霍尼韦尔SIS安全仪表系统

基本SIS架构

1oo1——这种单输出电路能够安全地断开开关,使设备断电并停止工艺过程。所谓安全的失效就是触点在没有原因的情况下打开了,虽然此类事件对于整个过程设施仍旧具有负面的经济影响,但是我们还是将其定义为误触发。危险失效就是在确实有安全关断的原因时触点无法打开,这种情况可能由触电过热熔接导致。此类事件被定义为无法按需动作。
1oo2——这种方法将两个输出(1oo1)串联,构成常闭带电的安全关断电路。任何一个SIS动作都会导致电路断开。当然,采用两个1oo1电路也会引入双倍误触发的可能,有可能对整个工艺过程带来高昂的损失。但是,这种方法确实更加安全,因为只需要一个触点动作就可以实现关断,无法按需动作的危险失效的可能性低得多。不管是1oo1还是1oo2都无法消除误触发的隐患。
2oo2——这些系统的输出并联设置,两个触点同时动作才能将过程关断。由于触点是并联的,所以误触发的可能性降低了,但是明显的缺点就是危险失效的可能性加倍了,系统的安全性降低。
可以看到,1oo2和2oo2系统都无法有效满足安全性和误触发的要求。但是,如果能够增加诊断功能就能够获得更高的可用性了,这就是所谓的1oo2D(带诊断功能的1oo2)。
高级SIS架构
2oo3或者三重模块冗余(TMR)安全关断系统通常被用于燃气涡轮机、压缩机和加热器,也常被用于精炼厂中的独立过程单元,例如焦化单元。
在2oo3配置下,只要有两个通道同时触发,即使第三个通道并未触发,那么输出动作也会被触发。如果只有一个SIS的两组触点被触发了,那么有一条引线仍旧处于闭合状态,所以过程继续工作。在现实世界中采用表决机制来确定2oo3架构的输出,而第三个信号被忽略,允许容错配置。