史上最全(SIS)安全儀表系統(tǒng)解析

1、.1、什么是安全儀表系統(tǒng)在 IEC61508 中， SIS被稱為安全相關(guān)系統(tǒng)（ Safety Related System）,將被控對象稱為被控設備（ EUC）。IEC61511 將安全儀表系統(tǒng)SIS 定義為用于執(zhí)行一個或多個安全儀表功能（ Safety Instrumented Function,SIF）的儀表系統(tǒng)。 SIS 是由傳感器（如各類開關(guān)、變送器等）、邏輯控制器、以及最終元件（如電磁閥、電動門等）的組合組成 ,如圖 1 所示。IEC61511 又進一步指出， SIS 可以包括，也可以不包括軟件。另外，當操作人員的手動操作被視為SIS 的有機組成部分時，必須在安全規(guī)格書（Safety

2、Requirement Specification,SRS)中對人員操作動作的有效性和可靠性做出明確規(guī)定，并包括在SIS 的績效計算中。從 SIS 的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical ）、電子固態(tài)電路（ Electronic ）和可編程電子系統(tǒng)（ Programmable ElectronicSystem ），即 E/E/PES 三個階段。安監(jiān)總局 116 號文件國家安全監(jiān)管總局于2014 年 11 月 13 日下發(fā)國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理指導意見（安監(jiān)總管三2014 116 號）.該意見涉及到了生產(chǎn)，設計，管理等多個方面。HAZOP 分析，

3、 SIL 等級評估，安全系統(tǒng)驗證， 老裝置安全系統(tǒng)安全等級評估，安全系統(tǒng)改造等， 這些工作將在今后幾年中越來越多，越來越重要！下圖為由 PES 構(gòu)成的 SIS圖 1 SIS 的構(gòu)成SIS 安全儀表系統(tǒng)(1) SIF 安全儀表功能可以是安全儀表保護功能，也可以是安全儀表控制功能，或包含這兩者。(2) 需要說明的是，這里所說的安全儀表控制功能，是指以連續(xù)模式（ Continuous Mode ）操作并具有特定的 SIL,用于防止危險狀態(tài)發(fā)生或者減輕其發(fā)生的后果，與常規(guī)的 PID 控制功能是完全不同的概念。(3) SIS 可以包括或不包括軟件(4) SIS 的一部分也可能是人的動作如圖 2 所示，這

4、是一個氣液分離容器A 液位控制的安全儀表功能回路圖。對這個安全儀表功能完整的描述是：當容器液位開關(guān)達到安全聯(lián)鎖值時，邏輯運算器（圖 3 ）使電磁閥 2 斷電，則切斷進調(diào)節(jié)閥膜頭信號，使調(diào)節(jié)閥切斷容器A 進料，這個動作要在3 秒內(nèi)完成，安全等級必須達到SIL2。這是一個安全儀表功.能的完整描述， 而所謂的安全儀表系統(tǒng)， 則是類似一個或多個這樣的安全儀表功能的集合。圖 2 安全儀表回路圖圖2 說明：L 液面超高 -L1 接點閉合 -Z 帶電。Z1 常閉接點打開， S 線圈斷電。S 電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷工藝進料，完成聯(lián)鎖保護作用。K 起：按鈕開關(guān)：起動聯(lián)鎖保護回路兼有復位作用

5、。K 停：起人工強制起動聯(lián)鎖保護作用。K 旁：旁路聯(lián)鎖保護作用，用于開車或檢修聯(lián)鎖信號儀表。圖 3 SIS 邏輯圖大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒等危險。當某些工藝參數(shù)超出安全極限， 未及時處理或處理不當時，便有可能造成人員傷亡、 設備.損壞、周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出發(fā)，石油和化工生產(chǎn)過程自身存在著固有的風險?？傊?SIS 是一種經(jīng)專門機構(gòu)認證，具有一定安全完整性水平，用于降低生產(chǎn)過程風險的儀表安全保護系統(tǒng)。 它不僅能響應生產(chǎn)過程因超過安全極限而帶來的風險，而且能檢測和處理自身的故障，從而按預定條件或程序使生產(chǎn)過程處于安全狀態(tài)，以確保人員、設備及

6、工廠周邊環(huán)境的安全。按照 SIS 的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)：安全聯(lián)鎖系統(tǒng)（ Safety Interlock System SIS）；安全關(guān)聯(lián)系統(tǒng)（ Safety Related System SRS）；儀表保護系統(tǒng)（ Instrument Protective System IPS）；透平壓縮機集成控制系統(tǒng) （Integrated Turbo & Compressor Control System ITCC）；火災及氣體檢測系統(tǒng)（ Fire and gas systems F&G ）；緊急停車系統(tǒng)（ Emergency Shutdown Device ESD）；燃燒

7、管理系統(tǒng)（ Burner Management System）；列車自動防護系統(tǒng)（ ATP）2、SIS 的相關(guān)標準及認證機構(gòu).鑒于 SIS 涉及到人員、設備、環(huán)境的安全，因此各國均制定了相關(guān)的標準、規(guī)范，使得 SIS 的設計、制造、使用均有章可循。并有權(quán)威的認證機構(gòu)對產(chǎn)品能達到的安全等級進行確認。這些標準、規(guī)范及認證機構(gòu)主要有：(1) 我國石化集團制定的行業(yè)標準 SHB-Z06-1999 石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設計導則。(2)2006 年、 2007 年等同采用 IEC61508 、IEC61511 的中國國家標準GB/T20438 、GB/T21109相繼發(fā)布，中國的功能安全標準開始

8、規(guī)范我國的功能安全工作。(3) 國際電工委員會 1997 年制定的 IEC 61508/61511 標準，對用機電設備（繼電器）、固態(tài)電子設備、可編程電子設備（ PLC）構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、軟件及應用作出了明確規(guī)定。(4) 美國儀表學會制定的 ISA-S84.01-1996 安全儀表系統(tǒng)在過程工業(yè)中的應用。(5) 美國化學工程學會制定的 AICHE （ccps ）-1993 ，化學過程的安全自動化導則。(6) 英國健康與安全執(zhí)行委員會制定的 HSE PES-1987 ，可編程電子系統(tǒng)在安全領(lǐng)域的應用。.(7) 德國國家標準中有安全系統(tǒng)制造廠商標準-DIN V VDE 0801、過程操作用

9、戶標準 -DIN V 19250和 DIN V 19251、燃燒管理系統(tǒng)標準 -DIN VDE 0116等。(8) 德國技術(shù)監(jiān)督協(xié)會（ TüV）是一個獨立的、權(quán)威的認證機構(gòu)，它按照德國國家標準（ DIN ），將 ESD 所達到的安全等級分為AK1 AK8 ，AK8 安全級別最高。其中 AK4 、AK5 、AK6 為適用于石油和化學工業(yè)取得 TüV 認證的 SIS 產(chǎn)品。在國內(nèi)石化行業(yè)中應用的SIS 產(chǎn)品中，經(jīng)過 TüV 認證的主要有：(1) Tricon 、 Triden ，美國 Triconex 公司開發(fā)用于壓縮機綜合控制（ ITCC）和緊急停車系統(tǒng)。安全等級為

10、 AK6 （SIL3）。(2) FSC（ Fail safe control），由荷蘭 P&F （Pepper&Fuchs）公司開發(fā)， 1994年被 Honeywell公司收購。安全等級AK6 （SIL3）(3) 和利時集團 HiaGuard （SIS），我國首套獲 TüV SIL3 認證的安全儀表系統(tǒng)。(4) HIMA PES ，HIMA是德國一家專業(yè)生產(chǎn)安全控制設備的公司，PES(Programmable Electronic System)是可編程電子系統(tǒng)的簡稱，是近幾年來國內(nèi)引進較多的一種安全儀表系統(tǒng)。主要由 H41q 和 H51q 系統(tǒng)組成。 H41q 也叫

11、小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號為H41q M ，冗余系統(tǒng)又分為高可靠系統(tǒng)H41q H 和高性能系統(tǒng) H41q HR 。H51q 稱為模塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號為H51q H 和高性能系統(tǒng) H51q HR。各種型號的 PES 都具有 TüV AK16 級認證。（儀控工程網(wǎng)在線學習頻道，有關(guān)于 HIMA 公司及產(chǎn)品的介紹）.(5) Prosafe RS，是橫河電機安全儀表系統(tǒng)， 其特點是與 CENTUMCS.3000 R3的技術(shù)融合，即實現(xiàn)了與DSC 的無縫集成。非冗余取量即可實現(xiàn)SIL3，通過冗余取量實現(xiàn)更高的可用性。(6)

12、 QUADLOG ，由 MOORE 公司開發(fā)，日本橫河電機公司收購后稱prosafe plc，其 1oo2D 結(jié)構(gòu)安全等級達 AK6 (SIL3) ；(7) SIMATICS7 400F/FH ，德國 SIEMENS 公司產(chǎn)品。 400F 和 400FH 分別為1 個 CPU 和 2 個 CPU 運行 fail-safe （F）用戶程序，均取得 TUV 認證，安全等級為 AK1AK6 （ SIL1SIL3 ）；(8) Regent Trusted ，美國 ICS 利用宇航技術(shù)開發(fā)的安全系統(tǒng)。安全等級AK4AK6 （ SIL2SIL3 ）；(9) GMR90-70，美國 GE Fanuc 公司開

13、發(fā)。其中GMR90-70( 模塊式冗余容錯 )的安全等級為 class 5 （2oo3 ）， class 4 （1oo2 ）和 class 5 （ 2oo2 ）；(10) TRIGUARD SC300E ， AUGUST 公司開發(fā)， 1999 年成為 ABB 集團成員之一，安全等級為 class 5 和 class 6 ，系統(tǒng)結(jié)構(gòu)為 2oo3 ；(11) DeltaV SIS 是艾默生推出的 TüV 認證的新型整體回路概念的智能安全儀表系統(tǒng)，安全等級 SIL3。(12) Safeguard 400&300 ，ABB Industry 公司開發(fā)，系統(tǒng)結(jié)構(gòu) 1oo2D 。（篇幅有

14、限不再一一列舉）.3、SIS 和 DCS 的比較DCS 與由 PES 構(gòu)成的 SIS 的主要區(qū)別有：(1) 系統(tǒng)的組成： DCS 一般是由人機界面操作站、通信總線及現(xiàn)場控制站組成；而 SIS 系統(tǒng)是由傳感器、邏輯解算器和最終元件三部分組成。及DCS 不含檢測執(zhí)行部分。(2) 實現(xiàn)功能： DCS 用于過程連續(xù)測量、常規(guī)控制（連續(xù)、順序、間歇等）操作控制管理使生產(chǎn)過程在正常情況下運行至最佳工況； 而 SIS 是超越極限安全即將工藝、設備轉(zhuǎn)至安全狀態(tài)。(3) 工作狀態(tài)： DCS 是主動的、動態(tài)的，它始終對過程變量連續(xù)進行檢測、運算和控制，對生產(chǎn)過程動態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量。而 SIS 系統(tǒng)是被動的

15、、休眠的 。(4) 安全級別： DCS 安全級別低，不需要安全認證；而 SIS 系統(tǒng)級別高，需要安全認證。(5) 應對失效方式： DCS 系統(tǒng)大部分失效都是顯而易見的， 其失效會在生產(chǎn)的動態(tài)過程中自行顯現(xiàn)，很少存在隱性失效； SIS 失效就沒那么明顯了，因此確定這種休眠系統(tǒng)是否還能正常工作的唯一方法， 就是對該系統(tǒng)進行周期性的診斷或測試。因此安全儀表系統(tǒng)需要人為的進行周期性的離線或在線檢驗測試， 而有些安全系統(tǒng)則帶有內(nèi)部自診斷。.4、SIS 設計應遵循的原則(1) 原則上應獨立設置（含檢測和執(zhí)行單元）；(2) 中間環(huán)節(jié)最少；(3) 應為故障安全型；(4) 采用冗余容錯結(jié)構(gòu)。5、故障安全原則組成

16、 SIS 的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零，且供電、供氣中斷亦可能發(fā)生。當內(nèi)部或外部原因使SIS 失效時，被保護的對象（裝置）應按預定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)（Fault to Safety），這就是故障安全原則。具體體現(xiàn)：(1) 現(xiàn)場開關(guān)儀表選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發(fā)聯(lián)鎖動作，必要時采用“二選一”、“二選二”或“三選二”配置。(2) 電磁閥采用正常勵磁，聯(lián)鎖未動作時，電磁閥線圈帶電，聯(lián)鎖動作時斷電。(3) 送往電氣配電室用以開 / 停電機的接點用中間繼電器隔離，其勵磁電路應為故障安全型。.(4) 作為控制裝置（如 PLC）“故障安全”意味著當

17、其自身出現(xiàn)故障而不是工藝或設備超過極限工作范圍時， 至少應該聯(lián)鎖動作，以便按預定的順序安全停車 （這對工藝和設備而言是安全的） ；進而應通過硬件和軟件的冗余和容錯技術(shù)， 在過程安全時間（ PST-Process Safety Time ）內(nèi)檢測到故障，自動執(zhí)行糾錯程序，排除故障。6、隱故障與顯故障隱故障（ Covert Fault）：不對危險產(chǎn)生報警，允許危險發(fā)展的故障，是故障危險故障（ SHB-Z06-1999 ）。Covert Fault：Fault that canbe classified as hidden， concealed ，undetected， unrevealed，lat

18、ent ， ect. （ISA-S84.01-1996 ）顯故障（ Overt Fault）：能顯示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault ：Fault that can be classifiedas announced ， detected ， revealed ，ect. （ISA-S84.01-1996）SIS 系統(tǒng)拒動：當工藝條件達到或超過安全極限時，SIS 本應引導工藝過程停車，但由于其自身存在隱性故障（危險故障），譬如輸出開關(guān)被誤連短路，而不能響應此要求，即該停車而拒停，降低了安全性。危險失效定義為這樣一些失效， 這些失效會阻止S

19、IS 系統(tǒng)對潛在的危險工況做出反應。SIS 系統(tǒng)誤動：在圖4 中，當輸出開關(guān)由于某種原因處于非激勵狀態(tài)，即使?jié)撛诘奈ｋU工況沒有發(fā)生， SIS 也會進入一種安全失效狀態(tài)見圖5 ，這種情況經(jīng)常被稱為 “誤動” 。誤動可能會以許多不同方式發(fā)生。例如，.輸入電路可能會發(fā)生故障，從而使邏輯解算器誤認為是傳感器檢測到了危險工況，而事實上并沒有這種情況發(fā)生。邏輯解算器本身也可能出現(xiàn)運算錯誤，并導致輸出回路失電，輸出回路可能出現(xiàn)開路。SIS 的許多元件失效均會導致系統(tǒng)進入安全失效狀態(tài)。圖 4 正常運行時的正常激勵系統(tǒng)圖 5PFS（安全故障概率）： 正常激勵的 SIS 系統(tǒng)在它的輸出非激勵時，就會處于故障狀態(tài)，

20、這有一個概率。稱為安全故障概率（PFS），或稱誤動率。PFD （要求時失效概率）： 這是一個衡量安全性的指標，稱為要求時失效概率。它意味著系統(tǒng)是危險的。它不會再要求（潛在的緊急條件）發(fā)生時產(chǎn)生響應。SIS 的功能安全安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險情況時正確執(zhí)行其對應的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全。功能安全實際上講的是SIS 系統(tǒng)自身的安全問題。如圖 6 示安全儀表系統(tǒng)，該系統(tǒng)由一個壓力變送器、一個閥門和一個安全PLC組成的 SIS 系統(tǒng)。.(1) 壓力變送器檢測容器內(nèi)壓力并將其變換成合適的信號傳送給安全PLC，安全PLC 判斷若壓力超過了額定值則打開閥門以降低容器內(nèi)壓力，

21、這被稱為安全系統(tǒng)的一個安全功能。 很明顯例子中儀表安全系統(tǒng)只有一個安全功能。如果三個設備有一個或多個失效，安全功能將失效，即它將不能對壓力容器內(nèi)壓力進行限制。因此安全儀表系統(tǒng)的安全性能由傳感器、邏輯解算器和執(zhí)行器三部分功能決定。(2) SIS 安全功能實際上講的是讓 SIS 執(zhí)行什么樣的安全任務，如何保護受控設備。圖 6反應器的安全儀表系統(tǒng)7、安全性及響應失效率(1) 當工藝條件達到或超過安全極限值時， SIS 本應引導工藝過程停車，但由于其自身存在隱故障（危險故障）而不能響應此要求，即該停車而拒停，降低了安全性。(2) 衡量安全性的指標為響應失效率或稱要求的故障率（PFD： Probabil

22、ity ofFailure on Demand）。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標值（SHB-Z06-1999）。.(3) 不同的工業(yè)過程（如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設備的復雜程度等）對安全的要求是不同的。上述的國際標準將其劃分為若干安全完整性等級（ SIL： Safety Integrity Level）。安全完整性等級Safety Integrity Level（SIL）安全完整性等級 （ SIL）是一種離散的等級， 用來規(guī)定分配給E/E/PE 安全相關(guān)系統(tǒng)安全功能的安全完整性要求。(1) 安全完整性等級可分為 4 個等級

23、，SIL4 是安全完整性最高的等級 （平均概率最高）， SIL1 是最低等級；(2) 安全完整性等級越高，應執(zhí)行所要求的安全功能的概率也越高；(3) 根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的頻率可分為低要求操作模式（<=1次 ）和高要求或連續(xù)操作模式（="">1次 / 年）。根據(jù) GB/T 20438標準，在不同的操作模式下， 安全完整性的目標失效概率和目標風險降低見下表1-1 和 1-2 。采用不同的操作模式結(jié)構(gòu)有可能使用幾個安全完整性等級較低的系統(tǒng)來滿足一個較高安全完整性等級功能的需要（例如：使用一個 SIL2 和一個 SIL1 的系統(tǒng)共同來滿足一個 SIL3

24、功能的需要）。表 1-1 安全完整性等級：要求時的失效概率表 1-2 安全完整性等級： SIF 的危險失效概率.表 1-3 SIL 與 PFD 的對應關(guān)系8、可用性及可用度工藝條件并未達到安全極限值，SIS 不應引導工藝過程停車，但由于其自身存在顯故障（安全故障）而導致工藝過程停車，即不該停車而誤停，降低了可用性?？捎枚龋?A： Availability）是指系統(tǒng)可使用工作時間的概率，用百分數(shù)計算：MTBF ：平均故障間隔時間（ Mean Time Between Failures）MDT ：平均停車時間（ Mean Downtime）MTBF ：平均故障間隔時間（ Mean Time Bet

25、ween Failure）MTTR ：平均恢復時間（ Mean Time to Repair）MTTF ：平均無故障時間（ Mean Time to Failure）例如：.9、冗余和容錯冗余 (Redundant)具有指定的獨立的N ：1 重元件，并且可以自動地檢測故障， 切換到后備設備上。(SHB Z06 1999)冗余系統(tǒng) (Redundant System)并行地使用多個系統(tǒng)部件，以提供錯誤檢測和錯誤校正能力的系統(tǒng)。(SHB Z06 1999) 。容錯 (Fault Tolerant)具有內(nèi)部冗余的并行元件和集成邏輯，當硬件或軟件部分故障時， 能夠識別故障并使故障旁路，進而繼續(xù)執(zhí)行指定

26、的功能。或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運行的能力。它往往包括三方面的功能：第一是約束故障， 即限制過程或進程的動作， 以防止在錯誤被檢測出來之前繼續(xù)擴大;第二是檢測故障，即對信息和過程或進程的動作進行動態(tài)檢測;第三是故障恢復即更換或修正失效的部件。 (SHB Z06 1999)容錯系統(tǒng) (Fault Tolerant System)具有容錯結(jié)構(gòu)的硬件與軟件系統(tǒng)。(SHB Z06 1999).總之，通過冗余和故障屏蔽的結(jié)合來實現(xiàn)容錯。容錯系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯系統(tǒng)。 容錯系統(tǒng)的冗余形式有雙重、三重、四重等。圖 8 和圖9、圖 10 分別表示 CPU 冗余 (雙機

27、熱備 )和三重化冗余容錯系統(tǒng)。圖 8 CPU 冗余 (雙機熱備 )圖 9 三重模塊冗余容錯系統(tǒng)圖 10 三重信號冗余容錯系統(tǒng)怎樣通過冗余來改善系統(tǒng)的整體SIL 水平(1) 當一個 SIS 系統(tǒng)的安全完整性等級要求為 SIL3，而實際配置為傳感器為 2.2×10-3(SIL 2) ，邏輯解算器為1.3×10-4(SIL3)( 包括 I/O 接口 )，終端執(zhí)行器為2.41 ×10-3(SIL2), 所以整個系統(tǒng)為SIL2 不滿足要求。(2) 于是我們改變傳感器的配置結(jié)構(gòu)，選擇 1oo2 冗余，其中共因失效 =10% ，診斷覆蓋率 (DC)=90% ，可以算出 1oo2

28、 傳感器的結(jié)構(gòu)的 PFD=2.3 ×10-4 ，達到SIL3 的水平，同理可以配置執(zhí)行器為1oo2 冗余結(jié)構(gòu)，也可達到SIL3 的要求，于是最終整體 SIS 系統(tǒng)的 SIL 可以達到 SIL3 的要求。.(3) 這個問題的解決給我們以啟示，當裝置引進一個 SIS 系統(tǒng)時，整體安全完整性等級不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置系統(tǒng)時，除了引進一個 SIL3 的安全儀表系統(tǒng)， 譬如 FSC 等，還要將傳感器、終端執(zhí)行器一并討論。算出 SIS 整體的 SIL 數(shù)據(jù)，定量的安全儀表系統(tǒng)配置任務才算完成。冗余表決方法及其安全性、可用性的關(guān)系可用性 (A ：Ava

29、ilability)是指系統(tǒng)可使用工作時間(連續(xù)運行時間 )的概率，用百分數(shù)計算 A 值越大，可用性越好：A = MTBF/(MTBF+MTTR)而 PFD= MTTR /(MTBF+MTTR) PFD 越小則安全性越好。冗余邏輯表決方法及安全性 - 可用性的關(guān)系例子如下表所示。表 2 冗余邏輯的表決方法及其與安全性、可用性的關(guān)系以上可見：(1) 隱故障 (危險故障 )使 SIS 該動而拒動，隱故障概率越高，安全性越差。(2) 顯故障 (安全故障 )使 ESD 不該動而誤動，顯故障概率越高，可用性越差。.1oo2( 二選一 )安全性最好，但可用性最差;2oo2( 二選二 )可用性最好，但安全性

30、最差 ;2oo3( 三選二 )可兼顧。10 、普通 PLC 和安全 PLC 的區(qū)別普通 PLC 和可以作為 ESD 控制部分的安全 PLC 的主要區(qū)別是：普通PLC 不是按故障安全型設計的， 當系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時，它并不能檢測到， 因此其輸出狀態(tài)不能保證系統(tǒng)回到預定的安全狀態(tài)。這種PLC 只能用于安全度等級要求低的場合?，F(xiàn)以輸出電路為例予以說明。圖 11 普通 PLC DO 卡示意圖普通 PLC DO 卡(1) 當 1、2 兩點短路時，來自 PLC 的控制信號將不起作用 (失效 )，電磁閥將一直處于帶電 (勵磁 )狀態(tài)，即需要聯(lián)鎖動作 (電磁閥釋電停車 )時，由于此故障的存在而拒動，其

31、輸出不能保證處于安全停車狀態(tài)。 這就是違背了故障安全 (Fault to Safety) 的原則。(2) 當 1、2 兩點開路時，將導致誤動作而停車，同樣會帶來損失?？梢姡@種普通 PLC 的 DO 卡輸出電路的安全性和可用性都是不高的。圖 12 安全性單容錯 DO 卡示意圖.安全性單容錯DO 卡圖 12 所示為一種帶有安全性單容錯的DO 卡示意圖 (它是 Honeywell SMSFSC-101 型輸出示意圖 )。這里，中央處理器不僅向串聯(lián)的場效應管(FET)發(fā)出控制信號，而且還接受來自場效應管的狀態(tài)反饋信號， 以便對其輸出進行全面測試。 當測得某管輸出發(fā)生短路時，中央處理器即啟動糾錯動作，隔離相關(guān)的故障。 看門狗 (Watch Dog)是個多通道的計時器電路。 它由中央處理器和內(nèi)存等周期性地觸發(fā)，如果兩個觸發(fā)之間的時間小于某設定值或者大于某最大值，