李保福

(珠海优特电力科技股份有限公司，广东 珠海 519000)

后备防误操作系统的设计与应用

李保福

(珠海优特电力科技股份有限公司，广东 珠海 519000)

分析了变电站现有微机防误操作系统的组成及其在实际运行中存在的安全隐患，并针对性地提出了一种后备防误操作系统的设计方法和解决方案，并将其应用于实际，有效保障了防误操作系统的可靠性。

防误操作系统；闭锁锁具；电脑钥匙；移动操作终端

0 引言

随着国民经济的飞速发展，电力需求越来越大，电力安全也越来越重要。电气误操作事故轻则导致设备损坏，重则引起大面积停电、人身伤亡等恶性事故，从而带来巨大的经济损失和恶劣影响，而微机防误操作系统(下称“防误系统”)在防止电气误操作，保证电力生产、运行安全稳定方面，起着非常重要的作用，并且已在电力行业获得了广泛的应用，是防止电气误操作的重要设备。目前，国内各大电力企业都规定要严格按照防误系统的规程进行电气倒闸操作，对“解锁”操作有着非常严格的规定，有些企业甚至提出在操作中实现“零解锁”的要求，这就对防误系统的可靠性提出了极为苛刻的要求。

当前电力企业，防误系统主机的主要运行模式为在1台商用电脑上运行防误软件，采用24 h不间断运行的方式。虽然整个系统在设计时采取了很多增强安全和提高可靠性的措施，但仍然不能保证不出现因故障导致系统瘫痪而无法恢复的情况，此时如有操作任务需要执行，就会出现操作人员不得不去“解锁”而进行倒闸操作的情况，从而带来重大的安全隐患。因此，现设计一套备用防误操作系统，以防止此种情况的发生，进而提高防误系统的安全性，保证电力系统安全运行。

1 现有防误系统的组成及原理

现有防误系统主要由防误主机、网路控制器、分布式控制器、传输适配器、几把电脑钥匙及各种闭锁锁具组成，如图1虚线框内所示。防误主机一般由商用电脑及运行其上的防误闭锁软件构成，并通过通信线路和监控系统进行通信，系统内一次设备的状态由防误主机记忆或者与监控系统进行通信获取。网络控制器负责对整个系统中的分布式控制器进行管理，包括对其进行地址分配、运行控制等。分布式控制器负责对各种在线锁具进行控制及状态采集。传输适配器在系统中有2个作用：

(1) 防误主机通过传输适配器和电脑钥匙交换信息;

(2) 给电脑钥匙充电。电脑钥匙负责对系统内各种闭锁锁具进行正确解锁，以保证操作人员进行正确的倒闸操作。各种在线和离线闭锁锁具安装在一次设备的操作回路或操作机构上，用于防止操作人员误操作设备，且每把锁具都有唯一的编码，用于系统对锁具所闭锁设备的识别。

图1 防误系统组成

防误系统的原理：防误主机上有一次设备的接线图。当操作人员进行倒闸操作时，首先依据操作票的操作顺序，在防误主机上进行逐步模拟操作。如果操作有错误，模拟就不能通过；只有操作正确无误时，模拟操作才能通过，进而形成正确的“操作票”。然后主机把“操作票”通过传输适配器传输给电脑钥匙，操作人员拿着电脑钥匙去现场进行解锁操作。操作人员必须用电脑钥匙解锁相应设备上的闭锁锁具，才能进行实际操作。主机传输给电脑钥匙内的“操作票”是严格按照操作顺序操作的，只有操作人员把电脑钥匙插入正确的闭锁锁具，电脑钥匙才允许解锁；然后操作人员才能对设备进行实际操作。如果操作人员把电脑钥匙插入错误的闭锁锁具，电脑钥匙就会提示错误，并拒绝解锁，进而防止了电气误操作。

2 后备防误操作系统的设计

在现有防误操作系统中，一旦防误主机出现故障，就会导致系统瘫痪，这在实际运行中存在安全风险，因此设计了后备防误操作系统。该系统最重要的2个装置是后备防误主机和移动操作终端。

图2为后备防误主机设计，其核心采用标准PC104主板，外扩一些必要的功能模块组成。其中对于从PC104引出的COM1，COM2和 LAN2口都进行了必要的电气隔离，以增强抗干扰能力；辅助管理CPU模块为以一片工业级单片机为核心的嵌入式控制板，它和PC104通过嵌入式USB连接交互信息，用于完成系统内的一些辅助控制及管理功能。

图2 后备防误主机设计

图2中的信道切换模块可以在辅助管理CPU模块的控制下，在LANA0与LANA1，LANA之间，COMA0与COMA1，COMA之间相互切换。系统中的SSD用于存放程序和数据。AC/DC模块负责把外部引入的220 V AC电源转换成系统内所用的各种电源。输入输出模块负责一些简单的开关输入及几个指示灯的输出管理。电脑钥匙和移动操作终端充电组件可以给2个电脑钥匙、2个移动操作终端同时充电和传输信息。

移动操作终端是一款采用了高性能工业级32位CPU处理器和触摸显示屏，并可解锁各种防误闭锁锁具的专用PDA，它通过后备防误主机上的充电传输座和后备防误主机交互信息，在紧急情况下还可进行操作票模拟，形成“操作票”，代替电脑钥匙。

3 后备防误操作系统的原理及应用

后备防误操作系统的组成如图3所示，它和原防误系统的主要区别在于：用后备防误主机替代了原系统中的传输适配器，并增加了一个移动操作终端；由原系统中防误主机和监控系统、网络控制器之间通过通信电缆直接连接改为防误主机必须先连接到后备防误主机相应端口上，然后再从后备防误主机连接到监控系统、网络控制器上(见图3中虚线部分)。采用这种和原防误操作系统最大化兼容的设计方式，一方面考虑可用于没有安装过防误系统的新站采用；另一方面可以非常方便地改造现有防误系统，从而节省投资。

图3 后备防误操作系统的组成

后备防误操作系统的应用原理：防误系统在正常运行模式下，防误主机通过通信电缆经LANA1，COM1口进入后备防误主机，从LANA0，COM1口引出分别连接至监控系统、网路控制器，建立起通信链路并交互信息。同时防误主机和在原防误系统中一样经COM1口连接至后备防误主机，进行操作票的传输和与后备防误主机的信息交互。

后备防误主机程序执行流程如图4所示，在正常情况下，防误主机将最新保存的一次设备状态信息“告知”后备防误主机，以便保证后备防误主机内是最新的一次设备状态信息。另外，为了让后备防误主机“知道”防误主机的运行“健康”状态，将防误主机设计成每隔一定时间间隔主动给后备防误主机发“心跳”报文，后备防误主机据此来判定防误主机工作是否正常。

如果在规定时间内，后备防误主机没有收到“心跳”报文，就会主动“问询”防误主机。如果回答正常，并“回复”了心跳报文，后备防误主机则不进行任何操作，此时，后备防误主机在系统中仅起传输适配器的作用。如果后备防误主机仍然没有收到防误主机的“回复”或者收到了“告知”防误主机遇到了不可恢复的严重故障，后备防误主机立即进入备用运行模式，并发出声光警示告知运行人员。此时，应尽快组织人员抢修防误主机内出现的故障，以免主机长时间停止运行，增大系统安全稳定运行风险。

后备防误主机进入备用运行模式后，首先切换通信信道，担负起防误主机的角色，并接管网路控制器并与监控系统建立起通讯联系。如果此时防误主机已经有传输到电脑钥匙内的操作票，操作人员可以继续拿着电脑钥匙完成相关的操作。操作完毕后电脑钥匙也可以回传，只不过此时不是回传给防误主机，而是回传给了后备防误主机。如果此时需要模拟预演倒闸操作，后备防误操作系统提供了一种手段：此时移动操作终端作为后备防误主机的一个“无线”显示和输入终端，两者之间通过蓝牙进行连接，移动操作终端的显示屏上有变电站的接线图，操作人员可以在其上进行图形开票、模拟预演，然后直接拿着移动操作终端去现场进行解锁操作，完成相应的倒闸操作。此时，对模拟预演、开操作票的验证、逻辑判断工作，实际是在后备防误主机上进行，移动防误操作终端仅仅作为一个简易的显示、输入终端来使用。

图4 后备防误主机程序执行流程

只有在防误主机出现了严重故障时，后备防误主机才会运行。为防止在某些极端情况下，后备防误主机内所存的设备状态和现场设备状态不一致，确保后备防误主机所做的模拟预演和逻辑判断的准确性，后备防误主机对模拟预演的操作进行了2种逻辑判断：

(1) 传统的基于记忆设备状态的逻辑公式的防误判断；

(2) 通过一次设备接线图，采用图形拓扑技术，构建设备连接关系模型，结合从监控系统获取的一次设备运行状态，利用拓扑防误分析结果，实现当前模拟操作的防误判断。

只有2种判断结果一致时，才允许模拟预演操作；如果2种判断结果不一致，必须人为正确置位一次设备状态后，才能进行模拟预演等操作，从而保证了在原防误系统故障情况下的正确操作。

4 结束语

本设计提供的是在防误操作系统主机出现故障情况下的一种应急操作方式。由于移动操作终端屏幕小、按键不便等因素，操作起来远远不如在电脑上操作灵活方便，所以这种备用操作方式不能作为替代原防误系统长期使用。在实际使用中，一旦遇到防误操作系统运行于备用模式，要及时组织人员对防误系统进行维修，尽快使其恢复正常运行，以确保电气倒闸操作的正确执行。

1 DL/T687—2010微机型防止电气误操作装置通用技术条件[S].

2 GB11920—1989电站电气部分集中控制装置通用技术条件[S].

3 IEC 60870 Telecontrol Equipmentand Systems[S].

4 钱家庆．怎样防止与控制电气误操作[M]．北京：中国电  力出版社，2011.

5 童贞翔．配网微机防误综合操作系统的开发与应用[J]．电力安全技术，2011(12)．

2015-01-27。

李保福(1966-)，男，工程师，主要从事电力系统自动化与电力安全产品的研发工作，email：libaofu@utpower.com.cn。