本标准主要起草单位：国网电力科学研究院、南京胜太迪玛斯电力系统有限公司、国电南瑞科技股份有限公司、国网江苏省电力公司电力科学研究院、广东电网公司电力科学研究院、国家电网公司华东分部、中国南方电网有限责任公司系统运行部（电力调度控制中心）、江苏瑞中数据股份有限公司、中国电力科学研究院、国网浙江省电力公司、许昌许继软件技术有限公司、南瑞继保电气有限公司、积成电子股份有限公司、东方电子股份有限公司、国网吉林省电力有限公司、国网江苏省电力公司、国网江苏省电力公司南京供电公司。

本标准主要起草人：周斌、毛耀红、张海滨、梅德冬、沈健、袁宇波、陈炯聪、潘永伟、张喜铭、何卫、陆天健、施玉祥、杜奇伟、廖泽友、笃峻、袁文广、唐永健、高磊、禤文健、王海峰、梁锋、张敏、彭奇、彭彬、李玉发、沈富宝、廖英祺。

本标准在执行过程中的意见或建议反馈至中国电力联合会标准化中心（北京市白广路二条一号，100761）。

变电站监控系统防止电气误操作技术规范

1 范围

本标准规定了变电站监控系统实现防止电气误操作功能的技术要求、防误规则的描述方法及规则文件的语法语义。

本标准适用于110kV(66kV)及以上电压等级的变电站监控系统防止电气误操作功能的设计、试验和验收，35kV及以下电压等级变电站可参照执行。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版（包括所有的修改单）适用于本文件。

GB/T 5465.2 电气设备用图形符号第2部分：图形符号

GB/T 24833 1000KV变电站监控系统技术规范

GB 26860 电力安全工作规程发电厂和变电站电气部分

DL/T 667 远动设备及系统第5部分：传输规约第103篇：继电保护设备信息接口配套标准

DL/T 687 微机型防止电气误操作系统通用技术条件

DL/T 860 变电站通信网络和系统

能源安保[1990]1110号文防止电气误操作装置管理规定

3 术语和定义

GB/T 24833、DL/T 687、DL/T 860界定的以及下列术语和定义适用于本文件。

3.1 变电站监控系统防止电气误操作preventing electric mal-operation in substation monitoring and control system

应用变电站监控系统的设备和网络，实时采集和共享信息，按站控层、间隔层、设备层设置防误闭锁逻辑、操作检验规则等，进行闭锁逻辑判断和输出，实现防止电气误操作。简称监控防误。

3.2 防误闭锁接点 preventing electric mal-operation contact

间隔层测控装置或过程层智能设备输出的控制接点，该接点串联接入被控设备的控制回路中，对设备的控制操作进行防误闭锁，其分/合状态由监控系统或测控装置控制。

3.3 智能终端 smart terminal

一种智能变电站过程层智能电子设备，实现断路器、隔离开关、主变本体等设备的状态量、非电量信号采集，执行对断路器、隔离开关、主变本体等设备的控制操作。

3.4 机械防误闭锁 mechanical mal-operation blocking

利用电气设备的机械联动部件对相应电气设备操作构成的闭锁。一般用于电气设备间隔内部的防误闭锁。

3.5 电气防误闭锁 electric mal-operation blocking

将断路器、隔离开关、接地开关等设备的辅助接点接入电气操作电源回路构成的闭锁。

3.6 顺序控制 sequence control

一种顺序完成一系列控制指令的处理方式，即按照一定时序及闭锁逻辑，自动逐条发出控制指令、逐条确认指令被正确执行，直至完成全部指令的控制过程。

4 缩略语

ACSI abstract communication service interface抽象通信服务接口

FCD functionally constrained data功能约束数据

FCDA functionally constrained data attribute功能约束数据属性

GOOSE generic object oriented substation events通用面向对象的变电站事件

5 总体要求

实现防误功能的变电站监控系统应满足如下要求：

a) 满足GB 26860和能源安保[1990]1110号文的要求；

b) 具有防止误分、误合断路器，防止带负荷分、合隔离开关或手车触头，防止带接地线（接地开关）送电，防止带电合接地开关（接地线），防止误入带电间隔的功能；

c) 站内顺序控制、设备的遥控操作、就地电动操作、就地手动操作均具有防误闭锁功能；

d) 具有完善的全站防误闭锁功能，除判别本间隔的闭锁条件外，还必须对跨间隔的相关闭锁条件进行判别；

e) 参与防误判别的断路器、隔离开关及接地开关等一次设备位置信号宜采用常开、常闭双位置接入校验；

f) 监控主机、测控装置等设备中的防误规则应一致，宜实现防误规则的全站统一配置，防误规则描述采用标准化格式；

g) 变电站监控系统防误的设计应不影响变电站监控系统、继电保护、自动装置、通信等系统和设备的正常功能、相关电气设备正常操作和运行，在允许的正常操作、使用条件或振动条件下不影响其保证的机械、电气和信息处理性能。

6 功能要求

6.1 功能架构

实现防误功能的变电站监控系统功能架构应满足如下要求：

a) 变电站监控系统防误由站控层防误、间隔层防误和设备层防误三层防误闭锁功能组成，为变电站操作提供多级的、综合的防误闭锁；

b) 站控层防误应由监控主机和/或数据通信网关机实现，面向全变电站进行全站性和全面性的防误操作控制；

c) 站控层防误将变电站防误操作的相关功能模块嵌入到站控层计算机监控系统中，防误范围包括了全站的断路器、隔离开关、接地开关、网门和接地线等主要一次设备；

d) 站控层防误具备完善的人机操作界面，以监控系统图形与实时数据库为基础，利用内嵌的防误功能模块，对一次设备操作进行可靠的防误闭锁检查、预演和操作票顺序执行；

e) 间隔层防误应由间隔层测控装置或其他控制设备实现，测控装置存储本间隔被控设备的防误闭锁逻辑，采集设备状态信号、动作信号等状态量信号，采集电压、电流等电气量信号，通过网络向系统其他设备发送，同时通过网络接收其它间隔测控装置发来的相关间隔的信号，进行被控设备的防误闭锁逻辑判断；

f) 测控装置防误闭锁逻辑包含本间隔的闭锁条件和跨间隔的相关闭锁条件，根据判断结果对设备的控制操作进行防误闭锁；

g) 测控装置能够输出防误闭锁接点，闭锁设备的遥控和手动操作；

h) 变电站测控装置通过通信方式控制过程层设备进行出口控制时，防误闭锁接点由过程层智能设备提供，测控装置通过GOOSE报文控制防误闭锁接点的输出。

i) 设备层防误应由设备的单元电气防误闭锁、机械防误闭锁、以及智能终端、防误锁具等实现；

j) 设备的单元电气闭锁或机械闭锁主要实现间隔内设备操作的防误闭锁，变电站手动操作设备、网门、临时接地线等设备的闭锁可由防误锁具、开关等实现。

k) 站控层闭锁、间隔层闭锁和设备层单元电气闭锁或机械闭锁应互相独立，站控层闭锁失效时不影响间隔层闭锁，站控层和间隔层闭锁均失效时不影响设备层间隔内单元电气闭锁或机械闭锁。

6.2站控层防误

6.2.1 一般要求

变电站站控层设备采集间隔层设备上送的信息，实现防止电气误操作的一般要求如下：

a）变电站当地监控后台操作的防误由监控主机实现，站控层操作的控制命令应经过防误逻辑检查后方能将控制命令发至间隔层，如操作错误，监控主机应闭锁该项操作并报警，输出提示信息；

b）监控主机应能实时显示测控装置的防误闭锁接点的输出状态，若状态异常或无法正常控制，系统应及时告警提示；

c）图形符号应符合GB/T 5465.2的规定；

d）日常维护操作应记录维护用户名及具体时间；

e）正确模拟、生成、执行和管理操作票，变电站监控系统的操作票应全站统一配置，并支持标准化格式的输出；

f）误操作应闭锁并报警，报警应明确提示闭锁的对象和未满足的防误规则；

g）监控主机应具备独立的防误权限管理功能，操作权限应可根据运行需求灵活配置，防误功能退出、操作票编辑、防误规则编辑等功能应设置独立的权限；

h）监控主机防误功能禁止全站退出，需退出时仅能按间隔或装置设置，并设置权限管理，已退出闭锁间隔在人机界面上应有明显标识。

6.2.2 防误规则要求

防误规则要求如下：

a）监控主机应对全站采集的一次设备状态、二次设备状态、保护事件、保护投退、就地/远方切换、装置异常及自检信号等开关量和电气量测量进行可靠的逻辑判别，并能跨间隔进行闭锁条件判别，实现变电站站级操作防误。以实时采集的遥信作为防误规则闭锁条件时，应能正确判断双位置遥信。在信号不能有效获取（如装置通信中断等）、信号具有无效品质、信号处于不确定状态（包括置检修态）时，应判定校验不通过，禁止操作并告警；

b）防误规则宜由监控系统根据通用规则或网络拓扑自动生成，应支持导入和导出规则文本，方便核对并能修改；

c）宜支持将站控层防误规则直接下装到测控装置中作为间隔层防误规则，并具备从测控装置召唤防误规则与站控层防误规则进行自动校核的功能。

6.2.3 操作票生成

操作票生成功能满足以下要求：

a）应能根据现场运行需求增加或删除各种一次设备操作、二次设备操作以及提示性操作的操作步骤；

b）应支持方便的生成接地桩、网门、控制电源空气开关、二次设备软压板等各种操作步骤；

c）应能设置开票时是否自动对“合/分”操作进行“检合/检分”操作；

d）应支持对防误功能数据预置，以满足操作票生成的防误闭锁条件。

6.2.4 操作票预演及执行

操作票预演和执行功能满足以下要求：

a）操作票转为可执行操作票前必须进行预演，应支持手动预演和自动预演两种方式；

b）预演界面与正式操作界面应有明显的视觉区分；

c）操作票预演时应具备防误规则校验功能，如未通过校验，则停止预演并告警操作对象的所有防误闭锁逻辑条件（包括符合与不符合的条件）；

d）监控主机应根据操作票执行步骤依次开放每步电气操作，操作正确后自动闭锁该设备，并自动开放符合操作条件的下步操作；

e）操作票执行过程中如果发生保护动作、非当前操作对象的状态改变等情况，造成不满足操作要求时，监控主机应实时闭锁，自动中止余下未操作步骤并告警；

f）操作票执行中止后，开放的电气操作应能及时闭锁。

6.2.5 操作票管理

操作票管理功能满足以下要求：

a）操作票应能按预开、作废、已执行等分类保存及显示；

b）操作票应具备打印功能，标题、单位标志、操作内容等应能灵活设置，符合现场运行要求；

c）操作票查询应支持按条件显示已归档操作票和模板票的任务列表和内容；

d）操作票统计表应包括操作票日报表、月报表、季度报表、年报表等常用表格，并能根据时间、人员、操作对象等指定条件定制。

6.2.6 运行记录

运行记录功能满足如下要求：

a）应能记录站控层防误功能启动、运行、退出时间；

b）应能记录用户操作情况，如用户开票、预演、执行、维护等操作记录；

c）应能记录操作票执行每步操作具体时间；

d）日常维护操作应记录维护用户名及具体时间。

6.3间隔层防误

6.3.1一般要求

间隔层防误应由间隔层测控装置或其他控制设备实现，测控装置应实现本间隔闭锁和跨间隔联闭锁，一般要求如下：

a）测控装置应存储防误闭锁逻辑规则，该规则并和站控层防误闭锁逻辑规则一致；

b）测控装置应能够采集与本间隔防误闭锁功能相关的设备状态信号、动作信号等状态量信号以及电气测量值，或通过站控层网络或硬接线接收其它设备发出的防误闭锁条件信号，综合参与防误闭锁逻辑判断；

c）测控装置应能够向站控层网络发送本装置采集的信号，用于其他设备的防误闭锁功能；

d）正常工作状态下，测控装置进行的所有操作应满足防误闭锁条件，并显示和上送防误判断结果；

e）当相关间隔的信息不能有效获取（如由于网络中断等原因）、信号具有无效品质、信号处于不确定状态（包括置检修状态）时，应判断校验不通过。

6.3.2 防误闭锁接点输出

测控装置应具备输出防误闭锁接点功能，串接于一次设备的遥控和手动操作回路，闭锁遥控和手动操作。防误闭锁接点作用参见附录A。测控装置通过网络方式和过程层设备进行信息交换时，防误闭锁接点位于过程层智能设备，如智能终端。测控装置应能够通过GOOSE报文控制位于过程层的防误闭锁接点。

测控装置防误闭锁接点输出功能应满足如下要求：

a) 测控装置应支持防误接点的自动输出和触发输出模式，并支持两种模式的切换；

b) 在自动输出模式下，测控装置应自动进行对象的防误逻辑判断，当条件允许时，合上防误闭锁接点，当条件不满足时，应断开防误闭锁接点；

c) 在触发输出模式下，测控装置接收站控层设备对防误闭锁接点的控制闭合命令后，应根据该对象的防误逻辑决定是否闭合该接点。此后，对该对象持续进行防误逻辑判断，当条件不满足时，断开该接点。或者，接收站控层设备对接点的控制断开命令后，断开该接点。闭锁接点闭合一定时间后，测控装置应自动将此接点断开；

d) 装置异常或失电时，闭锁接点应处于断开状态。

6.3.3 防误解锁切换开关

测控屏柜宜提供解除防误闭锁判断的切换开关，防误解锁切换开关应有钥匙控制。

6.3.4 防误状态上送

测控装置应能够将各控制对象的防误逻辑状态和防误接点的状态上送给站控层设备。

6.3.5 防误数据置数

装置宜支持远方置数功能，被置数的数据宜具有取代的品质。被置数据可以参与防误逻辑运算，便于进行防误闭锁逻辑的校验。

6.4设备层防误

设备层防误闭锁功能应满足如下要求：

a) 隔离开关、接地开关等一次设备应配置机械防误闭锁或电气防误闭锁；

b) 当间隔层设备和过程层设备采用网络方式通信，过程层的智能设备（如智能终端）应能够输出防误闭锁接点，并能够接收间隔层设备通过GOOSE协议输出的防误闭锁控制信号，控制防误闭锁接点的分和合，并能够以GOOSE上送各控制对象的防误逻辑状态和防误闭锁接点的状态；

c) 应使用防误锁具、开关等闭锁设备闭锁变电站手动操作设备、网门、临时接地线等设备的操作，防误锁具、开关宜实现远方控制功能，监控系统通过防误闭锁接点控制防误锁具、开关等设备的操作，防误锁具、开关的位置信号宜输入至监控系统；

d) 变电站常用临时接地线的接地点，应设置专用接地装置；

e) 上述的防误锁具、专用接地装置应根据监控系统的测控装置或智能终端等设备内防误闭锁接点分、合状态实现闭锁或开锁，应输出反映锁具动作状态的辅助接点部分，应具有指示是否允许开锁操作的状态指示器和紧急开锁机构；

f) 上述的防误锁具、开关、专用接地装置的位置接点应接入对应测控装置，并参与防误闭锁逻辑判别。

7 防误规则文件

7.1 文件组成

规则文件主要由两部分组成：符号字典部分和操作规则部分。符号字典主要是将防误规则中涉及的数据进行定义，方便在规则中使用；操作规则部分则是各操作对象控制规则的排列。

7.2 数据类型和运算关系

规则运算应支持单位置遥信、双位置遥信、整数、浮点的比较运算，支持布尔（BOOL）量的与、或、非逻辑运算，以及优先级运算，应支持对数据品质的判别。

7.3 规则文件格式

7.3.1 符号字典

符号字典部分表示如下：

[token dictionary]

desc1=data1’s name

……

descN=dataN’s name

符号字典以关键字[token dictionary]开始，关键字独占一行；下面排列多个符号定义，每条符号定义占据一行，符号定义中应避免空格或制表符。

desc，数据的描述字符串，由数字和字母组成，通常由数据所属的一次设备的编号加数据属性构成；对于状态数据信息，直接用防误编号表示；对于测量数据信息，用互感器编号加通道相别表示，如BB2201Ub；对于控制数据对象，用防误编号加CTL表示，如5011CTL。对于不存在防误编号的数据，可以自由组织desc，但必须简洁明了。

data’s name，数据名称，应与监控系统数据库中数据名称保持一致。

在采用DL/T 860通讯规约的变电站内，采用数据的reference来表示数据名称，reference应采用ACSI的表示方式，包含数据的功能约束（FC），控制对象用FCD表示，位置和测量数据用FCDA表示。例如，控制对象的数据名称可表示为：CB5011CTRL/QG1CSWI1.Pos[CO]；位置信息的数据名称可表示为：CB5011CTRL/QG1CSWI1.Pos.stVal[ST]；测量信息的数据名称可表示为：CB5011MEAS/Q0MMXU1.PhV.phsA.cVal.mag.f[MX]。

在采用网络DL/T 667(IEC 60870-5-103)通讯规约的变电站内，采用间隔地址+数据类型+数据序号的方式来表示数据名称。例如，对于控制对象信息，数据名称可表示为：BAYxx.DOyy；对于遥信信息，数据名称可表示为：BAYxx.DIyy；对于遥测信息，数据名称可表示为：BAYxx.AIyy。

7.3.2 操作规则表示

操作规则部分表示如下：

[operation rules]

operateObject1’s desc{operateType}：logic expression1

……

operateObjectN’s desc{operateType}：logic expressionN

操作规则以关键字[operation rules]开始，关键字独占一行；下面排列多个操作对象的操作规则，每条规则从行的第一列开始，可以占用多行。

operateObject’s desc，操作对象描述，在符号字典中定义。

operateType，操作类型，主要为合操作、分操作类型。

logic expression，逻辑表达式，由在符号字典中定义的数据描述（desc）、常数和运算符组成。对于状态量常数值，统一采用0表示分位，1表示合位。计算结果为1表示允许，为0表示不允许。运算符定义如下：

“=”，等于，用于变量数据与常数、变量数据与变量数据间的比较

“>”，大于，用于变量数据与常数、变量数据与变量数据间的比较

“>=”，大于等于，用于变量数据与常数、变量数据与变量数据间的比较

“<”，小于，用于变量数据与常数、变量数据与变量数据间的比较

“<=”，小于等于，用于变量数据与常数、变量数据与变量数据间的比较

“&”，逻辑与，用于BOOL量之间的逻辑与运算

“|”，逻辑或，用于BOOL量之间的逻辑或运算

“！”，逻辑非，用于BOOL量的取非运算

“()”，括弧，用于表达式中的优先级运算

以上操作符皆为半角，运算符优先级见表1。

表1 运算符优先级

优先级	运算符
1	（）
2	！
3	>、>=、<、<=、
4	&
5	\|

例如，50111隔离开关的合操作规则表示如下：

50111CTL{合操作}：((501117=1)&(5011=1)&(501127=1)&(5117=1)& (5127=1))

8 DL/T 860信息接口

8.1基本要求

当测控装置支持DL/T 860标准时，为便于不同装置间共享采集信息，利于互操作，其控制接口和防误功能建模应满足8.2和8.3的要求。

8.2控制接口

开关、隔离开关等一次可控对象应采用CSWI建模。站控层设备对其进行控制时，DL/T 860.72中定义的控制类服务的Check参数的联锁(interlock)位应置1，表示控制操作需要满足防误闭锁逻辑条件。当操作的防误条件不满足时，测控装置应回复客户端错误原因为Blocked-by-interlocking的否定响应。

测控装置应判断自身“解锁/联锁”位置，当装置在解锁位置时不启动防误闭锁判断，处于联锁状态时进行防误闭锁判断。

8.3 防误功能的建模

防误功能采用CILO（联锁控制）逻辑节点建模，CILO抽象了防误操作的逻辑判别与结果输出行为。每个防误控制对象应建立一个对应CILO的实例，CILO的前缀与实例号应与控制对象CSWI保持一致。CILO的数据结构见表2，其相对于DL/T 860.74扩充了LckMod和EnaOp两个元素。

表2 CILO类结构

CILO类
数据对象名	公用数据类	说明	T	M/O/C
逻辑节点名		根据DL/T 860.72第22章，逻辑节点名称应由类名、逻辑节点前缀、逻辑节点实例标识构成。
数据对象
状态信息
EnaOpn	SPS	允许断开		M
EnaCls	SPS	允许闭合		M
LckMod	ENS	联锁模式，取值为0、1、2、3的枚举量，分别表示非监控防误、闭锁接点触发输出、闭锁接点自动输出、解锁四种方式		O
控制信息
EnaOp	SPC	允许操作，反映闭锁接点状态，可接收客户端控制		O

CILO反映防误逻辑的判断，防误规则在规则文件中描述，规则运算所涉及的数据必须在相关设备的模型文件中建模。

LckMod反映控制对象的联锁模式，可以是非监控防误、闭锁接点触发输出、闭锁接点自动输出、解锁四种方式中的一种。其中非监控防误表示测控装置不具有防误闭锁判断功能。

EnaOpn用于表示控制对象分闸操作的防误判别结果，EnaCls用于表示控制对象合闸操作的防误判别结果。

EnaOp对应于控制对象的防误接点，可以接收客户端的控制，对其控合表示解锁防误对象，对其控分表示闭锁防误对象。控合时需要启动防误功能判断，控分时无条件。

EnaOp的遥控方式为增强安全型，需要选择再执行。

EnaOp与LckMod存在关联，关系如下：

当LckMode处于闭锁接点触发输出状态时，EnaOp可控，控合解锁防误对象，控分闭锁防误对象。装置根据防误规则返回控制结果。满足条件，控制成功；不满足条件，则控制失败。

当LckMode处于闭锁接点自动输出状态时，EnaOp不可控。装置不接收防误闭锁接点遥控命令，闭锁接点状态由装置根据防误规则的实时运算结果决定。

当LckMode处于解锁状态时，EnaOp不可控，装置不接收防误接点遥控命令，自动闭合闭锁接点，装置处于解锁状态。

当LckMod处于非监控防误状态，EnaOp不可控，装置不具有防误闭锁接点。

CSWI和CILO在控制操作中的作用如图1：

图1 CSWI和CILO在控制操作中的作用示意图

附录 A

（资料性附录）

防误闭锁接点的作用

防误闭锁接点一般由变电站间隔层测控装置输出，串接于一次设备的遥控和手动操作回路，闭锁遥控和手动操作。智能变电站中，防误闭锁接点可以由位于过程层的智能终端输出。防误闭锁接点不能串接于继电保护出口动作回路，不能影响继电保护设备的动作。图A.1是防误闭锁接点应用于可遥控断路器/隔离开关操作回路的原理示意图。

图A.1 防误闭锁接点应用于可遥控断路器/隔离开关电气控制回路示意图

————————

【关闭】