基于现场总线和ARM处理器的冗余容错安全仪表系统
技术领域
本发明涉及一种工业过程控制的安全控制方法和安全仪表保护控制装置,可用于如石油化工等诸多过程控制领域中使用的由高可靠性数字信号处理装置构成的安全仪表保护系统及其处理方法。
背景技术
根据试验得出,人面临危险时,判断和操作往往是滞后且不可靠的,尤其是面临生命危险时,短时间内做出的反应,错误操作的概率更高,因此设置自动响应的安全仪表系统十分必要。
安全仪表系统是一种专用的安全保护设备,最早产生于美国宇航业,美国斯坦福大学和麻省理工大学最早开始研究将容错控制应用在航空航天设备上以提高安全性能,90年代初该技术开始在民用领域推广应用,90年代末期,ICS公司率先开发了以POWER PC芯片为核心的第二代智能可编程序控制器。
安全仪表系统是独立于生产过程控制系统的用于大型装置的安全联锁保护系统。在正常情况下,实时在线监测装置的安全;当装置出现紧急情况时,不通过生产系统而直接发出保护联锁信号,针对生产装置可能发生的危险或不采取措施继续恶化的状态进行及时响应和保护,直接发出保护联锁信号对工艺流程实行联锁保护或紧急停车,以避免危险扩散造成巨大损失。
安全仪表系统是一般应用于安全控制要求较高的重要生产工艺场合。尤其在石油化工生产中,装置大都具有高温、高压、易燃、易爆、工艺连续性强、复杂性高、安全要求高等特点,并制定了行业标准强制规模推广应用。所以,近年来安全仪表系统在石化企业被广泛地推广应用。由于安全仪表系统设计技术要求高,国内还没有生产厂家,现在国内应用的全部都是引进产品。主要有美国的TRICONEX、GE,德国的Siemens以及ABB、HIMA等。现有的SIS系统有二重化、三重化和四重化冗余容错机制,针对四重化冗余容错机制设计的SIS系统都是两个CPU集成在一个模块中,四选二冗余容错事实上是双重二选一系统,不是真正意义上的四选二系统。
安全仪表系统的逻辑解算器是一种特殊的PLC,它具有独立的安全功能认证,但也有继电器逻辑或固态逻辑的运算能力。逻辑解算器从传感器读入信号,执行事先编制好的程序或事先设计好的功能,用于防止或者减轻潜在的安全隐患,然后通过发送信号到执行器或最终元件采取行动,SIL3级别的安全仪表全部都是采用冗余结构设计以提高系统可靠性,典型的系统结构如下:
二选一带自诊断型安全仪表(DMR,代表厂商:西门子)
组成结构:图1表示了1oo2D的结构,1oo2D结构有两重的1oo1D系统,并联接线,并有额外的控制线路,提供了1oo2安全功能。每个子系统包括输入模块、CPU模块、输出模块和诊断回路。诊断回路作用是检测所处模块是否处于正常工作状态,如果工作不正常,则自动进行初始化或者修复操作。两个子系统之间是冗余关系,即:其中一个子系统发生故障时,另一个子系统可以独立完成安全保护操作。
1oo2D型安全仪表设计成既能容忍安全失效,又能容忍危险失效的系统。基于诊断和结合2oo2的可用性与1oo2的安全性的执行,它可以有效的进行自我重新配置。在检测到第一个关键失效时,系统会降级为1ooD模式,但不停机。这可以对系统进行在线维护,直到系统恢复成1oo2D结构
这种系统的缺点和不足:这种结构非常依赖诊断,导致系统处理器负荷较重,系统速度很慢。总体设计过分依赖于单个子系统,由于任意一个子系统发出控制信号,控制器就立即响应,导致系统非计划停车的风险较高;单个子系统设计复杂,系统响应的速度较慢而且成本高;诊断回路对模块的干预会提高系统 发生响应错误(非紧急状态,系统判断为紧急状态)和不动作(紧急状态,系统判断为非紧急状态)的概率。
三选二型安全仪表(TMR,代表厂商:TRICONEX)
组成结构:图2展示了3选2型系统的结构,系统由三个同样的CPU组成,各自独立的、非同步的运行,并且不共享他们的输入/输出数据,每个CPU连接到同样的输入和输出子系统,执行相同的应用程序,处理输入数据,然后建立新的输出数据。通过输出模块和现场表决接线,把输出数据传输至输出设备。
子系统之间是冗余关系,即:其中一个子系统发生故障时,另两个子系统可以组成一个2选1型系统(由于没有诊断回路,安全性不如1oo2D型)完成安全保护操作。输出信号采用了3选2硬件表决,即:任何两个系统输出了相同的控制信号,控制器就会响应。
这种系统的缺点和不足:单个子系统安全完整度较低;若两个子系统同时故障,整个系统将停止工作。
四重化(双重二选一型)安全仪表(QMR,代表厂商:ABB)
组成结构:图3展示了目前市场上的“四重化”系统方案的结构,也称QMR(四重模块冗余),该系统是基于双重化的输入输出结构变化而来的,四重化的含义这里是指系统包括了四个处理器(每条腿上有两个)。这种结构确保了即使系统的一条腿由于错误或替换停机,整个系统还是完整的。
除了具有系统内部自测试和自诊断能力外,QMR系统还有测试和诊断现场回路的能力,对于输入和输出,系统都具有回路监视功能,一旦回路出现短路或开路,就会生成报警,这种自动诊断和检测方法减少了系统的维护和测试费用。
这个系统的缺点和不足:系统结构仅是CPU的2oo4,I/O必须采用1oo2D才能达到高容错性。
系统方案比较:
众所周知,故障分为两大类型,即危险型故障和安全型故障。安全仪表系统作为安全控制的最重要环节,首要任务是防止危险型故障的发生,其次是防止安全型故障的发生。各种常见系统的故障概率如下表:
符合逻辑 |
非安全故障概率 |
安全故障概率 |
单通道(1/1) |
q(T) |
p(T) |
二选一(1/2) |
q2(T) |
2p(T) |
二选二(2/2) |
2q(T) |
P2(T) |
三选一(1/3) |
q3(T) |
3p(T) |
三选二(2/3) |
3q2(T) |
3P2(T) |
四选二(2/4) |
4q3(T) |
6p2(T) |
双重二选一(2×1/2) |
2q2(T) |
4p2(T) |
双重三选一(2×1/3) |
2q3(T) |
9P2(2T) |
表1常用符合逻辑故障概率一览表
其中,q(T)----单通道系统在时间T范围内危险型故障的概率
P(T)----单通道系统在时间T范围内安全型故障的概率
假如q(T)=0.001
p(T)=0.001,根据上表计算:
系统结构 |
危险型故障概率 |
安全型故障概率 |
单通道(1oo1) |
1×10-3 |
1×10-3 |
二选一(1oo2) |
1×10-6 |
2×10-3 |
二选二(2oo2) |
2×10-6 |
1×10-6 |
三选二(2oo3) |
3×10-6 |
3×10-6 |
四选二(2oo4) |
4×10-9 |
6×10-6 |
通过比较,可以得出如下结论:
单通道(1oo1)系统与二选二(2oo2)系统因为危险型概率较高,不宜采用。
三选二(2oo3)系统与二选一(1oo2)系统相比,危险型故障概率基本相当,并无大幅改善,安全型故障概率有明显改善。
四选二(2oo4)系统与三选二(2oo3)系统相比,安全型故障概率基本相当,但是危险型故障概率得到显著改善,而且是数量级的变化。
实际应用中安全仪表系统独立于基础控制系统(BPCS,DCS),并且安全级别高于基础控制系统,以降低控制功能和安全功能同时失效的概率,使安全仪表系统(SIS)不依附于过程控制系统就能独立完成自动保护联锁的安全功能(参见SHB-Z06-1999),原因如下:
1、降低控制功能和安全功能同时失效的概率,当维护生产系统故障时不会影响安全系统工作。
2、大型装置或高速旋转机械设备要求安全系统响应速度极快。否则出现紧急状况,损失惨重。由于生产系统(DCS)需要处理大量的过程监测信息,因此响应速度较慢,不足以满足安全功能要求。
3、生产系统是动态控制系统,需要人为干预,因此可能出现人为误操作。安全系统不需要人为干预,因此与生产系统独立十分必要。
安全仪表系统设计需遵循如下原则:
1、信号报警、联锁点的设置,动作设定值以及调整范围必须符合生产工艺的要求,其安全联锁控制逻辑必须预先定义在安全仪表中央控制器中;
2、独立设置原则
3、故障安全原则,系统检测元件及最终执行元件遵循非励磁停车设计;;
4、中间环节最少原则;
5、安全系统不仅单条线路可靠性高于生产过程控制系统,而且系统采用冗余设计。
6、安全相关系统的供电要求与一般仪表供电等级相同,但需要使用冗余电源,保证供电不间断。
申请人经检索,可将专利公开号为CN1894638A的专利文件为本申请最接近的背景技术。
发明内容
本发明提出一种基于现场总线和ARM处理器的冗余容错安全仪表系统,利用四选二冗余容错技术,有效防止安全仪表保护控制系统因其硬件子系统发生失效时导致整个系统发生危险失效,确保了安全仪表系统的功能安全完整等级可靠实现。
本发明的基于现场总线和ARM处理器的冗余容错安全仪表系统,系统包含4个独立的信号处理通道,每个通道包括电源模块、输入模块、中央处理模块和输出模块,各个通道互为冗余,通道之间实现完全电气隔离;4通道的中央处理单元各自独立的、非同步的运行,互不共享各自的输入/输出数据,配置同样的输入和输出子系统,执行相同的应用程序,处理输入数据,然后建立新的输出数据;通过输出表决模块执行4通道对应输出信号的四选二冗余容错表决,表决结果控制最终执行机构;
输入接口模块将现场传感器输入的开关量或模拟量信号变送为4路信号,分别送入4个处理通道的输入模块中;4通道的中央处理模块运行预先定义的安全连锁保护逻辑,并进行逻辑解算,判断现场设备工作状态是否安全,运算完成后,通过本地或远程CAN总线通讯输出端口刷新输出模块输出;4个输出模块对应的输出信号同时送入到输出表决模块的硬件冗余容错表决单元,该表决单元完全由硬件执行完全四选二冗余容错表决。
进一步的,根据实际控制领域工艺要求,针对关键连锁保护节点,支持同一节点传感器冗余配置,包括二选一、三选二、四选二冗余配置;通过安全仪表输入接口模块将每个冗余配置的传感器信号变送为4路信号,分别送入4个信号处理通道输入模块中,由各通道中央处理模块用软件执行输入信号的冗余容错表决,表决结果作为该节点的输入信号参与安全联锁逻辑运算。
进一步的,输出表决模块完全由硬件完成四选二表决:
安全仪表系统输入、输出及最终执行元件按照非励磁停车设计,即系统正常时应是励磁的,输出继电器吸合;在系统不正常时是非励磁的,需要执行安全功能,输出继电器断开;表决电路分四个表决分支,每个分支由三个信号处理通道的输出控制触点串联;系统正常时,四个信号处理通道的输出触点全部闭合,从而表决电路4个分支全部导通,表决电路输出继电器线圈得电,系统不输出安全联锁控制信号;当现场生产设备出现故障时,只要任意两个信号处理通道正确执行安全仪表逻辑功能就会将对应输出触点断开,从而使得输出表决电路4个表决分支全部断开,安全仪表系统输出停车信号或执行预先设定好的连锁控制逻辑;
当安全仪表通道自身发生故障时:当任意一个通道发生危险失效时,该通道触点无法断开,系统降级为三选二结构;当任意一个通道发生安全失效时,该通道触点无法吸合,系统降级为三选一结构;当任意二个通道发生危险失效时,通道触点无法断开,系统降级为二选二结构;当任意二个通道发生安全失效时,通道触点无法吸合,系统执行四选二表决功能,安全仪表发生安全失效;
当某一个通道的模块发生失效时,无论是安全失效还是危险失效,都允许安全仪表系统继续安全工作,在不停电的情况下,在线更换备件,将系统恢复为四选二结构,然后离线修理故障模块。
进一步的,中央处理模块采用ARM结构处理器芯片设计的4通道完全独立的中央处理模块,通过本地和远程CAN总线接口实现对现场信号采集和控制信号输出,每个CPU都同时运行针对同一用户梯形图程序按照Borland C++ builder和Visual C++两种编译方式编译生成的两组代码,并对运算结果执行严格逻辑比较验证,同时设计了广泛的故障诊断功能,确保系统的安全仪表保护控制逻辑可靠实现;
中央处理模块的主CPU通过双口RAM和CAN总线收发器交换数据,采用专用的变压器隔离的CAN总线收发器设计CAN信号物理介质传输通道,按照IEC61784-3标准要求设计通讯模块嵌入式软件,同时设计CRC校验等鉴别码,确保数据交换可靠实现。
本发明的有益效果为:本发明通过对系统电源、输入模块、CPU、输出模块的冗余容错配置,4个核心处理器通过CAN总线与各自对应I/O模块通讯进行现场信号采集和控制命令输出,4通道的输出信号在输出表决模块上进行硬件2oo4冗余容错表决,从而避免单通道硬件失效引起系统误停车,确保了冗余容错安全仪表系统的功能安全等级达到SIL3级别,并可对受保护的现场设备的危险状态进行及时。
附图说明
图1 二选一型安全仪表构成图;
图2 三选二型安全仪表构成图;
图3 双重二选一型安全仪表构成图;
图4 四选二型安全仪表构成图;
图5 安全仪表系统总体结构框图;
图6 安全仪表系统硬件连线图;
图7 24V直流电源冗余模块构成图;
图8 开关量输入接口模块构成图;
图9 模拟量输入接口模块构成图;
图10 数字量输入模块构成图;
图11 模拟量输入模块构成图;
图12 中央处理模块构成图;
图13 安全仪表系统表决模块构成图;
图14 典型的安全仪表联锁保护系统;
图15 安全仪表系统某一通道发生危险失效时降为2oo3结构;
图16 安全仪表系统某一通道发生安全失效时降为1oo3结构;
图17 安全仪表系统任意两通道发生危险失效时降为2oo2结构。
具体实施方式
安全仪表装置包含4个独立的信号处理通道,每个通道包括输入模块、中央处理模块和输出模块,各个通道互为冗余,通道之间实现完全电气隔离;4通道的中央处理单元各自独立的、非同步的运行,互不共享各自的输入/输出数据,配置同样的输入和输出子系统,执行相同的应用程序,处理输入数据,然后建立新的输出数据;通过输出表决模块执行4通道对应输出信号的四选二冗余容错表决,表决结果控制最终执行机构;
由安全仪表装置、通用工业计算机(作为工程师站和操作站)及相应的机柜、按钮、接线端子、人机界面等可方便构成各种安全仪表联锁保护控制工程(如图14所示)。
对于本发明的安全仪表装置,系统总体结构及工作流程:
输入接口模块将现场传感器输入的开关量或模拟量信号变送为4路信号,分别送入4个处理通道的输入模块中;输入模块完成现场传感器信号数据采集和处理后,通过CAN总线送入对应通道的中央处理模块;4通道的中央处理模块运行预先定义的安全连锁保护逻辑,并进行逻辑解算,判断现场设备工作状态是否安全,运算完成后,通过本地或远程CAN总线通讯输出端口刷新输出模块输出;4个输出模块对应的输出信号同时送入到输出表决模块的硬件冗余容错表决单元,该表决单元完全由硬件执行完全四选二冗余容错表决。4选2的表决电路的输出作为安全仪表系统的最终输出信号,控制现场的执行机构动作。
根据实际控制领域工艺要求,针对关键连锁保护节点,支持同一节点传感器冗余配置,包括二选一、三选二、四选二冗余配置;通过安全仪表输入接口模块将每个冗余配置的传感器信号变送为4路信号,分别送入4个信号处理通道输入模块中,由各通道中央处理模块用软件执行输入信号的冗余容错表决,表决结果作为该节点的输入信号参与安全联锁逻辑运算。
中央处理模块和输入模块、输出模块通过工业现场总线(CAN)进行数据交换和控制命令输出,中央处理模块的主CPU通过双口RAM和CAN总线收发器交换数据,采用专用的变压器隔离的CAN总线收发器设计CAN信号物理介质传输通道,按照IEC61784-3标准要求设计通讯模块嵌入式软件,同时设计CRC校验等鉴别码,确保数据交换可靠实现。设置远程CAN通讯口,系统可方便组态成为分布式SIL3等级安全仪表系统。
电源模块:
系统电源模块输入采用从UPS引出的两路独立的交流220V供电,输出为安全仪表的低压直流供电,电源模块分5V和24V直流供电单元,实际选择UPS时需综合考虑整体系统和外部设备的负载需求,需保证有至少20%的余量以备系统扩展需求。
对于24V直流供电,主要用于系统输入/输出接口模块的继电器供电,采用二选一冗余配置;对于4通道中央处理模块,每个通道设置一个独立的5V直流供电模块,通过4通道间的冗余配置确保系统的可靠供电。图7所示为系统24V冗余电源模块结构图。
输入接口模块:
输入接口模块包括开关量输入接口模块和模拟量输入接口模块两种。
开关量输入接口模块要求输入为继电器干节点信号,接口模块上设计了6个DB37的标准接头,可以将32路继电器干节点输入信号变送为4路开关量信号通过连接电缆,分别输送到4个输入模块中,继电器干节点可以控制输入模块检测电路中光藕的发光端通断,从而实现电气隔离和继电器触点状态采集。
模拟量接口输入模块将外部变送器输入的4-20mA电流信号通过精密采样电阻和滤波、保护电路转换为直流电压信号,然后通过连接电缆送到输入模块上进行隔离A/D转换。
输入模块:
输入模块包括数字量输入模块和模拟量输入模块两种。
数字量输入模块通过光电隔离技术,对开关量输入接口模块输入的开关量信号进行光电隔离和数据采集并通过CAN总线发送给中央处理模块,同时执行输入通道周期故障诊断测试工作。
模拟量输入模块利用16bit分辨率隔离式A/D转换芯片对模拟量输入接口模块输入的直流电压信号进行A/D转换并通过CAN总线发送给中央处理模块,同时执行模拟量输入通道周期故障诊断测试工作。
以上两种基于ARM处理器设计的输入模块完成现场信号采集处理,其特征在于:单一传感器的模拟量或数字量输入信号通过对应的输入端子板变送为4路信号同时送入4通道中央处理模块对应的输入模块,同时参与安全仪表保护逻辑运算;对于关键保护信号节点可设置多传感器组成二选一、三选二、四选二等冗余配置,每个传感器信号同样通过输入端子板变送为4路信号同时送入4通道中央处理模块对应的输入模块,由每个通道的中央处理模块执行软件冗余容错表决后参与安全仪表保护逻辑运算,确保现场信号可靠输入。
输入模块上设计输入通道元器件在线故障诊断诊断功能,执行周期在线故障诊断,发生故障时可通知中央处理器并可执行在线维修更换,确保输入模块长期不间断可靠工作;对于现场信号,输入模块可配置 SOE(事件顺序记录)功能,以ms级的分辨率准确分辨记录各事件信号状态变化的先后次序,记录信息掉电不丢失,当被控系统发生故障停车时可作为分析事故的记录手段。
中央处理模块:
基于ARM处理器的中央处理模块上设计了本地/远程CAN输入/输出通讯接口、100M工业以太网接口、RS232接口及大容量的SRAM和FLASH存储单元,固件内烧录嵌入式控制软件,用户可通过串口完成(工程师站计算机)利用梯形图设计生成的安全联锁控制逻辑程序下装、人机交互通讯(操作员站计算机)、第三方设备通讯(DCS)等任务;中央处理单元通过本地/远程CAN输入接口周期读取输入模块的现场信号输入信息和故障诊断信息,然后执行用户安全联锁逻辑程序计算,并刷新输出结果,通过本地/远程CAN输出接口将控制输出发送至输出模块上执行实际物理信号输出。
中央处理模块通过本地和远程CAN总线接口实现对现场信号采集和控制信号输出,每个CPU都同时运行针对同一用户梯形图程序按照Borland C++ builder和Visual C++两种编译方式编译生成的两组代码,并对运算结果执行严格逻辑比较验证,同时设计了广泛的故障诊断功能,确保系统的安全仪表保护控制逻辑可靠实现;CPU模块接收输入模块通过CAN总线发出的输入信号,输入通讯端口将信号存入与输入端口连接的双口RAM中。主控制CPU从双口RAM中获取数据,利用交叉通讯端口与其它CPU模块交换数据并进行4取2表决(当有两个以上输入模块发出的输入信号为报警信号时,4个CPU模块同时判定当前状态为危险状态)。主控制CPU模块根据表决结果完成用户所需要的保护逻辑运算,将输出信号数据存入与输出通讯端口连接的双口RAM中,输出通讯端口将控制信号通过CAN总线发送给输出模块。
中央处理模块的主CPU通过双口RAM和CAN总线收发器交换数据,采用专用的变压器隔离的CAN总线收发器设计CAN信号物理介质传输通道,按照IEC61784-3标准要求设计通讯模块嵌入式软件,同时设计CRC校验等鉴别码,确保数据交换可靠实现。
输出模块:
通过CAN通讯接口接收中央处理模块的输出控制命令安全仪表系统不设置模拟量输出模块。
采用专用的变压器隔离的CAN总线收发器设计CAN信号物理介质传输通道,按照IEC61784-3标准要求设计通讯模块嵌入式软件,同时设计CRC校验等鉴别码,确保数据交换可靠实现;与中央处理模块上的本地或远程CAN通讯接口连接,响应对应的单通道中央处理器模块的控制输出命令并将开关量输出信号进行光电隔离后通过连接电缆输出至输出表决模块,同时设计输出通道故障在线监测;
输出表决模块:
安全仪表系统输入、输出及最终执行元件按照非励磁停车设计,即系统正常时应是励磁的,输出继电器吸合;在系统不正常时是非励磁的,需要执行安全功能,输出继电器断开;表决电路分四个表决分支,每个分支由三个信号处理通道的输出控制触点串联;系统正常时,四个信号处理通道的输出触点全部闭合,从而表决电路4个分支全部导通,表决电路输出继电器线圈得电,系统不输出安全联锁控制信号;当现场生产设备出现故障时,只要任意两个信号处理通道正确执行安全仪表逻辑功能就会将对应输出触点断开,从而使得输出表决电路4个表决分支全部断开,安全仪表系统输出停车信号或执行预先设定好的连锁控制逻辑;
令系统输出为Y,Y=1表示输出继电器吸合,Y=0表示输出继电器断开。采用非励磁停车设计模式,即无故障时Y=1,输出继电器吸合,发生故障,需要执行安全功能时,Y=0,继电器断开。用于表决的4个通道分别用A、B、C、D表示,同样为非励磁停车设计模式,系统正常时,ABCD=1。如图13所示硬件表决电路,系统输出的逻辑表达式为:
Y=ABC+ABD+ACD+BCD
当现场生产设备出现故障时,只要有任意两个通道执行正确的安全仪表逻辑,这两个通道的输出触点就会断开,即A、B、C、D只要有两个等于0,输出Y=0,从而使得安全仪表系统输出停车信号或预先设定好的联锁控制逻辑(一系列有顺序的安全联锁动作)。
当任意一个通道发生危险失效时,该通道触点无法断开,假定是D通道,此时D恒为1,则安全仪表输出逻辑表达式变为:Y=AB+AC+BC,系统降级为三选二(2oo3)结构,如图15所示。
当任意一个通道发生安全失效时,该通道触点无法吸合,假定D恒等于0,则HT800系统的逻辑表达式变为:Y=ABC,系统降级为三选一(1oo3)结构,如图16所示。
当任意二个通道发生危险失效时,通道触点无法断开,假定是B、D通道,此时B、D恒为1,则HT800系统的逻辑表达式变为:Y=A+C,系统降级为二选二(2oo2)结构,如图17所示。
当任意二个通道发生安全失效时,通道触点无法吸合,系统执行四选二表决功能,安全仪表发生安全失效;
如果任意3个通道同时发生失效,则安全仪表发生危险失效。
综上所述,当安全仪表系统某一个通道的模块发生失效时,无论是安全失效还是危险失效,都允许安全仪表系统继续安全工作,在不停电的情况下,在线更换备件,将系统恢复为四选二结构,然后离线修理故障模块。
与硬件相反,软件永远不会降级。因此,当使用软件检测硬件时,总是在误动作发生之前就可以发现硬件故障,本发明在具体实施中设计了广泛的故障诊断功能,使得系统具有处理多失效的能力,只要失效不是来自系统的同一部分,它可以具有在多个失效产生时,不丢失任何安全功能的能力。
根据本发明的基于现场总线和ARM处理器的冗余容错安全仪表系统,通过使用完全的四选二冗余容错配置系统输入模块、中央处理模块、输出模块、电源模块等,很大程度上降低了安全仪表系统的危险失效率和安全失效率,提高了安全仪表系统的可靠性;采用基于现场总线和ARM处理器设计的系统,降低了系统硬件成本,并可灵活的组态成为不同应用领域和应用规模的安全仪表保护控制系统,可以在石油化工等诸多领域中广泛推广应用。