1.2.3 安全系统结构模型

在实际的安全控制系统中有许多种结构。常见的结构体系是MooN（M out of N）表决结构。即在一些工作并联配置中，需要N中的M个单元能工作，以使系统起作用，这称为N中取M（或M/N）并联冗余。常见的表决结构有1oo1、1oo2、2oo2、2oo3、1oo1D、1oo2D和2oo2D。

1.1oo1（1-out-of-1）单通道系统

单个处理器单元以及单IO的控制器代表了一个最小的系统，如图1-1所示。

该系统不具有容错功能，也没有失效模式保护功能，电子电路可能会发生安全失效（指输出为开路状态）或危险失效（指输出为短路状态）。在该结构中当产生一次要求时，任何危险失效就会导致一个安全功能的失效。

2.1oo2（1-out-of-2）双通道系统

为了将危险失效的影响降至最低，可以连接两个控制器。对于常开系统，由于两个控制器的输出电路是串联的，当两个控制器同时发生危险失效时，系统才会发生危险失效。

1oo2系统结构一般是采用两个独立的处理器，每个处理器都有独立的I/O，如图1-2所示。

该系统的需求失效概率很低，但也增加了安全失效率。在提高了系统被关断的能力的同时，“误跳闸”的概率也相应地增加了。

3.2oo2双通道系统

此结构由并联的两个通道构成，因此，安全功能要求两个通道都工作，从而避免输出开路状态的失效，如图1-3所示，如果一个控制器发生开路失效，另外一个控制器仍可对负载进行驱动。这个系统用于电源跳闸时的保护系统中。

4.2oo3三重控制器系统

在控制系统中，选择一个合适的失效模式也是非常重要的。1oo2结构减少了危险（输出短路）失效的发生，2oo2结构减少了安全（输出开路）失效的发生。但当两种失效模式都不满足要求时，就需要更为复杂的系统结构，例如，2oo3结构。

2oo3结构是为了容许安全失效和危险失效而设计出的一种结构。此结构由三个并联的通道构成，每个输出通道需要用到每个控制器单元的两个输出，如图1-4所示。来自三个控制器中的每两个输出连接成“表决”电路，如图1-5所示，这个电路决定了实际的输出：其输出结果取决于“大多数”的输出结果。只要两个输出同时接通，则负载被激活；而如果两个输出同时断开，则负载也断开。因此，在这种结构中，如果仅其中的一个通道的输出与其他两个通道的输出状态不同时，输出状态不会因此而改变。

该结构的特点是它容许两个失效模式中的任何一个失效：当安全失效（开路）发生时，系统则有效地降级到1oo2结构，如图1-6所示；当危险失效（短路）发生时，系统就会有效地降级到2oo2结构，如图1-7所示。但无论降级到哪种状态，系统都一直保持正常工作状态。

5.1oo1D双通道系统

该系统采用单控制器结构，其通道具有故障诊断能力，并串联了一个诊断通道。该诊断通道可以利用诊断信号来断开输出，从而防止危险失效的发生。如图1-8所示，该系统代表了更高版本的一种安全系统。

6.2oo2D结构

该结构是一个4通道结构，由两个1oo1D结构的控制器以2oo2结构组成。由于当诊断程序检测到失效时，1oo1D结构能够防止危险失效的发生，如图1-9所示，因此可以将两个单元并联起来，避免生产过程的停机。

但诊断程序对于这个结构来讲非常重要，因为两个单元中的任何一个如果发生未检测到的危险失效都会导致该系统发生危险失效。

7.1oo2D结构

1oo2D结构与2oo2D结构类似，但它增加了额外的控制线，可以使1oo2结构具有安全性。该结构的特点是，只有当两个单元都发生危险失效，并且这个失效不能被两个单元中的任何一个诊断程序检测到时，1oo2D结构才会发生危险失效。只要有一个单元检测到了该危险失效，就可以通过附加的控制线将诊断开关触发断开，从而避免危险失效的发生，如图1-10所示。因此，该结构能够同时包容安全失效和危险失效。

以上是安全系统经常使用的结构。一般来说，1oo2（以及1oo2D）系统具有最高的安全性，其次是2oo3系统，但2oo3系统相对来讲较为复杂，成本也高一些，因此常用在过程控制行业；在离散控制行业，主要是1oo2系统就够了。