè)8通道的AI模塊就是一個(gè)SIL3級(jí)別的安全組件(element)，雖然這個(gè)安全組件具有8個(gè)控制通道，但只能作為一個(gè)安全組件(element)被整體設(shè)計(jì)和評(píng)估、以及整體使用與維護(hù)，8個(gè)通道中雖然只有一個(gè)通道發(fā)生故障、另外7個(gè)通道完全可以繼續(xù)執(zhí)行安全功能，但這個(gè)安全組件進(jìn)入故障狀態(tài)；另一種情況是將這個(gè)8通道的AI模塊一分為8、作為8個(gè)SIL2級(jí)別的單通道AI模塊，但這8個(gè)SIL2級(jí)別的單通道AI模塊是8個(gè)完全一樣的安全組件(element)，雖然完全可以實(shí)現(xiàn)一個(gè)SIL3級(jí)別的8通道AI模塊的所有功能，但這8個(gè)SIL2級(jí)別的單通道AI模塊在設(shè)計(jì)和評(píng)估、使用與維護(hù)的過(guò)程中，與8通道AI模塊完全不一樣。

根據(jù)IEC61508-2標(biāo)準(zhǔn)的要求，對(duì)于由Type B(復(fù)雜類)安全相關(guān)組件或子系統(tǒng)實(shí)施的安全功能最大可允許的安全完整性等級(jí)如表1所示。

表1 Type B(復(fù)雜類)安全相關(guān)組件或子系統(tǒng)實(shí)施的安全功能最大可允許的安全完整性等級(jí)

表1所示為安全組件(element)與對(duì)應(yīng)的硬件故障裕度(HFT)的確切關(guān)系，硬件故障裕度(HFT)是針對(duì)安全組件(element)提出的并聯(lián)結(jié)構(gòu)容錯(cuò)要求，而不是針對(duì)硬件通道(channel)而言的。并且，在決定安全組件(element)的硬件故障裕度(HFT)時(shí)，不考慮可以控制故障影響的措施(如診斷)。為什么采用安全組件(element)的概念，而不是硬件通道(channel)的概念，原因如下：① 安全組件(element)是不可拆分的最小單元，方便安全評(píng)估、工程設(shè)計(jì)和使用維護(hù)，硬件通道(channel)在概念上貌似可拆分和可進(jìn)行安全評(píng)估，但在工程設(shè)計(jì)和使用維護(hù)上又無(wú)法進(jìn)行單通道拆分與使用維護(hù)；② 硬件通道(channel)的概念不夠清晰，例如，一個(gè)安全子系統(tǒng)(subsystem)中，具有單通道的地方，例如端子板和信號(hào)電路，和三重化的模塊，例如AI模塊和CPU模塊；還有可能是信號(hào)電路是三通道，而CPU是二通道，因此通道的概念比較模糊，對(duì)安全工程的設(shè)計(jì)和評(píng)估不利；硬件通道(channel)的概念與功能安全評(píng)估沒(méi)有清晰的界定關(guān)系。

2 安全儀表系統(tǒng)架構(gòu)實(shí)現(xiàn)方式[2]

四重化冗余容錯(cuò)(QMR)系統(tǒng)是采用1OO2D技術(shù)實(shí)現(xiàn)SIL3的功能安全產(chǎn)品，即主要的安全組件(element)采用雙通道比較、互診的方式，達(dá)到表1中左邊第1列SFF≥99%、HFT=0和SIL=3的要求，具體來(lái)說(shuō)就是AI、DI、CPU、DO作為安全組件(element)，其實(shí)都是雙通道的硬件模塊，因?yàn)槊總€(gè)模塊作為一個(gè)安全組件(element)都達(dá)到SFF≥99%、HFT=0和SIL=3的要求，因此單個(gè)系統(tǒng)采用全部單個(gè)的CPU模塊和IO模塊就能達(dá)到SIL3的系統(tǒng)安全完整性要求。然而，符合1OO2D技術(shù)特點(diǎn)的CPU模塊和IO模塊只要在兩個(gè)通道中發(fā)生數(shù)據(jù)不一致，即會(huì)造成相應(yīng)的關(guān)閉動(dòng)作，因此在安全性完全有保障的情況下，可用性大大降低，對(duì)于大規(guī)模流程生產(chǎn)而言非常不利。為了在保證安全性的前提下同樣保證可用性，因此采用兩套本質(zhì)上由單模塊組成的SIL3系統(tǒng)并列運(yùn)行的方式。當(dāng)采用兩套本質(zhì)上由單模塊組成的SIL3系統(tǒng)并列運(yùn)行時(shí)，如果一套單模塊系統(tǒng)中，由于某個(gè)1OO2D安全組件內(nèi)部檢測(cè)到故障并降級(jí)運(yùn)行到1OO1D時(shí)，剩下的1OO1D單通道運(yùn)行不可信，其輸出接點(diǎn)與健康的1OO2D系統(tǒng)直接并聯(lián)，在1OO1D側(cè)發(fā)生隱形失效時(shí)會(huì)完全屏蔽1OO2D側(cè)的健康輸出，此種情況不可接受，因此1OO2D安全組件在檢測(cè)到故障時(shí)直接關(guān)閉，而不是降級(jí)到1OO1D繼續(xù)運(yùn)行。

三重化冗余容錯(cuò)(TRM)系統(tǒng)實(shí)際采用了3*1OO1D的系統(tǒng)架構(gòu)形式，如圖1所示。系統(tǒng)的主體運(yùn)行狀態(tài)是三通道模式(TMR Mode)；在發(fā)生一個(gè)控制器故障時(shí)，系統(tǒng)降級(jí)運(yùn)行到雙通道模式(Dual Mode)；在發(fā)生第二個(gè)控制器故障時(shí)，系統(tǒng)降級(jí)運(yùn)行到單通道模式(Single Mode)或者觸發(fā)安全狀態(tài)。三通道系統(tǒng)的基本組成單元是單通道系統(tǒng)，即由輸入、運(yùn)算、輸出組成的單通道系統(tǒng)。按照表1所示復(fù)雜類(Type B)通道或子系統(tǒng)實(shí)施的安全功能最大可允許的安全完整性等級(jí)，可知單通道系統(tǒng)最高可申明為SIL3水平。但單通道做到SIL3水平是極其困難的，由表1可知，在1OO1D結(jié)構(gòu)時(shí)硬件故障裕度HFT=0，達(dá)到SIL3安全等級(jí)的要求是安全失效分?jǐn)?shù)SFF≥99%。

圖1 3*1OO1D的系統(tǒng)架構(gòu)形式

已知安全失效分?jǐn)?shù)：

SFF=(ΣλS+ΣλDD)/(ΣλS+ΣλDD+ΣλDU)=(ΣλS+DC*ΣλD)/(ΣλS+ΣλD)，且：

ΣλS=ΣλD

可知：DC≥98%。

由以上推導(dǎo)可知，在完全單通道的情況下要達(dá)到SIL3安全等級(jí)，就要求由輸入模塊的IO通道(AI或者DI)、主控模塊的控制通道、輸出模塊的DO通道所組成的子系統(tǒng)(subsystem)控制通道的整個(gè)電路的總的診斷覆蓋率≥98%。但由于在所有的通道電路中，主控單元的CPU、可變內(nèi)存RAM、IO模塊的MCU等等，一方面失效率尤其是軟錯(cuò)誤率很高，另一方面要達(dá)到很高的診斷覆蓋率(DC≥98%)難度很大成本很高，所以單通道系統(tǒng)通常聲明為SIL2安全等級(jí)。表2所示為IEC61508-6附表C.2所示的控制通道中不同器件所能達(dá)到的診斷覆蓋率水平。

表2 控制通道中不同器件所能達(dá)到的診斷覆蓋率水平

即使單通道做到SIL3水平，其實(shí)還是有很大的局限性，包括：①單通道不容錯(cuò)，即硬件故障裕度HFT=0，在發(fā)生顯性危險(xiǎn)失效(λDD)的時(shí)候，因?yàn)椴蝗蒎e(cuò)，要么導(dǎo)致誤動(dòng)，要么只能拒動(dòng)；在發(fā)生隱性危險(xiǎn)失效(λDU)的時(shí)候因?yàn)闆](méi)有比較、無(wú)法揭示隱性危險(xiǎn)失效的出現(xiàn)，只能是拒動(dòng)；②單通道在進(jìn)行SIL3合規(guī)的PFGavg計(jì)算時(shí)，通常會(huì)導(dǎo)致一個(gè)較短的SIL3合規(guī)的檢驗(yàn)測(cè)試時(shí)間(T1)。例如TS3000系統(tǒng)在單通道時(shí)申明SIL3合規(guī)運(yùn)行時(shí)間只有 150 h，而在雙通道時(shí)申明SIL3合規(guī)運(yùn)行時(shí)間達(dá)到 3000 h，兩者的區(qū)別主要在于雙通道運(yùn)行時(shí)，控制器模塊控制輸出區(qū)域的數(shù)值可以進(jìn)行表決，存在數(shù)據(jù)不一致即揭示出故障條件；在雙通道運(yùn)行時(shí)，揭示出故障條件后即會(huì)導(dǎo)致被控輸出點(diǎn)關(guān)閉(斷開(kāi))。③由于單通道無(wú)法揭示發(fā)生的隱性危險(xiǎn)失效(λDU)，考慮到CPU、RAM等的復(fù)雜性以及軟錯(cuò)誤率的數(shù)量，從嚴(yán)格意義上來(lái)講，單通道是不可信的。

雙重冗余PLC系統(tǒng)，是目前國(guó)內(nèi)新研發(fā)出的安全產(chǎn)品，實(shí)際采用了2*1OO1D的系統(tǒng)架構(gòu)形式，安全級(jí)別申明為SIL2(雙冗余模式下)。系統(tǒng)的主體運(yùn)行狀態(tài)是雙通道模式(Dual Mode)；其聲明的硬件故障裕度HFT=0，因此在發(fā)生一個(gè)控制器故障時(shí)，直接導(dǎo)向安全輸出狀態(tài)。

3 基于診斷的故障安全運(yùn)行、SIL3安全合規(guī)的安全運(yùn)行及安全分區(qū)的建立[3]

以三重化冗余容錯(cuò)(TRM)系統(tǒng)為例，該系統(tǒng)以1OO1D為基本組織單位，采用廣泛的診斷技術(shù)與措施，1OO1D通道在檢測(cè)到故障后，輸入數(shù)據(jù)部分會(huì)采用安全值，輸出數(shù)據(jù)部分會(huì)導(dǎo)向安全值；三重化冗余容錯(cuò)(TRM)系統(tǒng)非常強(qiáng)調(diào)正確地管理故障信息，避免過(guò)程或者工廠不必要的跳車(chē)。

對(duì)于1OO1D單通道系統(tǒng)，主要的故障診斷包括：

① 不能夠檢測(cè)DI輸入點(diǎn)的狀態(tài)改變；

② 不能夠檢測(cè)AI輸入數(shù)值的改變；

③ 不能夠改變DO輸出點(diǎn)的狀態(tài)(OVD)；

④ 對(duì)于系統(tǒng)通道：

IO通信總線失效；

三通道數(shù)據(jù)表決總線失效；

控制程序執(zhí)行故障；

控制輸出點(diǎn)狀態(tài)不能正確決定。

“D”的含義是診斷到故障并導(dǎo)向安全值。按照IEC61508標(biāo)準(zhǔn)要求，對(duì)于運(yùn)行于低需求模式的任何通道類型的安全子系統(tǒng)，或者運(yùn)行于高需求或者連續(xù)運(yùn)行模式中且硬件故障裕度HFT≥1的安全子系統(tǒng)，在檢測(cè)到故障后要求在MRT(主修復(fù)時(shí)間)內(nèi)(在線)修復(fù)即可，并沒(méi)有要求在一個(gè)控制周期內(nèi)關(guān)閉；1OO1D是系統(tǒng)底層的通道故障安全型運(yùn)行機(jī)制，可能在單通道(認(rèn)證 150 h SIL3合規(guī))或者雙通道模式(認(rèn)證 3000 h SIL3合規(guī))中運(yùn)行很長(zhǎng)時(shí)間，這樣就會(huì)超出TUV認(rèn)證的SIL3合規(guī)運(yùn)行時(shí)間。

為了非常嚴(yán)格地執(zhí)行安全項(xiàng)目，并且與TUV SIL3認(rèn)證合規(guī)，實(shí)際上需要在應(yīng)用層面對(duì)雙通道運(yùn)行時(shí)間或者單通道運(yùn)行時(shí)間進(jìn)行SIL3合規(guī)運(yùn)行的約束。每個(gè)項(xiàng)目或者每個(gè)用戶對(duì)自己裝置的安全儀表系統(tǒng)在降級(jí)運(yùn)行到雙通道和/或者單通道運(yùn)行的時(shí)間，應(yīng)當(dāng)根據(jù)TUV SIL3認(rèn)證合規(guī)的要求，在降級(jí)運(yùn)行到規(guī)定的時(shí)間后。例如雙通道運(yùn)行時(shí)間≤3000 h，和/或者單通道運(yùn)行時(shí)間≤150 h，通過(guò)診斷與定時(shí)器的方法，在到達(dá)了規(guī)定的SIL3合規(guī)運(yùn)行時(shí)間后，觸發(fā)ESD邏輯動(dòng)作將過(guò)程或裝置關(guān)閉。這樣做的目的是防止隱性危險(xiǎn)失效概率的累積不會(huì)突破SIL3安全認(rèn)證的限制數(shù)值。

此外一套SIS系統(tǒng)中，并不是所有的信號(hào)全部用于安全相關(guān)功能，或者用于完全同樣安全等級(jí)的安全相關(guān)功能。比如說(shuō)，用戶將一些用于監(jiān)視的信號(hào)接進(jìn)了SIS系統(tǒng)，這些用于監(jiān)視的信號(hào)可能會(huì)因?yàn)橥ǖ拦收隙导?jí)運(yùn)行于雙通道或者單通道模式。這些監(jiān)視信號(hào)的降級(jí)運(yùn)行不應(yīng)該進(jìn)入SIL3合規(guī)運(yùn)行時(shí)間的計(jì)時(shí)之中。因此，系統(tǒng)需要提供手段，幫助工程設(shè)計(jì)人員和實(shí)施人員，對(duì)SIL3合規(guī)運(yùn)行時(shí)間的邏輯實(shí)施，區(qū)分出安全關(guān)鍵信號(hào)和非安全關(guān)鍵信號(hào)。作為信號(hào)的載體，可以在通道的級(jí)別上進(jìn)行區(qū)分，也可以在IO模塊的級(jí)別上進(jìn)行區(qū)分；在通道的級(jí)別上進(jìn)行區(qū)分，會(huì)區(qū)分的很細(xì)，但會(huì)造成軟件復(fù)雜、數(shù)據(jù)量大；在IO模塊的級(jí)別上進(jìn)行區(qū)分，軟件會(huì)相對(duì)簡(jiǎn)單一些，數(shù)據(jù)量也會(huì)少一些。但這要求在工程設(shè)計(jì)和實(shí)施的時(shí)候，將安全關(guān)鍵信號(hào)和非安全關(guān)鍵信號(hào)分類分配在安全關(guān)鍵模塊和非安全關(guān)鍵模塊上。系統(tǒng)軟件需要提供基于槽位/模塊的運(yùn)行模式診斷函數(shù)，組態(tài)時(shí)分別對(duì)每個(gè)安全關(guān)鍵模塊調(diào)用槽位/模塊的運(yùn)行模式診斷函數(shù)，運(yùn)行時(shí)識(shí)別安全關(guān)鍵模塊的運(yùn)行模式(三通道、雙通道、單通道)，之后將一個(gè)裝置的安全關(guān)鍵模塊的運(yùn)行模式診斷結(jié)果匯總起來(lái)，進(jìn)入TUV SIL3合規(guī)運(yùn)行時(shí)間邏輯。非安全關(guān)鍵信號(hào)和模塊的運(yùn)行模式不被關(guān)注。這個(gè)TUV SIL3合規(guī)運(yùn)行時(shí)間邏輯，即作顯示，又做報(bào)警，還做控制。更進(jìn)一步地講，當(dāng)采用一套大型SIS系統(tǒng)控制多個(gè)裝置或者全廠時(shí)，可以建立多個(gè)安全分區(qū)，每個(gè)安全分區(qū)的TUV SIL3合規(guī)運(yùn)行時(shí)間邏輯自成一體，這樣做方便工廠的安全審查和安全管理。

TUV SIL3合規(guī)運(yùn)行時(shí)間邏輯對(duì)克服隱性危險(xiǎn)失效(λDU)和控制檢驗(yàn)測(cè)試周期都很有好處。在國(guó)外的項(xiàng)目中通常都被采用。然而在國(guó)內(nèi)的項(xiàng)目中很少被采用，除了極個(gè)別的項(xiàng)目中被采用外，絕大部分項(xiàng)目的TUV SIL3合規(guī)運(yùn)行時(shí)間邏輯組態(tài)都做了，但都不投入使用，是為了在雙通道或者單通道運(yùn)行時(shí)追求最大的使用率。

4 系統(tǒng)中的表決與DO模塊的表決[4]

以三重化冗余容錯(cuò)(TRM)系統(tǒng)為例，系統(tǒng)采用了3*1OO1D的系統(tǒng)結(jié)構(gòu)方式，運(yùn)行模式包括三通道、雙通道甚至單通道。其中三通道和雙通道運(yùn)行模式采用三通道表決算法(三取二表決)，模擬量三取中、二取高；雙通道時(shí)，第三個(gè)通道采用后備安全值；三通道和雙通道的硬件故障裕度HFT=1。

三重化冗余容錯(cuò)(TRM)系統(tǒng)中的表決包括，CPU模塊中的總線上對(duì)開(kāi)關(guān)量輸入數(shù)據(jù)的表決，CPU對(duì)模擬輸入量的表決，和DO模塊控制輸出的表決；CPU模塊中總線的表決主要就是對(duì)開(kāi)關(guān)量輸入數(shù)據(jù)的表決，除此之外，還負(fù)責(zé)將其他兩通道和本通道的模擬量輸入數(shù)據(jù)拷貝到運(yùn)算CPU的RAM區(qū)，將本通道運(yùn)算后的開(kāi)關(guān)量輸出數(shù)據(jù)拷貝到通信RAM區(qū)、并比較三通道的開(kāi)關(guān)量輸出數(shù)據(jù)、上報(bào)不一致，將本通道運(yùn)算后的模擬量輸出數(shù)據(jù)拷貝到通信RAM區(qū)。

DO模塊控制輸出的表決，主要是四方驅(qū)動(dòng)控制電路和四方驅(qū)動(dòng)輸出電路，其與DO模塊三個(gè)通道的MCU配合，實(shí)現(xiàn)的邏輯是3取2表決輸出、2取2表決輸出、1取1表決輸出。其中，3取2表決輸出安全性高、可用性高，2取2表決輸出安全性高、可用性最低，1取1表決輸出可用性高、安全性最低。

5 系統(tǒng)結(jié)構(gòu)的外在表現(xiàn)形式[5]

前面介紹了安全儀表系統(tǒng)的內(nèi)部架構(gòu)組成和表決機(jī)制，市面常見(jiàn)的安全儀表系統(tǒng)的外在表現(xiàn)結(jié)構(gòu)也是多種多樣，主要分為機(jī)籠框架式結(jié)構(gòu)與模塊式結(jié)構(gòu)，下面簡(jiǎn)略介紹:

機(jī)籠框架式結(jié)構(gòu)：CPU、AI、AO、DI、DO等模塊為卡板式，插在帶有底板通訊的機(jī)籠框架內(nèi)，多模塊應(yīng)用場(chǎng)景則會(huì)增加機(jī)籠框架及相應(yīng)卡件，各機(jī)籠間通過(guò)專用總線進(jìn)行鏈接；由于各系統(tǒng)使用的安全組件架構(gòu)不同各卡板的結(jié)構(gòu)組成也各有差異。例如在三重化冗余容錯(cuò)(TRM)架構(gòu)下，CPU板卡有的設(shè)計(jì)為單板*3結(jié)構(gòu)組成三重化，有的設(shè)計(jì)為單板三重化電路，并組成主備槽互備結(jié)構(gòu)；I/O模塊一般設(shè)計(jì)為單板三重化電路，并組成主備槽互備結(jié)構(gòu)，機(jī)籠框架式結(jié)構(gòu)的優(yōu)點(diǎn)是空間節(jié)約，缺點(diǎn)是易出現(xiàn)共因失效，多機(jī)籠級(jí)聯(lián)易使數(shù)據(jù)傳輸時(shí)間延長(zhǎng)導(dǎo)致CUP的運(yùn)算時(shí)間增加，另需遠(yuǎn)程站通訊時(shí)增加成本較高。

模塊式結(jié)構(gòu)：CPU、AI、AO、DI、DO等模塊均為完全獨(dú)立式卡件，以3*1OO1D形式組成三重化冗余容錯(cuò)系統(tǒng)，這種系統(tǒng)采用分布式的I/O網(wǎng)絡(luò)結(jié)構(gòu)，I/O網(wǎng)絡(luò)的通訊速度高達(dá)100M/S，I/O吞吐率(I/O Throughout)非常高，I/O實(shí)時(shí)響應(yīng)速度快。采用分布式I/O網(wǎng)絡(luò)有如下好處：可以節(jié)省電纜的敷設(shè)，可以將I/O模塊就地安裝，采用這種方式還可以避免由于距離過(guò)長(zhǎng)導(dǎo)致的信號(hào)衰減；可以提高系統(tǒng)的抗干擾能力，系統(tǒng)的I/O網(wǎng)絡(luò)可以采用光纖方式傳輸，避免電氣干擾；維護(hù)簡(jiǎn)單。

6 結(jié)語(yǔ)

安全是化工企業(yè)永恒的話題，安全儀表系統(tǒng)作為確保工藝裝置生產(chǎn)安全，避免重大人身傷害及重大設(shè)備損壞事故的自動(dòng)化保護(hù)系統(tǒng)，起到了關(guān)鍵作用。作為企業(yè)安全工程的使用者，有必要對(duì)安全儀表系統(tǒng)的原理、機(jī)制、架構(gòu)、使用、維護(hù)做深入的學(xué)習(xí)，切實(shí)讓它起到相應(yīng)的保護(hù)功能。同時(shí)也要對(duì)國(guó)家制定的安全法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范做相應(yīng)的了解與學(xué)習(xí)，提升企業(yè)安全意識(shí)和安全管理水平。

同時(shí)也要清楚的認(rèn)識(shí)到，安全儀表系統(tǒng)只是企業(yè)安全生產(chǎn)的一個(gè)保護(hù)層，不能認(rèn)為僅僅使用維護(hù)好安全儀表系統(tǒng)就實(shí)現(xiàn)了安全目標(biāo)，應(yīng)當(dāng)從保護(hù)模型出發(fā)，落實(shí)各層面的安全保護(hù)措施，持續(xù)提高化工企業(yè)安全生產(chǎn)水平。