什么是安全儀表系統(tǒng)？SIS安全儀表系統(tǒng)

1、什么是安全儀表系統(tǒng)

在IEC61508中，SIS被稱為安全相關(guān)系統(tǒng)（Safety Related System）,將被控對(duì)象稱為被控設(shè)備（EUC）。

IEC61511將安全儀表系統(tǒng)SIS定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能（Safety Instrumented Function,SIF）的儀表系統(tǒng)。SIS是由傳感器（如各類開關(guān)、變送器等）、邏輯控制器、以及最終元件（如電磁閥、電動(dòng)門等）的組合組成,如圖1所示。

IEC61511又進(jìn)一步指出，SIS可以包括，也可以不包括軟件。另外，當(dāng)操作人員的手動(dòng)操作被視為SIS的有機(jī)組成部分時(shí)，必須在安全規(guī)格書（Safety Requirement Specification,SRS)中對(duì)人員操作動(dòng)作的有效性和可靠性做出明確規(guī)定，并包括在SIS的績(jī)效計(jì)算中。

從SIS的發(fā)展過(guò)程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)（Programmable Electronic System），即E/E/PES三個(gè)階段。

安監(jiān)總局116號(hào)文件

國(guó)家安全監(jiān)管總局于2014年11月13日下發(fā)《國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理 指導(dǎo)意見（安監(jiān)總管三〔2014〕116號(hào)）》

該意見涉及到了生產(chǎn)，設(shè)計(jì)，管理等多個(gè)方面。HAZOP分析，SIL等級(jí)評(píng)估，安全系統(tǒng)驗(yàn)證，老裝置安全系統(tǒng)安全等級(jí)評(píng)估，安全系統(tǒng)改造等，這些工作將在今后幾年中越來(lái)越多，越來(lái)越重要！

下圖為由PES構(gòu)成的SIS

圖1 SIS的構(gòu)成

SIS安全儀表系統(tǒng)

(1) SIF安全儀表功能可以是安全儀表保護(hù)功能，也可以是安全儀表控制功能，或包含這兩者。

(2)需要說(shuō)明的是，這里所說(shuō)的安全儀表控制功能，是指以連續(xù)模式（Continuous Mode）操作并具有特定的SIL,用于防止危險(xiǎn)狀態(tài)發(fā)生或者減輕其發(fā)生的后果，與常規(guī)的PID控制功能是完全不同的概念。

(3) SIS可以包括或不包括軟件

(4) SIS的一部分也可能是人的動(dòng)作

如圖2所示，這是一個(gè)氣液分離容器A液位控制的安全儀表功能回路圖。對(duì)這個(gè)安全儀表功能完整的描述是：當(dāng)容器液位開關(guān)達(dá)到安全聯(lián)鎖值時(shí)，邏輯運(yùn)算器（圖3）使電磁閥2斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號(hào)，使調(diào)節(jié)閥切斷容器A進(jìn)料，這個(gè)動(dòng)作要在3秒內(nèi)完成，安全等級(jí)必須達(dá)到SIL2。這是一個(gè)安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，則是類似一個(gè)或多個(gè)這樣的安全儀表功能的集合。

圖2 安全儀表回路圖

圖2說(shuō)明：

L液面超高-L1接點(diǎn)閉合-Z帶電。

Z1常閉接點(diǎn)打開，S線圈斷電。

S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號(hào)調(diào)節(jié)閥切斷工藝進(jìn)料，完成聯(lián)鎖保護(hù)作用。

K起：按鈕開關(guān)：起動(dòng)聯(lián)鎖保護(hù)回路兼有復(fù)位作用。

K停：起人工強(qiáng)制起動(dòng)聯(lián)鎖保護(hù)作用。

K旁：旁路聯(lián)鎖保護(hù)作用，用于開車或檢修聯(lián)鎖信號(hào)儀表。

圖3 SIS邏輯圖

大多石油和化工生產(chǎn)過(guò)程具有高溫、高壓、易燃、易爆、有毒等危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說(shuō)，從安全的角度出發(fā)，石油和化工生產(chǎn)過(guò)程自身存在著固有的風(fēng)險(xiǎn)。

總之，SIS是一種經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性水平，用于降低生產(chǎn)過(guò)程風(fēng)險(xiǎn)的儀表安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過(guò)程因超過(guò)安全極限而帶來(lái)的風(fēng)險(xiǎn)，而且能檢測(cè)和處理自身的故障，從而按預(yù)定條件或程序使生產(chǎn)過(guò)程處于安全狀態(tài)，以確保人員、設(shè)備及工廠周邊環(huán)境的安全。

按照SIS的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)：

安全聯(lián)鎖系統(tǒng)（Safety Interlock System—SIS）；

安全關(guān)聯(lián)系統(tǒng)（Safety Related System—SRS）；

儀表保護(hù)系統(tǒng)（Instrument Protective System—IPS）；

透平壓縮機(jī)集成控制系統(tǒng)（Integrated Turbo & Compressor Control System—ITCC）；

火災(zāi)及氣體檢測(cè)系統(tǒng)（Fire and gas systems—F&G）；

緊急停車系統(tǒng)（Emergency Shutdown Device—ESD）；

燃燒管理系統(tǒng)（Burner Management System）；

列車自動(dòng)防護(hù)系統(tǒng)（ATP）

2、SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)

鑒于SIS涉及到人員、設(shè)備、環(huán)境的安全，因此各國(guó)均制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得SIS的設(shè)計(jì)、制造、使用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)產(chǎn)品能達(dá)到的安全等級(jí)進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)證機(jī)構(gòu)主要有：

(1)我國(guó)石化集團(tuán)制定的行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999《石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則》。

(2)2006年、2007年等同采用IEC61508、IEC61511的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438、GB/T21109相繼發(fā)布，中國(guó)的功能安全標(biāo)準(zhǔn)開始規(guī)范我國(guó)的功能安全工作。

(3)國(guó)際電工委員會(huì)1997年制定的IEC 61508/61511標(biāo)準(zhǔn)，對(duì)用機(jī)電設(shè)備（繼電器）、固態(tài)電子設(shè)備、可編程電子設(shè)備（PLC）構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、軟件及應(yīng)用作出了明確規(guī)定。

(4)美國(guó)儀表學(xué)會(huì)制定的ISA-S84.01-1996《安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用》。

(5)美國(guó)化學(xué)工程學(xué)會(huì)制定的AICHE（ccps）-1993，《化學(xué)過(guò)程的安全自動(dòng)化導(dǎo)則》。

(6)英國(guó)健康與安全執(zhí)行委員會(huì)制定的HSE PES-1987，《可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用》。

(7)德國(guó)國(guó)家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DIN V VDE 0801、過(guò)程操作用戶標(biāo)準(zhǔn)-DIN V 19250和DIN V 19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DIN VDE 0116等。

(8)德國(guó)技術(shù)監(jiān)督協(xié)會(huì)（TüV）是一個(gè)獨(dú)立的、權(quán)威的認(rèn)證機(jī)構(gòu)，它按照德國(guó)國(guó)家標(biāo)準(zhǔn)（DIN），將ESD所達(dá)到的安全等級(jí)分為AK1～AK8，AK8安全級(jí)別最高。其中AK4、AK5、AK6為適用于石油和化學(xué)工業(yè) 取得TüV認(rèn)證的SIS產(chǎn)品。

在國(guó)內(nèi)石化行業(yè)中應(yīng)用的SIS產(chǎn)品中，經(jīng)過(guò)TüV認(rèn)證的主要有：

(1) Tricon、Triden，美國(guó)Triconex公司開發(fā)用于壓縮機(jī)綜合控制（ITCC）和緊急停車系統(tǒng)。安全等級(jí)為AK6（SIL3）。

(2) FSC（Fail safe control），由荷蘭P&F（Pepper&Fuchs）公司開發(fā)，1994年被Honeywell公司收購(gòu)。安全等級(jí)AK6（SIL3）

(3)和利時(shí)集團(tuán)HiaGuard（SIS），我國(guó)首套獲TüV SIL3認(rèn)證的安全儀表系統(tǒng)。

(4) HIMA PES，HIMA是德國(guó)一家專業(yè)生產(chǎn)安全控制設(shè)備的公司，PES (Programmable Electronic System)是可編程電子系統(tǒng)的簡(jiǎn)稱，是近幾年來(lái)國(guó)內(nèi)引進(jìn)較多的一種安全儀表系統(tǒng)。主要由H41q和H51q系統(tǒng)組成。H41q也叫小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號(hào)為H41q—M，冗余系統(tǒng)又分為高可靠系統(tǒng)H41q—H和高性能系統(tǒng)H41q—HR。H51q稱為模塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號(hào)為H51q—H和高性能系統(tǒng)H51q—HR。各種型號(hào)的PES都具有TüV AK1~6級(jí)認(rèn)證。（儀控工程網(wǎng)在線學(xué)習(xí)頻道，有關(guān)于HIMA公司及產(chǎn)品的介紹）

(5) Prosafe—RS，是橫河電機(jī)安全儀表系統(tǒng)，其特點(diǎn)是與CENTUMCS.3000 R3的技術(shù)融合，即實(shí)現(xiàn)了與DSC的無(wú)縫集成。非冗余取量即可實(shí)現(xiàn)SIL3，通過(guò)冗余取量實(shí)現(xiàn)更高的可用性。

(6) QUADLOG，由MOORE公司開發(fā)，日本橫河電機(jī)公司收購(gòu)后稱prosafe plc，其1oo2D結(jié)構(gòu)安全等級(jí)達(dá)AK6 (SIL3)；

(7) SIMATICS7—400F/FH，德國(guó)SIEMENS公司產(chǎn)品。400F和400FH分別為1個(gè)CPU和2個(gè)CPU運(yùn)行fail-safe（F）用戶程序，均取得TUV認(rèn)證，安全等級(jí)為AK1~AK6（SIL1~SIL3）；

(8) Regent Trusted，美國(guó)ICS利用宇航技術(shù)開發(fā)的安全系統(tǒng)。安全等級(jí)AK4~AK6（SIL2~SIL3）；

(9) GMR90-70，美國(guó)GE Fanuc公司開發(fā)。其中GMR90-70(模塊式冗余容錯(cuò))的安全等級(jí)為class 5（2oo3），class 4（1oo2）和class 5（2oo2）；

(10) TRIGUARD SC300E，AUGUST公司開發(fā)，1999年成為ABB集團(tuán)成員之一，安全等級(jí)為class 5和class 6，系統(tǒng)結(jié)構(gòu)為2oo3；

(11) DeltaV SIS是艾默生推出的TüV認(rèn)證的新型整體回路概念的智能安全儀表系統(tǒng)，安全等級(jí)SIL3。

(12) Safeguard 400&300，ABB Industry公司開發(fā)，系統(tǒng)結(jié)構(gòu)1oo2D。

（篇幅有限不再一一列舉）

3、SIS和DCS的比較

DCS與由PES構(gòu)成的SIS的主要區(qū)別有：

(1)系統(tǒng)的組成：DCS一般是由人機(jī)界面操作站、通信總線及現(xiàn)場(chǎng)控制站組成；而SIS系統(tǒng)是由傳感器、邏輯解算器和最終元件三部分組成。及DCS不含檢測(cè)執(zhí)行部分。

(2)實(shí)現(xiàn)功能：DCS用于過(guò)程連續(xù)測(cè)量、常規(guī)控制（連續(xù)、順序、間歇等）操作控制管理使生產(chǎn)過(guò)程在正常情況下運(yùn)行至最佳工況；而SIS是超越極限安全即將工藝、設(shè)備轉(zhuǎn)至安全狀態(tài)。

(3)工作狀態(tài)：DCS是主動(dòng)的、動(dòng)態(tài)的，它始終對(duì)過(guò)程變量連續(xù)進(jìn)行檢測(cè)、運(yùn)算和控制，對(duì)生產(chǎn)過(guò)程動(dòng)態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量。而SIS系統(tǒng)是被動(dòng)的、休眠的 。

(4)安全級(jí)別：DCS安全級(jí)別低，不需要安全認(rèn)證；而SIS系統(tǒng)級(jí)別高，需要安全認(rèn)證。

(5)應(yīng)對(duì)失效方式：DCS系統(tǒng)大部分失效都是顯而易見的，其失效會(huì)在生產(chǎn)的動(dòng)態(tài)過(guò)程中自行顯現(xiàn)，很少存在隱性失效；SIS失效就沒(méi)那么明顯了，因此確定這種休眠系統(tǒng)是否還能正常工作的唯一方法，就是對(duì)該系統(tǒng)進(jìn)行周期性的診斷或測(cè)試。因此安全儀表系統(tǒng)需要人為的進(jìn)行周期性的離線或在線檢驗(yàn)測(cè)試，而有些安全系統(tǒng)則帶有內(nèi)部自診斷。

4、SIS設(shè)計(jì)應(yīng)遵循的原則

(1)原則上應(yīng)獨(dú)立設(shè)置（含檢測(cè)和執(zhí)行單元）；

(2)中間環(huán)節(jié)最少；

(3)應(yīng)為故障安全型；

(4)采用冗余容錯(cuò)結(jié)構(gòu)。

5、故障安全原則

組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零， 且供電、供氣中斷亦可能發(fā)生。

當(dāng)內(nèi)部或外部原因使SIS失效時(shí)，被保護(hù)的對(duì)象（裝置）應(yīng)按預(yù)定的順序安全停車，自動(dòng)轉(zhuǎn)入安全狀態(tài)（Fault toSafety），這就是故障安全原則。

具體體現(xiàn)：

(1)現(xiàn)場(chǎng)開關(guān)儀表選用常閉接點(diǎn)，工藝正常時(shí)，觸點(diǎn)閉合，達(dá)到安全極限時(shí)觸點(diǎn)斷開，觸發(fā)聯(lián)鎖動(dòng)作，必要時(shí)采用“二選一”、“二選二”或“三選二”配置。

(2)電磁閥采用正常勵(lì)磁，聯(lián)鎖未動(dòng)作時(shí)，電磁閥線圈帶電，聯(lián)鎖動(dòng)作時(shí)斷電。

(3)送往電氣配電室用以開/停電機(jī)的接點(diǎn)用中間繼電器隔離，其勵(lì)磁電路應(yīng)為故障安全型。

(4)作為控制裝置（如PLC）“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過(guò)極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動(dòng)作，以便按預(yù)定的順序安全停車（這對(duì)工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過(guò)硬件和軟件的冗余和容錯(cuò)技術(shù)，在過(guò)程安全時(shí)間（PST-Process Safety Time）內(nèi)檢測(cè)到故障，自動(dòng)執(zhí)行糾錯(cuò)程序，排除故障。

6、隱故障與顯故障

隱故障（Covert Fault）：不對(duì)危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障，是故障危險(xiǎn)故障（SHB-Z06-1999）。Covert Fault：Fault that can be classified as hidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84.01-1996）

顯故障（Overt Fault）：能顯示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault：Fault that can be classified as announced，detected，revealed，ect.（ISA-S84.01-1996）

SIS系統(tǒng)拒動(dòng)：當(dāng)工藝條件達(dá)到或超過(guò)安全極限時(shí)，SIS本應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在隱性故障（危險(xiǎn)故障），譬如輸出開關(guān)被誤連短路，而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。危險(xiǎn)失效定義為這樣一些失效，這些失效會(huì)阻止SIS系統(tǒng)對(duì)潛在的危險(xiǎn)工況做出反應(yīng)。

SIS系統(tǒng)誤動(dòng)：在圖4中，當(dāng)輸出開關(guān)由于某種原因處于非激勵(lì)狀態(tài)，即使?jié)撛诘奈ｋU(xiǎn)工況沒(méi)有發(fā)生，SIS也會(huì)進(jìn)入一種安全失效狀態(tài)見圖5，這種情況經(jīng)常被稱為“誤動(dòng)”。誤動(dòng)可能會(huì)以許多不同方式發(fā)生。例如，輸入電路可能會(huì)發(fā)生故障，從而使邏輯解算器誤認(rèn)為是傳感器檢測(cè)到了危險(xiǎn)工況，而事實(shí)上并沒(méi)有這種情況發(fā)生。邏輯解算器本身也可能出現(xiàn)運(yùn)算錯(cuò)誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開路。SIS的許多元件失效均會(huì)導(dǎo)致系統(tǒng)進(jìn)入安全失效狀態(tài)。

圖4 正常運(yùn)行時(shí)的正常激勵(lì)系統(tǒng)

圖5

PFS（安全故障概率）：正常激勵(lì)的SIS系統(tǒng)在它的輸出非激勵(lì)時(shí)，就會(huì)處于故障狀態(tài)，這有一個(gè)概率。稱為安全故障概率（PFS），或稱誤動(dòng)率。

PFD（要求時(shí)失效概率）：這是一個(gè)衡量安全性的指標(biāo)，稱為要求時(shí)失效概率。它意味著系統(tǒng)是危險(xiǎn)的。它不會(huì)再要求（潛在的緊急條件）發(fā)生時(shí)產(chǎn)生響應(yīng)。

SIS的功能安全

安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險(xiǎn)情況時(shí)正確執(zhí)行其對(duì)應(yīng)的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全。

功能安全實(shí)際上講的是SIS系統(tǒng)自身的安全問(wèn)題。

如圖6示安全儀表系統(tǒng)，該系統(tǒng)由一個(gè)壓力變送器、一個(gè)閥門和一個(gè)安全PLC組成的SIS系統(tǒng)。

(1)壓力變送器檢測(cè)容器內(nèi)壓力并將其變換成合適的信號(hào)傳送給安全PLC，安全PLC判斷若壓力超過(guò)了額定值則打開閥門以降低容器內(nèi)壓力，這被稱為安全系統(tǒng)的一個(gè)安全功能。很明顯例子中儀表安全系統(tǒng)只有一個(gè)安全功能。如果三個(gè)設(shè)備有一個(gè)或多個(gè)失效，安全功能將失效，即它將不能對(duì)壓力容器內(nèi)壓力進(jìn)行限制。因此安全儀表系統(tǒng)的安全性能由傳感器、邏輯解算器和執(zhí)行器三部分功能決定。

(2) SIS安全功能實(shí)際上講的是讓SIS執(zhí)行什么樣的安全任務(wù)，如何保護(hù)受控設(shè)備。

圖6 反應(yīng)器的安全儀表系統(tǒng)

7、安全性及響應(yīng)失效率

(1)當(dāng)工藝條件達(dá)到或超過(guò)安全極限值時(shí)，SIS本應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在隱故障（危險(xiǎn)故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。

(2)衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求的故障率（PFD：Probability of Failure on Demand）。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標(biāo)值（SHB-Z06-1999）。

(3)不同的工業(yè)過(guò)程（如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對(duì)安全的要求是不同的。上述的國(guó)際標(biāo)準(zhǔn)將其劃分為若干安全完整性等級(jí)（SIL：Safety Integrity Level）。

安全完整性等級(jí)Safety Integrity Level（SIL）

安全完整性等級(jí)（SIL）是一種離散的等級(jí)，用來(lái)規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。

(1)安全完整性等級(jí)可分為4個(gè)等級(jí)，SIL4是安全完整性最高的等級(jí)（平均概率最高），SIL1是最低等級(jí)；

(2)安全完整性等級(jí)越高，應(yīng)執(zhí)行所要求的安全功能的概率也越高；

(3)根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的頻率可分為低要求操作模式（<=1次 ）和高要求或連續(xù)操作模式（="">1次/年）。

根據(jù)GB/T 20438標(biāo)準(zhǔn)，在不同的操作模式下，安全完整性的目標(biāo)失效概率和目標(biāo)風(fēng)險(xiǎn)降低見下表1-1和1-2。

采用不同的操作模式結(jié)構(gòu)有可能使用幾個(gè)安全完整性等級(jí)較低的系統(tǒng)來(lái)滿足一個(gè)較高安全完整性等級(jí)功能的需要（例如：使用一個(gè)SIL2和一個(gè)SIL1的系統(tǒng)共同來(lái)滿足一個(gè)SIL3功能的需要）。

表1-1安全完整性等級(jí)：要求時(shí)的失效概率

表1-2安全完整性等級(jí)：SIF的危險(xiǎn)失效概率

表1-3 SIL與PFD的對(duì)應(yīng)關(guān)系

8、可用性及可用度

工藝條件并未達(dá)到安全極限值，SIS不應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過(guò)程停車，即不該停車而誤停，降低了可用性。

可用度（A：Availability）是指系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算：

MTBF：平均故障間隔時(shí)間（Mean Time Between Failures）

MDT：平均停車時(shí)間（Mean Downtime）

MTBF：平均故障間隔時(shí)間（Mean Time Between Failure）

MTTR：平均恢復(fù)時(shí)間（Mean Time to Repair）

MTTF：平均無(wú)故障時(shí)間（Mean Time to Failure）

例如：

9、冗余和容錯(cuò)

冗余(Redundant)

具有指定的獨(dú)立的N：1重元件，并且可以自動(dòng)地檢測(cè)故障，切換到后備設(shè)備上。(SHB – Z06 – 1999)冗余系統(tǒng)(Redundant System)并行地使用多個(gè)系統(tǒng)部件，以提供錯(cuò)誤檢測(cè)和錯(cuò)誤校正能力的系統(tǒng)。(SHB – Z06 – 1999)。

容錯(cuò)(Fault Tolerant)

具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，能夠識(shí)別故障并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定的功能?；蛟谟布蛙浖l(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的能力。它往往包括三方面的功能：第一是約束故障，即限制過(guò)程或進(jìn)程的動(dòng)作，以防止在錯(cuò)誤被檢測(cè)出來(lái)之前繼續(xù)擴(kuò)大;第二是檢測(cè)故障，即對(duì)信息和過(guò)程或進(jìn)程的動(dòng)作進(jìn)行動(dòng)態(tài)檢測(cè);第三是故障恢復(fù)即更換或修正失效的部件。(SHB – Z06 – 1999)

容錯(cuò)系統(tǒng)(Fault Tolerant System)

具有容錯(cuò)結(jié)構(gòu)的硬件與軟件系統(tǒng)。(SHB – Z06 – 1999)

總之，通過(guò)冗余和故障屏蔽的結(jié)合來(lái)實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)。容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等。圖8和圖9、圖10分別表示CPU冗余(雙機(jī)熱備)和三重化冗余容錯(cuò)系統(tǒng)。