安全儀表系統(tǒng)

1、安全儀表系統(tǒng)安全儀表系統(tǒng)2013年6月4日1安全儀表系統(tǒng)安全儀表系統(tǒng)一、概述一、概述二、安全儀表系統(tǒng)的組成二、安全儀表系統(tǒng)的組成三、工藝過程的風(fēng)險(xiǎn)評估及安全功能三、工藝過程的風(fēng)險(xiǎn)評估及安全功能SISSIS等級的確定等級的確定 四、四、SISSIS安全儀表系統(tǒng)常用術(shù)語安全儀表系統(tǒng)常用術(shù)語主要內(nèi)容：2一、概述一、概述1.安全儀表系統(tǒng)的定義2.安全儀表系統(tǒng)(SIS)的分類3. 安全儀表系統(tǒng)(SIS)的特點(diǎn)主要內(nèi)容：31.安全儀表系統(tǒng)(SIS)的定義 o SIS是Safety Instrumented System的簡稱,中文的意思是安全儀表系統(tǒng),它是根據(jù)美國儀表學(xué)會(ISA)對安全控制系統(tǒng)的定義而得

2、名的。安全儀表系統(tǒng)(SIS)也稱為緊急停車系統(tǒng)（ESD）、安全聯(lián)鎖系統(tǒng)(SIS)或儀表保護(hù)系統(tǒng)（IPS）。 簡要的說，安全儀表系統(tǒng)簡要的說，安全儀表系統(tǒng)(SIS)是指能實(shí)現(xiàn)是指能實(shí)現(xiàn)一個或多個安全功能的系統(tǒng)。一個或多個安全功能的系統(tǒng)。4安全儀表系統(tǒng)在石油、石油化工等領(lǐng)域已有較多的產(chǎn)品：o 例如Honeywell公司的FSC（Fail Safe Control System）故障安全控制系統(tǒng)、德國HIMA公司的PES（Programmable Electronic System）可編程電子系統(tǒng)等。5o 安全儀表系統(tǒng)(SIS)主要包括三大部分：傳感器部分、邏輯運(yùn)算部分和最終執(zhí)行元件部分。o SIS

3、系統(tǒng)具有高系統(tǒng)具有高可靠性（可靠性（Reliability）、）、可用性（可用性（Availability）和可維護(hù)性（）和可維護(hù)性（Maintainability），并且在，并且在SIS內(nèi)部出內(nèi)部出現(xiàn)故障或外界干擾的情況下是安全的。現(xiàn)故障或外界干擾的情況下是安全的。62.安全儀表系統(tǒng)(SIS)的分類o 從SIS發(fā)展歷史來看，安全儀表系統(tǒng)(SIS)經(jīng)歷了繼電器系統(tǒng)、固態(tài)電路系統(tǒng)和可編程電子系統(tǒng)3個階段。7（1）繼電器系統(tǒng)o 采用單元化結(jié)構(gòu)，由繼電器執(zhí)行邏輯，通過重新接線來重新編程。o 可靠性高，具有故障安全特性，電壓適用范圍寬，一次性投資較低，可分散于工廠各處，抗干擾能力強(qiáng)。o 系統(tǒng)龐大而復(fù)雜

4、，靈活性差，進(jìn)行功能修改或擴(kuò)展不方便，無串行通信功能，無報(bào)告和文檔功能。易造成誤停車，無自診斷能力。用戶維修周期長，費(fèi)用高。8（2）固態(tài)電路系統(tǒng)o 采用模塊化結(jié)構(gòu)，采用獨(dú)立固態(tài)器件，通過硬接線來構(gòu)成系統(tǒng)，實(shí)現(xiàn)邏輯功能。o 結(jié)構(gòu)緊湊，可進(jìn)行在線測試，易于識別故障，易于更換和維護(hù)，可進(jìn)行串行通信，可配置成冗余系統(tǒng)。o 靈活性不夠，邏輯修改或擴(kuò)展必須改變系統(tǒng)硬連線，大系統(tǒng)操作費(fèi)用較高，可靠性不如繼電器系統(tǒng)。9（3）可編程電子系統(tǒng)o 以微處理器技術(shù)為基礎(chǔ)的PLC，采用模塊化結(jié)構(gòu)，通過微處理器和編程軟件來執(zhí)行邏輯。o 強(qiáng)大、方便靈活的編程能力，有內(nèi)部自測試和自診斷功能可進(jìn)行雙重化串行通信，可配置成冗余或

5、三重模塊冗余（TMR）系統(tǒng)，可帶操作和編程終端，可帶時序事件記錄（SER）。103. 安全儀表系統(tǒng)(SIS)的六大特點(diǎn)o SIS能夠檢測潛在的危險(xiǎn)故障，具有高安全性，覆蓋范圍寬的自診斷功能。o SIS需符合國際安全標(biāo)準(zhǔn)規(guī)定的儀表安全標(biāo)準(zhǔn)，從系統(tǒng)開發(fā)階段開始，要接受第三方認(rèn)證機(jī)構(gòu)的審查，取得認(rèn)證資格，系統(tǒng)方可投入實(shí)際運(yùn)行。o SIS自診斷覆蓋率大，維修時檢查的點(diǎn)數(shù)非常少。診斷覆蓋率是指可在線診斷出的故障系統(tǒng)全部故障的百分?jǐn)?shù)。11o SIS由采取冗余邏輯表決方式的輸入單元、邏輯結(jié)構(gòu)單元、輸出單元三部分組成系統(tǒng)，邏輯表決的應(yīng)用程序修改容易，特別是可編程型SIS，根據(jù)工程實(shí)際，修改軟件即可。o SIS

6、由局域網(wǎng)、DCSI/F（人機(jī)接口）及開放式網(wǎng)絡(luò)等組成多種系統(tǒng)。o SIS設(shè)計(jì)特別重視從傳感器到最終執(zhí)行機(jī)構(gòu)所組成的回路整體的安全性保證，具有I/O斷線、短路等的監(jiān)測功能。12二、安全儀表系統(tǒng)二、安全儀表系統(tǒng)(SIS)的組成的組成 1. SIS系統(tǒng)的組成部分 2. SIS與DCS的區(qū)別 3. SIS系統(tǒng)的配置方案131. SIS系統(tǒng)的組成部分o SIS系統(tǒng)的組成分為傳感器部分、邏輯運(yùn)算部分和最終執(zhí)行器單元三部分。o 其結(jié)構(gòu)簡圖如下：14o 傳感器單元采用多臺儀表或系統(tǒng)，將控制功能與安全聯(lián)鎖功能隔離，即傳感器分開獨(dú)立配置的原則，做到安全儀表系統(tǒng)與過程控制系統(tǒng)的實(shí)體分離。o 最終執(zhí)行元件（切斷閥、電

7、磁閥）是安全儀表系統(tǒng)中危險(xiǎn)性最高的設(shè)備。o 邏輯運(yùn)算單元由輸入模塊、控制模塊、診斷回路、輸出模塊4部分組成。15SIS故障有兩種：顯性故障（安全故障）和隱性故障（危險(xiǎn)故障）。o 顯性故障（如系統(tǒng)短路等），由于故障出現(xiàn)使數(shù)據(jù)產(chǎn)生變化，通過比較可立即檢測出，系統(tǒng)自動產(chǎn)生矯正作用，進(jìn)入安全狀態(tài)，因此顯性故障不影響系統(tǒng)安全性，僅影響系統(tǒng)可用性，故又稱為無損害故障（Fail to Nuisance，F(xiàn)TN）。o 隱性故障（如I/O短路等），開始不影響到數(shù)據(jù)，僅能通過自動測試程序方可檢測出，它不會使正常得電的元件失電，因此又稱為危險(xiǎn)故障（Fail to Danger，F(xiàn)TD），系統(tǒng)不能產(chǎn)生動作進(jìn)入安全狀態(tài)

8、。隱性故障影響系統(tǒng)的安全性，隱性故障的檢測和處理是SIS系統(tǒng)的重要內(nèi)容。16安全儀表系統(tǒng)的邏輯單元結(jié)構(gòu)選擇見下表：邏輯單元結(jié)構(gòu)IEC61508 SILTV AKDIN V195201。11AK2，AK31,21。1D2AK43,41。22AK43,41。2D3AK5,65,62。33AK5,65,62。43AK5,65,6172. SIS與DCS的區(qū)別o SIS與DCS在石油、石化生產(chǎn)過程中分別起著不同的作用，如下圖所示： 生產(chǎn)裝置從安全角度來講， 可分為3個層次：第一層為 生產(chǎn)過程層，第二層為過 程控制層，第三層為安全 儀表系統(tǒng)停車保護(hù)層。18SIS與DCS的區(qū)別見下表：DCSSISDCS用

9、與過程連續(xù)測量、常規(guī)控制（連續(xù)、順序、間歇等）、操作控制管理，保證生產(chǎn)裝置平穩(wěn)運(yùn)行SIS用與監(jiān)視生產(chǎn)裝置的運(yùn)行狀況，對出現(xiàn)異常工況迅速進(jìn)行處理，使故障發(fā)生的可能性降到最低，使人和裝置處于安全狀態(tài)DCS是“動態(tài)”系統(tǒng)，它始終對過程變量連續(xù)進(jìn)行檢測、運(yùn)算和控制，對生產(chǎn)過程動態(tài)控制，確保產(chǎn)品質(zhì)量和產(chǎn)量SIS是靜態(tài)系統(tǒng)，在正常工況下，它始終監(jiān)視裝置的運(yùn)行，系統(tǒng)輸出不變，對生產(chǎn)過程不產(chǎn)生影響，在異常工況下，它將按著預(yù)先設(shè)計(jì)的策略進(jìn)行邏輯運(yùn)算，使生產(chǎn)裝置安全停車DCS可進(jìn)行故障自動顯示SIS必須測試潛在故障DCS對維修時間的長短的要求不算苛刻SIS維修時間非常關(guān)鍵，弄不好造成裝置全線停車DCS可進(jìn)行自動/

10、手動切換SIS永遠(yuǎn)不允許離線運(yùn)行，否則生產(chǎn)裝置將失去安全保護(hù)屏障DCS系統(tǒng)只做一般聯(lián)鎖、泵的開停、順序等控制，安全級別要求不象SIS那么高SIS與DCS相比，在可靠性、可用性上要求更嚴(yán)格，IEC61508，ISAS84.01強(qiáng)烈推薦SIS與DCS硬件獨(dú)立設(shè)置193.SIS系統(tǒng)的配置方案-a型o 控制系統(tǒng)和聯(lián)鎖系統(tǒng)全部由DCS控制站完成。過程控制信息由通信網(wǎng)絡(luò)傳給操作站顯示報(bào)警，操作員的操作指令由操作站通過通信網(wǎng)絡(luò)傳給控制站執(zhí)行，這就是控制、聯(lián)鎖一體化型。20 SIS系統(tǒng)的配置方案-b型o 控制系統(tǒng)信號由一組控制站完成，報(bào)警聯(lián)鎖信號由另一組控制站完成。兩站信息由通信網(wǎng)絡(luò)送到操作站，操作員的指令由

11、操作站經(jīng)通信網(wǎng)絡(luò)送達(dá)各個控制站執(zhí)行，就是控制、聯(lián)鎖站站分開型。21 SIS系統(tǒng)的配置方案-c型o 控制信號由DCS獨(dú)立執(zhí)行。聯(lián)鎖信號由PLC獨(dú)立執(zhí)行，PLC由獨(dú)立的編程器進(jìn)行軟件編寫，重要的信息送操作臺硬燈顯示或由操作臺發(fā)出硬開關(guān)動作指令。PLC聯(lián)鎖報(bào)警的非重要信號由通信接口送到通信網(wǎng)絡(luò)并傳到操作站進(jìn)行顯示，部分非重要指令由操作站發(fā)出，送PLC執(zhí)行，就是DCS+PLC型。22 SIS系統(tǒng)的配置方案-d型o 控制報(bào)警信號由DCS系統(tǒng)執(zhí)行，重要的聯(lián)鎖信號由繼電器系統(tǒng)完成。由硬開關(guān)及硬燈組成的操作臺進(jìn)行顯示和操作，就是DCS+PLY型。23 SIS系統(tǒng)的配置方案-e型o 控制信號由DCS獨(dú)立完成，聯(lián)

12、鎖報(bào)警信號由三重冗余的緊急聯(lián)鎖控制器ESD完成。軟件編程器獨(dú)立設(shè)置，重要動作及操作指令由獨(dú)立操作臺顯示和發(fā)出，非重要信號和指令由通信接口經(jīng)通信網(wǎng)絡(luò)送操作站顯示和發(fā)出，就是DCS+ESD型。24o 總之SIS原則上應(yīng)單獨(dú)設(shè)置，獨(dú)立與DCS和其他系統(tǒng)，并與DCS進(jìn)行通信；SIS應(yīng)具有完善的診斷測試功能，SIS應(yīng)采用經(jīng)安全認(rèn)證的PLC系統(tǒng)；SIS關(guān)聯(lián)的檢測元件、執(zhí)行機(jī)構(gòu)原則上單獨(dú)設(shè)置；SIS中間環(huán)節(jié)應(yīng)保持最少；SIS應(yīng)采用冗余或容錯結(jié)構(gòu)；SIS應(yīng)設(shè)計(jì)成故障安全型，I/O模件應(yīng)帶電磁隔離或光電隔離，每通道應(yīng)相互隔離，可帶電插拔；來自現(xiàn)場的三取二信號應(yīng)分別接到三個不同的輸入卡，當(dāng)模擬量輸入信號同時用于S

13、IS、DCS時，應(yīng)先接到SIS的AI卡，采用SIS系統(tǒng)對變送器進(jìn)行供電。25三三、工藝過程的風(fēng)險(xiǎn)評估及安全工藝過程的風(fēng)險(xiǎn)評估及安全功能功能SIS等級的確定等級的確定 1. 相關(guān)的幾個概念 2. DIN V，19250/ IEC61508標(biāo)準(zhǔn)風(fēng) 險(xiǎn)分析圖 3. 綜合安全級別確定261、相關(guān)的幾個概念：o （1）安全度及安全度等級 o 安全聯(lián)鎖系統(tǒng)在一定條件和一定時間周期內(nèi)執(zhí)行指定安全功能的概率稱為安全度。o 安全聯(lián)鎖系統(tǒng)的安全等級稱為安全度等級，用PED（Probability of Failure on Demand）即危險(xiǎn)概率來定義。27o （2）SIL及SIL分級 o SIL是Safety

14、 Integrity Level的簡稱，中文意思是綜合安全級別也稱為安全度等級。是美國儀表學(xué)會（ISA）在S84.01標(biāo)準(zhǔn)中對過程工業(yè)中安全儀表系統(tǒng)所作的分類等級，分為1、2、3三級： o SIL1級每年故障危險(xiǎn)的平均概率為0.100.01之間；o SIL2級每年故障危險(xiǎn)的平均概率為0.010.001之間；o SIL3級每年故障危險(xiǎn)的平均概率為0.0010.0001之間。28SIL等級的確認(rèn)：o 1級：裝置可能很少發(fā)生事故。如發(fā)生事故，不會立即造成環(huán)境污染和人員傷亡，經(jīng)濟(jì)損失不大。用于本級別的安全儀表系統(tǒng)，需取得SIL1級和TV2-3級認(rèn)證，對裝置和產(chǎn)品起一般的保護(hù)。o 2級：裝置可能偶爾發(fā)生

15、事故。如發(fā)生事故，對裝置和產(chǎn)品有較大的影響，并有可能造成環(huán)境污染和人員傷亡，經(jīng)濟(jì)損失較大。用于本級別的安全儀表系統(tǒng)，需取得SIL2級和TV4級認(rèn)證，對裝置和產(chǎn)品提供保護(hù)。o 3級：裝置可能經(jīng)常發(fā)生事故。如發(fā)生事故，對裝置和產(chǎn)品將造成嚴(yán)重的影響，并造成嚴(yán)重的環(huán)境污染和人員傷亡，經(jīng)濟(jì)損失嚴(yán)重。用于本級別的安全儀表系統(tǒng)，需取得SIL3級和TV5-6級認(rèn)證，對裝置和產(chǎn)品提供保護(hù)。29o （3）IEC61508標(biāo)準(zhǔn)o IEC61508標(biāo)準(zhǔn)是國際電工委員會（IEC）對與安全相關(guān)的安全控制系統(tǒng)制定的性能安全標(biāo)準(zhǔn)，與ISA的SIL相比，除了覆蓋ISA中的SIL13等級以外，增加了第四級標(biāo)準(zhǔn)，IEC SIL4級

16、標(biāo)準(zhǔn)每年故障危險(xiǎn)的平均概率為0.00010.00001之間。30o （4）TV標(biāo)準(zhǔn)o TV是德國技術(shù)監(jiān)督協(xié)會的縮寫。DIN V，19250是TV證書中評定產(chǎn)品的標(biāo)準(zhǔn)。TV標(biāo)準(zhǔn)是德國萊茵認(rèn)證機(jī)構(gòu)對工業(yè)過程安全控制系統(tǒng)所作的分類等級。TV共分為8級（AK1AK8），AK2/3對應(yīng)于SIL1級，AK4對應(yīng)于SIL2，AK5/6對應(yīng)于SIL3級，AK7對應(yīng)于SIL4級，AK8是目前最高級別的安全標(biāo)準(zhǔn)，故障概率大于十萬分之一，目前沒有與E/E/PES安全相關(guān)的系統(tǒng)能滿足要求，ISA和IEC尚未制定相應(yīng)于AK8的標(biāo)準(zhǔn)。312. DIN V，19250/ IEC61508標(biāo)準(zhǔn)風(fēng)險(xiǎn)分析圖o 工藝過程的風(fēng)險(xiǎn)是以

17、惡性事故概率及其造成的后果來衡量的。目標(biāo)安全水平是以可接受的惡性事故概率及其造成的后果來確定的。目標(biāo)安全水平與惡性事故概率之間的差值就是安全功能的SIL等級，即SIS系統(tǒng)中采用SIL等級的安全功能來使惡性事故概率低于目標(biāo)安全水平。32DIN V，19250/ IEC61508標(biāo)準(zhǔn)風(fēng)險(xiǎn)分析圖如圖所示：333.綜合安全級別確定o SIL等級現(xiàn)有三種技術(shù)來確定：定性風(fēng)險(xiǎn)評估技術(shù)，半定量風(fēng)險(xiǎn)評估技術(shù)及定量風(fēng)險(xiǎn)評估技術(shù)。整體安全水平（SIL）安全功能故障率SIL410-510-4SIL310-410-3SIL210-310-2SIL110-210-1安全功能故障率34oDIN V，19250/ IEC6

18、1508標(biāo)準(zhǔn)風(fēng)險(xiǎn)分析圖中，IEC61508標(biāo)準(zhǔn)安全度等級SIL與DIN V，19250最小抑制風(fēng)險(xiǎn)級別AK（TV標(biāo)準(zhǔn)）的對應(yīng)關(guān)系如下表所示：IEC61508SILANSI/ISAS84.01 SILDIN V，19250AK Class說 明112、3僅對少量的財(cái)產(chǎn)和簡單的生產(chǎn)和產(chǎn)品進(jìn)行保護(hù)224對大量的財(cái)產(chǎn)和復(fù)雜的生產(chǎn)和產(chǎn)品進(jìn)行保護(hù)，也對生產(chǎn)操作人員進(jìn)行保護(hù)335、6對工廠的財(cái)產(chǎn)，全體員工的生命和整個社區(qū)的安全進(jìn)行保護(hù)4-避免災(zāi)難性的（例如核事故）會對整個社區(qū)形成巨大沖擊的事故35四四、SIS安全儀表系統(tǒng)常用術(shù)語 1. 故障（Failure） 2. 可用性（利用率）（Availability

19、） 3.可靠性（Reliability） 4.牢固性（Integrity） 5.冗余及冗余系統(tǒng) 6.冗余邏輯表決方式 7.冗錯、冗錯技術(shù)及冗錯系統(tǒng) 8.故障安全 9.故障性能遞減361.故障（Failure）o 針對控制系統(tǒng)的安全而言，故障分為安全故障和嚴(yán)禁故障。o 安全故障是指此故障不會引起生產(chǎn)裝置災(zāi)難性事故，而嚴(yán)禁故障是指故障一旦發(fā)生，會引起裝置災(zāi)難性后果。37下面以緊急停車系統(tǒng)（ESS）為例來說明安全故障和嚴(yán)禁故障的區(qū)別：ESS傳感器故障繼電器正常38392.可用性（利用率）（Availability）ESS狀況 裝置狀況1 ESS正常 裝置運(yùn)行正常2 ESS出現(xiàn)安全故障 裝置停車3 E

20、SS出現(xiàn)嚴(yán)禁故障 裝置繼續(xù)運(yùn)行可用性是指系統(tǒng)可以使用時間的概率，用字母A表示。其表達(dá)式為：A=平均工作時間（MTTF）/(平均工作時間（MTTF）+平均修復(fù)時間（MTTR）下表以ESS為例，說明系統(tǒng)的可用性（利用率）情況：40o 在第1種情況下，ESS與裝置兩者都處于可用狀態(tài)。o 在第2種情況下，ESS與裝置兩者都處于不可用狀態(tài)。o 在第3種情況下，ESS處于不可使用狀態(tài)，而裝置繼續(xù)運(yùn)行，但處于危險(xiǎn)的可使用狀態(tài)。o 分析上表可知：追求高的可用性，其安全風(fēng)險(xiǎn)大，追求高的安全性，則可用性就要降低。413.可靠性（Reliability）o 可靠性是指系統(tǒng)在規(guī)定的時間間隔內(nèi)發(fā)生故障的概率，用字母R表

21、示。具體來講，可靠性指的是安全聯(lián)鎖系統(tǒng)在故障危險(xiǎn)模式下，對隨機(jī)硬件或軟件故障的安全度。o 可靠性計(jì)算是根據(jù)故障（失效）模式來確定的。o 故障模式有顯性故障模式（失效-安全型模式）和隱性故障模式（失效-危險(xiǎn)型模式）兩種。顯性故障模式表現(xiàn)為系統(tǒng)誤動作，可靠性取決于系統(tǒng)硬件所包含的元器件總數(shù)，一般由MTBF表示。隱性故障模式表現(xiàn)為系統(tǒng)拒動作，可靠性取決于系統(tǒng)的拒動作率（PFD），一般表示為：R=1-PFD424.牢固性（Integrity）o 可靠性與牢固性在意義上極為相似，很難加以區(qū)分。o IEC和SP4對安全性（Safety Integrity）的定義：在規(guī)定時間和條件下，PES完成安全功能的可

22、靠性。o IEC（WG10）：硬件牢固性（Hardware Integrity）：是系統(tǒng)安全性的組成部分，它指在危險(xiǎn)方式下硬件的隨機(jī)故障。o 英國的PES：安全性（Safety Integrity）：安全系統(tǒng)在規(guī)定的條件下或者需要它去執(zhí)行的要求下，按人們的要求完成功能時所表現(xiàn)的特性。o 從可靠性、牢固性定義中可以看出，牢固性這個術(shù)語用在安全保護(hù)系統(tǒng)中，而可靠性的適用范圍則相對廣泛。435.冗余及冗余系統(tǒng)o 冗余（Redundant）指為實(shí)現(xiàn)同一功能，使用多個相同功能的模塊或部件并聯(lián)。冗余也可定義為指定的獨(dú)立的N：1重元件，且可自動地檢測故障，并切換到備用設(shè)備上。o 冗余系統(tǒng)（Redundant

23、 System）指并行使用多個系統(tǒng)部件，并具有故障檢測和校正功能的系統(tǒng)稱為冗余系統(tǒng)。44安全儀表系統(tǒng)的冗余包括兩部分：邏輯單元本身的冗余；傳感器和執(zhí)行器的冗余。針對不同的場合，冗余的次數(shù)及實(shí)現(xiàn)冗余的軟邏輯不同。45 6.冗余邏輯表決方式o 表決(Voting)：指冗余系統(tǒng)中用多數(shù)原則將每個支路的數(shù)據(jù)進(jìn)行比較和修正，從而最后確定結(jié)論的一種機(jī)理。46（2）幾種冗余邏輯表決方式o 1oo1D（1 out of 1D） 1取1帶診斷o 1oo2（1 out of 2） 2取1o 1oo2D（1 out of 2D） 2取1帶診斷o 2oo3（2 out of 3） 3取2o 2oo4d（2 out o

24、f 4） 4取2帶診斷47a.二選一表決邏輯(1oo2)o 正常狀態(tài)下，A、B狀態(tài)為1，只要A、B任一信號為0，發(fā)生故障，表決器就命令執(zhí)行器執(zhí)行相應(yīng)的動作。適用于安全性較高的場合。48b. 二選二表決邏輯(2oo2)o 正常狀態(tài)下，A、B狀態(tài)為1，只有當(dāng)A、B信號同時發(fā)生故障為0時，表決器就命令執(zhí)行器執(zhí)行相應(yīng)的動作。適用于安全性要求一般而可用性較高的場合。o 其特點(diǎn)是：可以有效防止安全故障的發(fā)生，但系統(tǒng)有可能造成嚴(yán)禁故障的發(fā)生。49c.三選一表決邏輯（1oo3） 正常狀態(tài)下，A、B、C狀態(tài)為1，只有當(dāng)A、B、C任一信號發(fā)生故障為0時，表決器就命令執(zhí)行器執(zhí)行相應(yīng)的動作。適用于安全性很高的場合，而不顧及其它情況。 其特點(diǎn)是：它最有效的防止了嚴(yán)禁故障的發(fā)生，比1oo2方式更嚴(yán)格，但增加了安全故障發(fā)生的機(jī)會。它的安全故障發(fā)生率是單一系統(tǒng)的3倍。50 d.三選二表決邏輯（2oo3） 正常狀態(tài)下，A、B、C狀態(tài)為1，只有當(dāng)A、B、C任兩個組合信號同時為0發(fā)生故障時，表決器就命令執(zhí)行器執(zhí)行相應(yīng)的動作。適用于安全性、使用性高的場合。 其特點(diǎn)是：它克服了二重化系統(tǒng)不辨真?zhèn)蔚娜毕?，其可用性和安全性保持在合理的水平?17.冗錯、冗錯技術(shù)及冗錯系統(tǒng)o （1）冗錯（Fault Tolerant）是指功能模塊在出現(xiàn)故障或錯誤時，可以繼續(xù)執(zhí)行特定功能的能力。o 進(jìn)一步講冗錯是指對失效的控