CN109445385A - 一种核电站交叉供电系统防误操作系统和方法 - Google Patents

Abstract

本发明提供了一种核电站交叉供电系统防误操作系统和方法,该系统包括用于交叉供电系统可能发生的顶层故障事件,将顶层故障事件与系统的相关设备操作状态建立误操作逻辑关联的分析模块,用于根据误操作逻辑关联建立相关设备操作状态与顶层故障事件发生的闭锁逻辑的闭锁逻辑设计模块；用于执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态的多个电脑锁具模块；用于根据相关设备操作状态与顶层故障发生的闭锁逻辑,接收所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁的电脑锁具控制模块。本发明通过基于防误功能配置设计闭锁逻辑图有效地解决了现有技术中所存在的核电站对于供电安全性和可靠性不高的问题。

Description

一种核电站交叉供电系统防误操作系统和方法

技术领域

本发明涉及核安全技术领域，特别涉及一种用于对核电站正常电源和附加厂址电源构成的交叉供电系统的设备操作时进行闭解锁控制的防误操作系统和方法。

背景技术

核电站对于供电安全性和可靠性有着极高要求，但鉴于核电站设备整体结构和功能的复杂性，在执行电气设备实际操作时由于人员技能不熟练、遗漏或执行错误会导致非预期的误操作行为发生，根据世界核电运营者协会对全球420 个核电站1628份事件报告原因进行的统计，人因失误类型占比64％，是导致核电站发生运行事件的主要原因。

为确保核电站辅助设备供电安全，核电站需要附加厂址应急电源向不同机组进行供电，该结构完全不同于常规电力网络中通用的单母分段接线、双母线分段接线，没有可以参考的标准防误闭锁逻辑规则，容易导致系统设计后防误功能缺失。核电一体化事件分析平台显示，由于防误功能缺失已导致多起误入带电间隔或导致非同期合环运行的人员伤害和设备损害事件发生。

所以，现有技术存在安全隐患且可靠性差，需要进行改进。

发明内容

本发明针对现有技术中所存在的安全隐患且可靠性差的问题，提供了一种基于逻辑传递过程组建防误闭锁系统，达到防止发生电气设备误操作事件的核电站交叉供电系统防误操作系统和方法。

本发明就上述技术问题而提出的技术方案如下：一种核电站交叉供电系统防误操作系统,用于对核电站正常电源和附加厂址电源构成的交叉供电系统的设备操作时进行闭解锁控制,所述系统包括:

分析模块,用于分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联；

闭锁逻辑设计模块,连接所述分析模块,用于根据所述误操作逻辑关联建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑；

多个电脑锁具模块,分别设置于交叉供电系统的每一设备上,用于执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态；

电脑锁具控制模块,连接所述闭锁逻辑设计模块和所述电脑锁具模块，用于存储所述相关设备操作状态与顶层故障发生的闭锁逻辑,接收所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁。

其中,所述系统还包括:操作控制器,分别连接于分析交叉供电系统的每一设备和所述电脑锁具控制模块,用于根据操作需要向每一所述设备发送开或关控制命令,同时向所述电脑锁具控制模块发送对应所述设备的开或关控制命令信号；

所述电脑锁具控制模块还用于接收到所述开或关控制命令信号时,根据对应所述设备的闭锁逻辑,检查该设备和相关设备操作状态,决定对该设备对应的电脑锁具模块传送解锁或闭锁命令，以防对所述交叉供电系统的误操作。

其中,所述分析模块包括:

根本原因模块,用于在所述顶层故障事件与所有故障原因之间建立故障树逻辑,计算所述故障树逻辑,以得到所述顶层故障事件发生的根本原因；所述根本原因包括所述设备操作状态和人因动作；

误操作逻辑模块,与根本原因模块连接，用于根据所述根本原因建立所述顶层故障事件与相关设备操作状态的误操作逻辑关联。

其中，所述闭锁逻辑设计模块包括:

应对措施模块,与所述根本原因模块连接，用于根据所述根本原因计算应对措施,所述应对措施包括对应所述设备操作状态的应对措施和所述人因动作的应对措施；

闭锁逻辑模块，与所述应对措施模块和误操作逻辑模块连接,用于根据所述应对措施和顶层故障事件与相关设备操作状态的误操作逻辑关联、对每一设备建立顶层故障事件发生与相关设备操作状态的闭锁逻辑。

其中,所述操作需要包括交叉供电系统的附加厂址电源投退操作和交叉供电系统设备的检修操作。

其中,所述操作控制器包括:

第一存储模块，存储有附加电源投退时所有相关设备投退操作顺序逻辑；

控制模块:连接所述第一存储模块，用于在需要附加厂址电源投退操作时，根据投退顺序逻辑向每一所述设备发送开或关控制命令,同时向所述电脑锁具控制模块发送对应所述设备的开或关控制命令信号，对交叉供电系统的设备进行开关顺序的控制。

其中,所述电脑锁具控制模块包括:

第二存储模块，存储有附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑；

计算模块，连接所述第二存储模块，用于接收到对应一设备的控制信号时, 根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。

其中,所述交叉供电系统的设备包括：隔离开关、接地开关、断路器开关、发电机和电器柜门；

所述顶层故障事件包括人员触电,断路器跳闸和开关和发电机损坏；

所述设备操作状态包括设备的开、关状态和带电状态。

另一方面，本发明提供一种核电站交叉供电系统防误操作方法，用于对核电站正常电源和附加厂址电源构成的交叉供电系统的设备操作时进行闭解锁控制，其特征在于，所述方法包括如下步骤：

S1、分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联；

S2、根据所述误操作逻辑关联建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑；

S3、执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态；

S4、根据操作需要向每一所述设备发送开或关控制命令,同时发送对应所述设备的开或关控制命令信号；

S5、接收所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁；接收到所述开或关控制命令信号时,根据所存储的所述相关设备操作状态与顶层故障发生的闭锁逻辑,检查该设备和相关设备操作状态,决定对该设备对应的电脑锁具模块传送解锁或闭锁命令。

其中，所述步骤S1具体包括如下步骤：

S11、在所述顶层故障事件与所有故障原因之间建立故障树逻辑,计算所述故障树逻辑,以得到所述顶层故障事件发生的根本原因；所述根本原因包括所述设备操作状态和人因动作；

S12、根据所述根本原因建立所述顶层故障事件与相关设备操作状态的误操作逻辑关联。

其中，所述步骤S2具体包括如下步骤：

S21、根据所述根本原因计算应对措施,所述应对措施包括对应所述设备操作状态的应对措施和所述人因动作的应对措施；

S22、根据所述应对措施和顶层故障事件与相关设备操作状态的误操作逻辑关联、对每一设备建立顶层故障事件发生与相关设备操作状态的闭锁逻辑。

其中，所述步骤S5具体包括如下步骤：

S51、存储有附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑；

S52、接收到对应一设备的控制信号时,根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。

本发明实施例提供的技术方案带来的有益效果是：本发明弥补现有技术现状上的不足，实现核电站附加厂址应急电源供电系统的互联互锁，防止出现人员误操作事件。通过分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联，建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑，根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作，通过所设计逻辑控制表，将闭锁逻辑中启动、投入、合闸、开启条件列出逻辑表，用逻辑表达式表达单个设备的控制逻辑，实现核电站附加厂址应急电源供电系统的互联互锁，有效防止了出现人员误操作事件的发生，达到了防误操作目的。

附图说明

图1是本发明实施例一提供的一种核电站交叉供电系统防误操作系统结构图示意图。

图2是本发明实施例一中分析模块和闭锁逻辑设计模块中的子模块结构图。

图3是本发明实施例一的核电站多电源交叉供电电源系统图。

图4是本发明实施例一的根本原因故障树分析逻辑图。

图5是本发明实施例一的人员触电的故障树分析逻辑图。

图6是本发明实施例一的人员触电的应对措施分析逻辑图。

图7是本发明实施例一的供电-检修状态防误操作逻辑图。

图8是本发明实施例一的防误锁具配置图。

图9是本发明实施例二提供的一种核电站交叉供电系统防误操作方法流程图。

具体实施方式

为了解决现有技术中所存在的，在执行电气设备实际操作时由于人员技能不熟练、遗漏或执行错误会导致非预期的误操作行为发生所产生的安全隐患和可靠性差的问题，本发明旨在提供一种对核电站正常电源和附加厂址电源构成的交叉供电系统的设备操作时进行闭解锁控制，可有效解决人因失误所导致的核电站发生非预期误操作的事故的发生，其核心思想是：提供一种核电站典型多电源交叉供电方式的防误逻辑结构和逻辑传递系统，用以防止发生电气误操作。按照防误功能配置分析得到需要防止出现的误操作，可有效防止可能产生的：防止走错间隔、防止带负荷拉隔离开关、防止带电合闸地刀、防止带地刀送开关、防止误入带电间隔、防止双电源非同期同时运行的问题出现。通过建立附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,来确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。本发明基于根本原因分析的防误功能配置分析方法，设计技术事件应对措施作为非技术事件发生的必要条件，基于防误功能配置设计闭锁逻辑图的方法，用逻辑表达式表达单个设备的控制逻辑，使每个电气设备配置电脑锁具模块，电脑锁具控制模块控制设备的投入、退出、开启和关闭功能，在电脑逻辑判断允许解锁后可进行相应操作，弥补了现有技术现状上的不足，实现核电站附加厂址应急电源供电系统的互联互锁，防止出现人员误操作事件。

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本发明实施例提供了一种核电站交叉供电系统防误操作系统，系统设备由隔离开关、接地开关、断路器开关、正常电源、应急电源、附加厂址电源、电脑锁具、电脑钥匙。每个电气设备都配置电脑锁具模块，锁具控制设备的投入、退出、开启和关闭功能，在电脑逻辑判断允许解锁后可进行对应操作，通常的电源投入顺序为⑴断开地刀⑵退出正常电源断路器⑶投入隔离开关⑷投入应急电源进线断路器⑸投入应急电源出口断路器⑹合闸应急电源励磁开关⑺打开应急电源启动阀⑻启动应急电源,具体地,参见图1，图1为本发明实施例一的系统结构图，该系统包括：分析模块100，闭锁逻辑设计模块200，N个电脑锁具模块300，电脑锁具控制模400，其中：

分析模块100,连接闭锁逻辑设计模块200，用于分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联；

闭锁逻辑设计模块200,分别连接分析模块100和电脑锁具控制模400,用于根据所述误操作逻辑关联建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑；

N个(多个)电脑锁具模块300,一一对应设置于交叉供电系统的每一设备上, 也就是说，每一个设备上均具有一个电脑锁具模块300，用于执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态至电脑锁具控制模块；

电脑锁具控制模块400,连接所述闭锁逻辑设计模块200和每一个电脑锁具模块300，用于存储所述相关设备操作状态与顶层故障发生的闭锁逻辑,接收来自于电脑锁具控制模块300的所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁。

进一步地，图1还包括操作控制器500，分别连接于分析交叉供电系统的每一设备(即N个电脑锁具模块300)和电脑锁具控制模400，用于根据操作需要向每一对应设备发送开或关控制命令,同时向电脑锁具控制模块400发送对应所述设备的开或关控制命令信号；其中，所述操作需要包括交叉供电系统的附加厂址电源投退操作和交叉供电系统设备的检修操作。

电脑锁具控制模块400，进一步地，还用于接收到所述开或关控制命令信号时,根据对应所述设备的闭锁逻辑,检查该设备和相关设备操作状态,决定对该设备对应的电脑锁具模块传送解锁或闭锁命令，以防对所述交叉供电系统的误操作。

具体地，参见图2，图2是图1的进一步的子模块附图，其中：

分析模块100具体包括:

根本原因模块101,用于在所述顶层故障事件与所有故障原因之间建立故障树逻辑,计算所述故障树逻辑,以得到所述顶层故障事件发生的根本原因；所述根本原因包括所述设备操作状态和人因动作。

误操作逻辑模块102,与根本原因模块101连接，用于根据所述根本原因建立所述顶层故障事件与相关设备操作状态的误操作逻辑关联。

闭锁逻辑设计模块具体包括：

应对措施模块201,与所述根本原因模块101连接，用于根据所述根本原因计算应对措施,所述应对措施包括对应所述设备操作状态的应对措施和所述人因动作的应对措施；

闭锁逻辑模块202，与所述应对措施模块201和误操作逻辑模块102连接, 用于根据所述应对措施和顶层故障事件与相关设备操作状态的误操作逻辑关联、对每一设备建立顶层故障事件发生与相关设备操作状态的闭锁逻辑。

所述操作控制器包括:

第一存储模块501，存储有附加电源投退时所有相关设备投退操作顺序逻辑；

控制模块502:连接所述第一存储模块501，用于在需要附加厂址电源投退操作时，根据投退顺序逻辑向多个电脑锁具模块300的每一所述设备发送开或关控制命令,同时向所述电脑锁具控制模块400发送对应所述设备的开或关控制命令信号，对交叉供电系统的设备进行开关顺序的控制。

所述电脑锁具控制模块400进一步包括:

第二存储模块401，存储有附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑；以备后续进行方便灵活地调取。

计算模块402，连接所述第二存储模块401，用于接收到来自于控制模块502 的对应一设备的控制信号时,根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。上述交叉供电系统所指的设备包括：隔离开关、接地开关、断路器开关、发电机和电器柜门；顶层故障事件包括人员触电,断路器跳闸和开关和发电机损坏；设备操作状态包括设备的开、关状态和带电状态。

附图3为核电站多电源交叉供电电源系统，设计典型的核电机组多电源交叉供电系统中电气设备之间相互连接关系的传送电能的电路图，系统电路图设备类型包括：连接在两条电源母线上的#1号机组正常电源和二号机组正常电源，还包括附加厂址柴油机G和隔离开关、接地开关、断路器开关、正常电源、应急电源、附加厂址电源。其中：不同的设备编码代表不同的开关，1LHA001JA为正常电源进线断路器，1LHA003JA为应急电源进线断路器，1LHA301JS为 1LHA003JA接地开关，9LHT201JS至1LHA隔离开关，9HT301JS至2LHA隔离开关，9LHT101JS为9LHT至0LHT隔离开关，0LHT102JS为0LHT102JA接地开关， 0LHT102JA为附加厂址电源出口断路器，0LHT101JA为附加厂址电源出口断路器， 0LHS201JA为附加厂址电源励磁电源开关，0LHS275VA为附加厂址电源启动阀， 0LHS276VA为附加厂址电源启动阀；上述开关等部件的具体连接见附图3。涉及核电站交叉供电电源的系统功能包括：(1)系统中电气转换和互联装置能将一个机组应急配电盘与属于另一台机组的一台机组的应急柴油发电机组相连。(2) 系统可以用来连接厂址附加后备柴油发电机组。(3)电源转换系统包含两段母线，一段与单台机组应急电源配电盘进行连接，一段与厂址附加后备柴油发电机进行连接。(4)应急配电盘正常运行时由厂用电源供电，当正常电源失效时与附加厂址柴油机连接。

附图4为本发明实施例一中的根本原因故障树分析，图5为人员触电的故障树分析图；(1)按照根本原因分析方法，列出设备类型可能发生的人因操作事件以及根本原因环节。根本原因采用故障树进行分析，使用事件符号、逻辑门符号来描述系统中各种事件之间的因果关系，故障树中不含有重复的或相同的基本事件，各基本事件是相互独立的，采用逻辑方法研究潜在风险。故障树分析流程如下图4：确定顶层事件T、列出基本事件A(技术)/B(非技术)、简化后得到最小割集X、确定根本原因、制定改进措施。

附图3为本发明实施例一中的根本原因故障树分析，其中附图3防误功能配置分析按照根本原因分析方法，列出了设备类型可能发生的人因操作事件以及根本原因环节。根本原因采用故障树进行分析，使用事件符号、逻辑门符号来描述系统中各种事件之间的因果关系，故障树中不含有重复的或相同的基本事件，各基本事件是相互独立的，采用逻辑方法研究潜在风险。故障树分析流程包括：确定顶层事件T、列出基本事件A(技术)/B(非技术)、简化后得到最小割集X、确定根本原因、制定改进措施。图3中顶层事件为T，基本事件为A(技术)/B(非技术)，X1、X2、X3为根本原因。

表达为最小割集形式：T＝AB＝X1×X2(X1+X3)＝X1×X1×X3+X1×X2×X3＝X1 ×X2即导致故障发生的原因为X1与X2。事件C为历史事件，最小割集为X4与 X5，应参与到防误功能配置分析中。

本发明按照防误功能配置分析表1得到的需要防止出现的误操作有：防止走错间隔、防止带负荷拉隔离开关、防止带电合闸地刀、防止带地刀送开关、防止误入带电间隔、防止双电源非同期同时运行。

表1防误功能配置分析

表1中列举出设备，顶层事件，基本事件，根本原因，历史原因给出了技术措施分析结果。

根据表1列举出设备，顶层事件，基本事件，根本原因，历史原因给出了技术措施分析结果。按照根本原因分析法列出最小割集事件，对最小割集事件设置技术措施作为闭锁屏障，并分析历史事件增加屏障，依据设置屏障选择技术措施。如图6，与通常的分别对事件A/B制定应对措施不同，在根本原因中存在非技术根本原因的，通过系统防误设计将技术事件作为非技术事件的上层事件，即当技术屏障有效时不发生非技术事件，以实现技术手段防人因目的。

如图5所示，人员触电的故障树分析，人员在断路器开关触电为顶层事件分析为例，事故故障树根本原因并行，人员触电的根本原因见图5显示，其中：“导体带电”和“打开柜门”同时满足“&”和关系时，“导体带电”在上下游有电、并判断是否同时打开无锁柜门，判断为“人员触电”；“打开柜门”的条件需满足：“无锁”和“无工作票”；应对的防误设计方案为在上下游无电时才能打开带编码锁的柜门，防误原则为有电时不能触摸“带电导体”。

如图6所示，针对人员触电进行的应对措施分析，图6中显示应对措施串行判断，各步骤均需满足“&”与关系时，才能打开柜门，具体设计如下：

“导电断电”需要同时满足两个条件，即上下游均无电，以及“走对间隔”也同样满足：有偏码，偏码正确。“导电断电”和“走对间隔”也存在“&”与关系时，才能“解锁”，解锁后和“有工作票”同时满足，最终打开柜门，对人员触电进行的应对措施的多重逻辑设计保证了其安全和可靠性。

上面的附图3和4用于分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联设计闭锁逻辑关系，图5用于根据误操作逻辑关联建立相关设备操作状态与顶层故障事件之间的闭锁逻辑。表1分析根本原因得出应对措施(技术措施)，表1中可以通过上面描述的根本原因模块101和应对措施模块201找到应对措施，通过分析原因找出处理的措施，根据措施和误操作逻辑建立闭锁逻辑图。

按照表1确定的闭锁原则完成状态组合的逻辑判断，如图7所示形成逻辑电路图。状态组合包括单个或系统设备的检修转运行状态，单个或系统设备的运行转检修状态，将逻辑电路图输出是否允许为“1”，作为某一电气设备或系统可以操作的判据。图7中包括左边附图为启动应急电源逻辑图、和右边附图停止应急电源逻辑图。下面分别对两个不同步骤的逻辑图进行详细解释。

图7中的左边附图为：附加厂址应急电源投入#1机组应急配电母线逻辑步骤：

按照防误功能表1配置技术措施：首先防止双电源合闸、防止带地刀合闸、防止隔离开关带负荷合闸，则投入顺序为：⑴断开地刀；⑵退出正常电源断路器；⑶投入隔离开关；⑷投入应急电源进线断路器；⑸投入应急电源出口断路器；⑹合闸应急电源励磁开关；⑺打开应急电源启动阀；⑻启动应急电源。

图7中的右边附图为：附加厂址应急电源退出#1机组应急配电母线逻辑步骤：

按照防误功能表1配置技术措施：防止逆功率、防止带电合闸地刀、防止隔离开关带负荷分闸，则退出顺序为：⑴停止应急电源；⑵关闭应急电源气动阀；⑶退出应急电源出口断路器；⑷退出应急电源进线断路器；⑸退出隔离开关；⑹分闸应急电源励磁开关；⑺关闭应急电源启动阀；⑻停止应急电源。

附加厂址应急电源投入或退出#2机组应急配电母线的逻辑与上述步骤相同，所以省略描述。

上述建立的附加电源投退时所有相关设备投退操作顺序逻辑图被保存在操作控制器的第一存储模块内。

下表2表示了设计逻辑控制表，用于对每一个设备建立闭锁逻辑关系，其中，将闭锁逻辑中启动、投入、合闸、开启条件列出逻辑表，用逻辑表达式表达单个设备的控制逻辑。如表2表达式中“×”表示与门，“+”号表示或门。将形成表达式输入电脑，如逻辑电路图输出为“1”时，允许解锁后操作设备，达到防误操作目的。

表2闭锁逻辑表达式

每个电气设备都配置电脑锁具，锁具控制设备的投入、退出、开启和关闭功能，在电脑逻辑判断允许解锁后可进行对应操作。具体详见图8中的每一个开关处具有一个电脑锁具模块300，N个设备就对应有N个电脑锁具模块300，简化在图上每一个设备显示为“锁”。

图8为本发明的防误锁具配置图，其中该配置图，根据上述表2的配置进行投退控制，比如：启动应急电源G，其开关的投退顺序为：

—>满足C分闸和D分闸时—>A退出—>D投入和F投入—>G投入，H投入和B投入—>K合闸，I开启和J开启，完成启动应急电源G。

停止应急电源G，其开关的投退顺序详见附图7，此处省略。

实施例二

本发明实施提供了一种核电站交叉供电系统防误操作系方法，适用于实施例一所示的核电站交叉供电系统防误操作系统，参见图9，该方法包括：

S1、分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联；

其中步骤S1具体包括如下步骤：

S11、在所述顶层故障事件与所有故障原因之间建立故障树逻辑,计算所述故障树逻辑,以得到所述顶层故障事件发生的根本原因；所述根本原因包括所述设备操作状态和人因动作；

S12、根据所述根本原因建立所述顶层故障事件与相关设备操作状态的误操作逻辑关联。

S2、根据所述误操作逻辑关联建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑；

步骤S2具体包括如下步骤：

S21、根据所述根本原因计算应对措施,所述应对措施包括对应所述设备操作状态的应对措施和所述人因动作的应对措施；

S22、根据所述应对措施和顶层故障事件与相关设备操作状态的误操作逻辑关联、对每一设备建立顶层故障事件发生与相关设备操作状态的闭锁逻辑。

S3、执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态；

S4、根据操作需要向每一所述设备发送开或关控制命令,同时发送对应所述设备的开或关控制命令信号；

S5、接收所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁；接收到所述开或关控制命令信号时,根据所存储的所述相关设备操作状态与顶层故障发生的闭锁逻辑,检查该设备和相关设备操作状态,决定对该设备对应的电脑锁具模块传送解锁或闭锁命令。

步骤S5具体包括如下步骤：

S51、存储有附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑；

S52、接收到对应一设备的控制信号时,根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

综上所述，本发明主要的技术点如下：

1、多电源交叉供电系统电路

设计典型的核电机组多电源交叉供电系统中电气设备之间相互连接关系的传送电能的电路图，系统中电气转换和互联装置能将一个机组应急配电盘与属于另一台机组的一台机组的应急柴油发电机组相连。系统可以用来连接厂址附加后备柴油发电机组。电源转换系统包含两段母线，一段与单台机组应急电源配电盘进行连接，一段与厂址附加后备柴油发电机进行连接。应急配电盘正常运行时由厂用电源供电，当正常电源失效时与附加厂址柴油机连接。

2、基于根本原因分析的防误功能配置分析方法

按照根本原因分析方法，列出设备类型可能发生的人因操作事件以及根本原因环节。根本原因采用故障树进行分析，使用事件符号、逻辑门符号来描述系统中各种事件之间的因果关系，故障树中不含有重复的或相同的基本事件，各基本事件是相互独立的，采用逻辑方法研究潜在风险。

3、设计技术事件应对措施作为非技术事件发生的必要条件

与通常的分别对事件A/B制定应对措施不同，在根本原因中存在非技术根本原因的，通过系统防误设计将技术事件作为非技术事件的上层事件，即当技术屏障有效时不发生非技术事件，以实现技术手段防人因目的。

4、基于防误功能配置设计闭锁逻辑图的方法

闭锁原则完成状态组合的逻辑判断，形成逻辑电路图。状态组合包括单个或系统设备的检修转运行状态，单个或系统设备的运行转检修状态，将逻辑电路图输出是否允许为“1”，作为某一电气设备或系统可以操作的判据。

5、逻辑控制表的表达方法

用逻辑表达式表达单个设备的控制逻辑。如2表达式中“×”表示与门，“+”号表示或门。将形成表达式输入电脑，如逻辑电路图输出为“1”时，允许解锁后操作设备。

6、带锁具的交叉电源供电系统

每个电气设备配置电脑锁具，锁具控制设备的投入、退出、开启和关闭功能，在电脑逻辑判断允许解锁后可进行相应操作。当进行1LHA001JA断路器投入操作时，需要将锁住9LHT101JS、9LHT201JS、9LHT301JS投入的锁具解锁，否则不能打开锁住1LHA001JA的射频识别编码锁具。与1LHA001JA相同，系统中其他断路器、隔离开关、接地倒闸存在同样功能的联锁关系。

7、核电站电气设备编码

使用物项定位码保证设备的唯一性，同时可以防止走错间隔并作为逻辑闭锁中的设备代码。定位码的第1个字母为机组号，第2-4个字母为系统号，第5-7 个字母为设备序列号，第8-9个字母为设备类别。

需要说明的是：上述实施例提供操作系统在实现其逻辑控制的方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的核电站交叉供电系统防误操作系统与其方法实施例属于同一构思，其具体实现过程详见装置实施例的描述，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (12)

1.一种核电站交叉供电系统防误操作系统,用于对核电站正常电源和附加厂址电源构成的交叉供电系统的设备操作时进行闭解锁控制,其特征在于:所述系统包括:

分析模块,用于分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联；

闭锁逻辑设计模块,连接所述分析模块,用于根据所述误操作逻辑关联建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑；

多个电脑锁具模块,分别设置于交叉供电系统的每一设备上,用于执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态；

电脑锁具控制模块,连接所述闭锁逻辑设计模块和所述电脑锁具模块，用于存储所述相关设备操作状态与顶层故障发生的闭锁逻辑,接收所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁。

2.根据权利要求1所述系统，其特征在于，所述系统还包括:

操作控制器,分别连接于分析交叉供电系统的每一设备和所述电脑锁具控制模块,用于根据操作需要向每一所述设备发送开或关控制命令,同时向所述电脑锁具控制模块发送对应所述设备的开或关控制命令信号；

所述电脑锁具控制模块还用于接收到所述开或关控制命令信号时,根据对应所述设备的闭锁逻辑,检查该设备和相关设备操作状态,决定对该设备对应的电脑锁具模块传送解锁或闭锁命令，以防对所述交叉供电系统的误操作。

3.根据权利要求2所述系统，其特征在于，所述分析模块包括:

根本原因模块,用于在所述顶层故障事件与所有故障原因之间建立故障树逻辑,计算所述故障树逻辑,以得到所述顶层故障事件发生的根本原因；所述根本原因包括所述设备操作状态和人因动作；

误操作逻辑模块,与根本原因模块连接，用于根据所述根本原因建立所述顶层故障事件与相关设备操作状态的误操作逻辑关联。

4.根据权利要求3所述系统，其特征在于，所述闭锁逻辑设计模块包括:

应对措施模块,与所述根本原因模块连接，用于根据所述根本原因计算应对措施,所述应对措施包括对应所述设备操作状态的应对措施和所述人因动作的应对措施；

闭锁逻辑模块，与所述应对措施模块和误操作逻辑模块连接,用于根据所述应对措施和顶层故障事件与相关设备操作状态的误操作逻辑关联、对每一设备建立顶层故障事件发生与相关设备操作状态的闭锁逻辑。

5.根据权利要求2所述系统，其特征在于，所述操作需要包括交叉供电系统的附加厂址电源投退操作和交叉供电系统设备的检修操作。

6.根据权利要求5所述系统，其特征在于，所述操作控制器包括:

第一存储模块，存储有附加电源投退时所有相关设备投退操作顺序逻辑；

控制模块:连接所述第一存储模块，用于在需要附加厂址电源投退操作时，根据投退顺序逻辑向每一所述设备发送开或关控制命令,同时向所述电脑锁具控制模块发送对应所述设备的开或关控制命令信号，对交叉供电系统的设备进行开关顺序的控制。

7.根据权利要求2所述系统，其特征在于，所述电脑锁具控制模块包括:

第二存储模块，存储有附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑；

计算模块，连接所述第二存储模块，用于接收到对应一设备的控制信号时,根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。

8.根据权利要求1-7任一所述系统，其特征在于，所述交叉供电系统的设备包括：隔离开关、接地开关、断路器开关、发电机和电器柜门；

所述顶层故障事件包括人员触电,断路器跳闸和开关和发电机损坏；

所述设备操作状态包括设备的开、关状态和带电状态。

9.一种核电站交叉供电系统防误操作方法，用于对核电站正常电源和附加厂址电源构成的交叉供电系统的设备操作时进行闭解锁控制，其特征在于，所述方法包括如下步骤：

S1、分析交叉供电系统可能发生的顶层故障事件,将顶层故障事件与交叉供电系统的相关设备操作状态建立误操作逻辑关联；

S2、根据所述误操作逻辑关联建立所述相关设备操作状态与顶层故障事件发生的闭锁逻辑；

S3、执行对所对应设备操作的解锁或闭锁,并传送所对应设备的操作状态；

S4、根据操作需要向每一所述设备发送开或关控制命令,同时发送对应所述设备的开或关控制命令信号；

S5、接收所有对应设备的操作状态以及控制所述电脑锁具模块的解锁和闭锁；接收到所述开或关控制命令信号时,根据所存储的所述相关设备操作状态与顶层故障发生的闭锁逻辑,检查该设备和相关设备操作状态,决定对该设备对应的电脑锁具模块传送解锁或闭锁命令。

10.根据权利要求9所述方法，其特征在于，所述步骤S1具体包括如下步骤：

S11、在所述顶层故障事件与所有故障原因之间建立故障树逻辑,计算所述故障树逻辑,以得到所述顶层故障事件发生的根本原因；所述根本原因包括所述设备操作状态和人因动作；

S12、根据所述根本原因建立所述顶层故障事件与相关设备操作状态的误操作逻辑关联。

11.根据权利要求10所述方法，其特征在于，所述步骤S2具体包括如下步骤：

S21、根据所述根本原因计算应对措施,所述应对措施包括对应所述设备操作状态的应对措施和所述人因动作的应对措施；

S22、根据所述应对措施和顶层故障事件与相关设备操作状态的误操作逻辑关联、对每一设备建立顶层故障事件发生与相关设备操作状态的闭锁逻辑。

12.根据权利要求10所述方法，其特征在于，所述步骤S5具体包括如下步骤：

S51、存储有附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑；

S52、接收到对应一设备的控制信号时,根据附加电源投退时所有相关设备投退顺序逻辑和针对对应每一设备的闭锁逻辑,确定对应设备是否执行解锁还是闭锁,根据计算结果控制对该设备的闭锁或者解锁，以实现防止对交叉供电系统的设备的误操作。