1.2　E/E/PE安全相关系统

1.2.1　E/E/PE安全相关系统及其构成

根据IEC61508的定义，E/E/PE安全相关系统是基于电气（E）和/或电子（E）和/或可编程电子（PE）技术的能够实现受控设备（Equipment under Control，EUC）要求的安全功能及其安全完整性的系统。系统中一般包括电源、传感器和其他输入装置、数据高速公路和其他通信途径、E/E/PE装置以及执行器和其他输出装置，即主要由传感（或输入）、逻辑控制和执行（或输出）三个部分构成。然而，有些控制系统并不同时具备这三部分，而是它们的任意组合构成。例如，人工输入控制信号、逻辑控制输出只报警而没有执行动作等。

过程工业中常用的安全仪表系统（SIS）是E/E/PE安全相关系统的一类。按照IEC61511中的定义，它是由传感器、逻辑控制器和执行器组成的能够行使一项或多项安全功能的仪表系统。例如，为了防止某压力容器内压力超过额定值而发生爆炸，安装了一个安全仪表系统。该安全仪表系统由压力变送器、一个PLC和一个阀门组成，如图1.1所示。图1.1中所示的安全仪表系统的工作十分简单。压力变送器检测容器内压力并将其变换成合适的信号送给PLC，PLC对接收的信号进行判断，若压力超过了额定值则打开阀门以降低容器内压力，这被称为安全仪表系统的一个仪表安全功能（Safety Instrumented Function，SIF）。GB21109.1—2007中定义仪表安全功能为：具有某个特定SIL的，用以达到功能安全的安全功能，它既可以是一个仪表安全保护功能，也可以是一个仪表安全控制功能。

E/E/PE装置是E/E/PE安全相关系统的核心部件，它可以由机电设备（电气）构成，也可以由固态非可编程电子设备（电子）或基于计算机技术的可编程电子设备构成。以下简单介绍了这三类系统，并分析其优缺点。

（1）电气控制系统

由机电设备组成的E/E/PE安全相关系统。该系统采用单元化结构，由继电器执行逻辑控制，通过重新接线来重新编程。该系统的优点是可靠性高，具有失效安全特性，电压适用范围宽，一次性投资低，可分散于工厂各处，抗干扰能力强。但是该系统庞大而复杂，灵活性差，进行功能修改或扩展不方便，无串行通信功能，无报告和文档功能，无自诊断能力，易造成误动作，用户维修周期长，费用高。如由各种继电器搭建的安全控制系统。

（2）电子控制系统

由使用电晶体的非可编程电子装置构成的安全仪表系统。该系统采用模块化结构，采用独立固态电子器件，通过硬接线来构成系统，实现逻辑功能。其优点是结构紧凑，可进行在线测试，易于识别故障，易于更换和维护，可进行串行通信，可配置成冗余结构。但其灵活性不够，逻辑修改或扩展必须改变系统硬连线，大系统运行费用较高，可靠性不如继电器系统。

（3）可编程电子控制系统

以计算机技术[微处理器、微控制器、可编程控制器、专用集成电路（ASIC）、可编程控制器（PLC）]为基础，由硬件、软件及其输入（智能传感器、变送器）和输出（智能执行器）单元构成的系统。其具有强大、方便灵活的编程能力，有内部自测试和自诊断功能，可进行双重化串行通信，可配置成冗余或三重模块冗余（TMR）系统，可带操作和编程终端，可带时序事件记录（SER）。

1.2.2　E/E/PE安全相关系统与EUC控制系统

这里用过程工业中的控制系统来说明E/E/PE安全相关系统与EUC控制系统的关系。在过程工业控制系统中，E/E/PE安全相关系统即安全仪表系统（SIS），EUC控制系统即基本过程控制系统，受控设备主要是工艺过程。受控设备分别受到基本过程控制系统（Basic Process Control System，BPCS）和安全仪表系统的控制。基本过程控制系统和安全仪表系统应该是分离且相互独立的，如图1.2所示。然而在实际应用中，安全仪表系统往往是基本过程控制系统的组成部分，SIS通过实现BPCS中的安全功能达到其要求的SIL。从安全保护层角度来说，基本过程控制系统更靠近生产过程，而安全仪表系统是较高的保护层，图1.2中区分了BPCS与SIS。

根据IEC61511中的定义，基本过程控制系统是对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输入信号进行响应，并产生使过程和系统相关设备按要求方式运行的系统，但它并不执行任何具有SIL≥1的安全仪表功能。它仅对工艺过程或受控设备做出响应，不具有安全保护功能。

E/E/PE安全仪表系统是由传感、逻辑控制和执行三部分任意组合而成的能够行使一项或多项安全功能的系统。SIS监视生产过程的状态，判断生产过程是否出现发生某种潜在危险的条件。当出现危险的条件时，自动执行其规定的安全功能，防止危险事件发生。

E/E/PE安全仪表系统与基本过程控制系统具有不同的特点。在过程行业中，基本过程控制系统执行基本生产控制功能，以达到生产过程的运行要求。基本过程控制系统必须根据系统的设定要求和生产过程的扰动状态不断地动态运行，才能保持生产过程的连续稳定运行，它是主动的、动态的；相反，安全仪表系统则是被动的、休眠的。在基本过程控制系统正常运行期间，安全仪表系统是处于静止的，只有出现危险条件时才会动作。理想状态是它能一直“休眠”下去，这样正表明在基本过程控制系统控制下的生产过程一直处于安全运行状态。

基本过程控制系统的大部分失效都是显而易见的。而对安全仪表系统却难以觉察其是否出现了失效或存在何种问题，因此需要对其进行周期性的诊断或测试。

基本过程控制系统和安全仪表系统对可靠性和安全性的要求不同。基本过程控制系统强调可用性，即在任何时候系统能够正常工作的概率。基本过程控制系统追求可用时间最大化，因为在很多过程控制领域，误停车是一个损失较大的事件。而对于安全仪表系统则正好相反，其必须保证受控系统在故障状态下是安全的，安全性是首要考虑的，可用性次之。