并–离–并控制总章

Grid-Connected ↔ Islanded ↔ Grid-Connected Control Framework

从电气工程与微电网系统工程的角度出发，本系统的设计目标是实现一套具备并网运行与离网运行能力、且能够在电网异常与恢复过程中安全、可控切换的微电网控制系统。

并网 → 离网（Grid Loss）

SEL-700G 判定越限 → 直接跳闸主断（最高优先级、独立于EMS）
EMS 接收（SEL状态 + 电表冗余状态）进入事件处理
EMS 读取 DI1/DI2（52a/52b）确认是否已解列，并写日志
若未解列：EMS DO1 补跳，进入告警/锁定策略
解列确认后：执行离网接管（BESS构网、负载管理、必要时DG启动并联、PV策略）

离网 → 并网（Grid Restore）

双源确认电网恢复（SEL + 电表）
EMS 进入回并网准备，执行 C1–C7 合闸许可（合闸仅EMS）
选择切换方式（推荐闭合过渡）：维持母线、同步条件满足后 EMS DO2 合闸
读取52a/52b确认合闸闭环，记录日志
并网后资源退坡：BESS转并网策略；DG按卸载/冷却规则停机或待命

并–离–并控制总章
├─ Grid-Connected ↔ Islanded ↔ Grid-Connected Control Framework
│  └─（工程级总框架 · 状态机导向）
│
├─ 0. 总体设计原则与系统边界
│  ├─ 0.1 控制与保护职责边界
│  │  ├─ 防孤岛继电器（Primary Protection）
│  │  ├─ EMS（Supervisory Control & Strategy）
│  │  └─ 本地控制器 / PCS / DG Controller
│  │
│  ├─ 0.2 跳闸与合闸控制权定义
│  │  ├─ Trip：继电器主路径 + EMS 冗余补跳
│  │  ├─ Close：EMS 唯一授权路径
│  │  └─ 禁止任何非 EMS 合闸路径
│  │
│  ├─ 0.3 PCC 主断路器 I/O 统一定义
│  │  ├─ DO1：Trip（Shunt Trip Coil）
│  │  ├─ DO2：Close（Close Coil）
│  │  ├─ DI1：52a（合位反馈）
│  │  └─ DI2：52b（分位反馈）
│  │
│  ├─ 0.4 供电与可靠性边界
│  │  ├─ AIPP UPS（保护电源）
│  │  ├─ ECP UPS（控制电源）
│  │  └─ UPS 不参与能量供给
│  │
│  └─ 0.5 状态机与日志原则
│     ├─ 状态唯一、不可跳级
│     ├─ 所有关键动作必须闭环
│     └─ 所有并–离–并事件可审计、可回溯
│
├─ 1. 状态机总览
│  ├─ S0：并网正常运行
│  ├─ S1：电网异常判定与快速解列
│  ├─ S2：离网接管准备
│  ├─ S3：离网运行
│  ├─ S4：回并网准备
│  ├─ S5：合闸执行与闭环确认
│  └─ S6：并网后退坡与稳态恢复
│
├─ 2. S0 并网正常运行
│  ├─ 2.1 并网运行模式定义
│  │  ├─ 电网主控频率与电压
│  │  └─ 微电网跟随运行
│  │
│  ├─ 2.2 并网策略模块
│  │  ├─ 防逆流 / 零逆流
│  │  ├─ 需量管理
│  │  ├─ TOU / 电价优化
│  │  ├─ SOC 管理
│  │  └─ 优化类策略（AI / 预测）
│  │
│  ├─ 2.3 并网状态监测
│  │  ├─ PCC 状态（52a / 52b）
│  │  ├─ 电网质量监测
│  │  └─ 本地电源状态监测
│  │
│  └─ 2.4 S0 → S1 触发条件
│     ├─ 继电器判定电网异常
│     ├─ 计量侧电网异常
│     └─ EMS 等效电网异常判据
│
├─ 3. S1 电网异常判定与快速解列
│  ├─ 3.1 电网异常触发源
│  │  ├─ 防孤岛继电器（主）
│  │  ├─ 智能电表 / 冗余计量
│  │  └─ EMS 内部判据
│  │
│  ├─ 3.2 主跳闸路径
│  │  └─ 继电器直接跳闸 PCC
│  │
│  ├─ 3.3 EMS 闭环确认
│  │  ├─ 52a / 52b 状态核查
│  │  └─ 去抖与超时判断
│  │
│  ├─ 3.4 EMS 冗余补跳
│  │  ├─ DO1 补跳条件
│  │  ├─ 补跳脉冲控制
│  │  └─ 补跳重试与锁定
│  │
│  ├─ 3.5 跳闸失败与危险锁定
│  │  ├─ 拒动
│  │  ├─ 反馈冲突
│  │  └─ 控制电源异常
│  │
│  └─ 3.6 S1 → S2 转移条件
│     └─ PCC 物理解列确认成立
│
├─ 4. S2 离网接管准备
│  ├─ 4.1 PCC 解列前置确认
│  │  ├─ 52b 成立
│  │  └─ 反馈一致性校验
│  │
│  ├─ 4.2 构网资源可用性检查
│  │  ├─ BESS / PCS 状态
│  │  ├─ DG 可用性
│  │  └─ 控制电源状态
│  │
│  ├─ 4.3 离网策略初始化
│  │  ├─ 负载优先级策略
│  │  ├─ 离网保护策略
│  │  └─ 并网策略冻结
│  │
│  └─ 4.4 S2 → S3 转移条件
│     ├─ 构网资源允许
│     └─ 系统未处于锁定态
│
├─ 5. S3 离网运行
│  ├─ 5.1 S3-0 离网入稳阶段
│  │  ├─ 构网模式建立
│  │  ├─ 电压 / 频率基准建立
│  │  └─ 动态稳定恢复
│  │
│  ├─ 5.2 S3-1 BESS 主构网稳态
│  │  ├─ Grid-Forming 控制
│  │  ├─ 电压 / 频率调节
│  │  └─ 动态功率支撑
│  │
│  ├─ 5.3 S3-2 SOC 管理与 DG 启动判据
│  │  ├─ SOC 预警线
│  │  ├─ SOC 保命线
│  │  └─ 启动 / 禁止条件
│  │
│  ├─ 5.4 S3-3 DG 启动与暖机
│  │  ├─ 启动流程
│  │  ├─ 启动失败回退
│  │  └─ 启动期间功率保障
│  │
│  ├─ 5.5 S3-4 DG 并联与负荷分担
│  │  ├─ 并联方式选择
│  │  ├─ 同步判据
│  │  ├─ 功率 / 无功分配
│  │  └─ 防反功率
│  │
│  ├─ 5.6 S3-5 离网长时运行管理
│  │  ├─ 负载卸载与恢复
│  │  ├─ 连续功率与热管理
│  │  └─ 黑启动 / 二次恢复策略
│  │
│  ├─ 5.7 离网异常分支
│  │  ├─ BESS 构网失败
│  │  ├─ DG 启动 / 并联失败
│  │  ├─ 频率 / 电压越限
│  │  └─ 反馈异常
│  │
│  └─ 5.8 S3 → S4 触发条件
│     └─ 电网恢复候选检测
│
├─ 6. S4 回并网准备
│  ├─ 6.1 电网恢复感知
│  │  ├─ 继电器侧
│  │  └─ 计量侧
│  │
│  ├─ 6.2 电网稳定计时
│  │  ├─ 稳定窗口定义
│  │  └─ 防抖逻辑
│  │
│  ├─ 6.3 离网系统稳定性确认
│  │  ├─ 母线稳定
│  │  ├─ DG / BESS 状态收敛
│  │  └─ 负载状态冻结
│  │
│  ├─ 6.4 回并网路径选择
│  │  ├─ 闭合过渡
│  │  └─ 开路过渡
│  │
│  ├─ 6.5 构网主控确认
│  │  ├─ 并网瞬间频率 / 电压主控归属
│  │  └─ DG / BESS 角色确认
│  │
│  ├─ 6.6 合闸许可准备（C1–C7）
│  │  ├─ 条件采集
│  │  └─ 条件冻结
│  │
│  └─ 6.7 S4 → S5 转移条件
│     ├─ 所有合闸许可满足
│     └─ 系统未锁定
│
├─ 7. S5 合闸执行与闭环确认
│  ├─ 7.1 合闸前最终状态确认
│  │  ├─ PCC 开位确认
│  │  └─ 许可快照绑定
│  │
│  ├─ 7.2 DO2 合闸执行
│  │  ├─ 脉冲参数
│  │  └─ 中间继电器链路
│  │
│  ├─ 7.3 合闸反馈确认
│  │  ├─ 52a / 52b 判据
│  │  └─ 去抖与超时
│  │
│  ├─ 7.4 合闸成功处理
│  │  ├─ PCC 状态更新
│  │  └─ 状态机前移
│  │
│  ├─ 7.5 合闸失败分支
│  │  ├─ 拒动
│  │  ├─ 半合位
│  │  └─ 状态异常
│  │
│  ├─ 7.6 合闸后瞬态异常处理
│  │  ├─ 快速回退
│  │  └─ 再次解列
│  │
│  └─ 7.7 S5 → S6 转移条件
│     └─ 合闸闭环确认成立
│
├─ 8. S6 并网后退坡与稳态恢复
│  ├─ 8.1 并网瞬态稳定观察
│  │  ├─ 频率 / 电压
│  │  ├─ 功率方向
│  │  └─ 保护预警
│  │
│  ├─ 8.2 BESS 构网退坡
│  │  ├─ Grid-Forming → Grid-Following
│  │  └─ Droop 权重退坡
│  │
│  ├─ 8.3 DG 卸载与停机
│  │  ├─ 卸载策略
│  │  ├─ 冷却与停机条件
│  │  └─ 备用策略
│  │
│  ├─ 8.4 PV 与并网逆变器恢复
│  │  ├─ 斜坡限制
│  │  └─ 防逆流校验
│  │
│  ├─ 8.5 并网策略逐步恢复
│  │  ├─ 基础策略
│  │  ├─ 稳定策略
│  │  └─ 优化策略
│  │
│  ├─ 8.6 并网后异常处理
│  │  ├─ 再次跳闸
│  │  ├─ 控制冲突
│  │  └─ 保护动作
│  │
│  └─ 8.7 S6 → S0 完成条件
│     ├─ 并网稳定确认
│     ├─ 所有构网源退出
│     └─ 无未清除锁定
│
└─ 9. 全流程日志、审计与验收
   ├─ 9.1 状态迁移日志
   ├─ 9.2 关键动作证据链
   ├─ 9.3 FAT / SAT 用例映射
   └─ 9.4 责任与边界记录

Grid-Connected ↔ Islanded ↔ Grid-Connected Control Framework

工程级总框架 · 状态机导向

0. 总体设计原则与系统边界

本章用于定义并–离–并控制系统的最高层工程原则与不可越界的系统边界。

其目标不是描述“如何控制”，而是明确：

谁有权做什么
谁绝对不能做什么
哪些动作必须本地完成
哪些动作只能由 EMS 统一调度
整个系统在任何异常条件下，不会因控制越权而进入危险状态

本章内容对后续所有状态（S0–S6）具有全局约束力。

0.1 控制与保护职责边界

并–离–并系统必须严格区分保护层与控制/策略层。

任何混淆两者职责的设计，都会在现场造成不可预测风险。

0.1.1 防孤岛继电器（Primary Protection）

防孤岛继电器属于一次保护设备，其核心特征如下：

防孤岛继电器职责边界
├─ 实时监测电网侧电压 / 频率 / 相位
├─ 在满足保护判据时
│  └─ 直接、无条件、无需 EMS 参与
│     └─ 操作 PCC 主断路器跳闸
├─ 动作优先级
│  └─ 高于 EMS、PCS、DG 控制器
└─ 禁止行为
   ├─ 不接收 EMS 合闸指令
   ├─ 不具备自动重合闸功能
   └─ 不参与系统运行策略判断

工程原则：

防孤岛继电器只做一件事：
在不安全时，确保并网点物理断开
它不是控制器，不是调度器，也不是“智能决策单元”

0.1.2 EMS（Supervisory Control & Strategy）

EMS 是系统的最高层调度与策略执行单元，但不是保护装置。

EMS 职责边界
├─ 系统状态机管理（S0–S6）
├─ 并–离–并流程调度
├─ 合闸授权的唯一合法来源
├─ 策略执行
│  ├─ 并网策略
│  ├─ 离网策略
│  └─ 优化策略
├─ 状态闭环确认
│  └─ 通过 DI / 通信反馈
└─ 禁止行为
   ├─ 依赖单一测量源做保护动作
   ├─ 替代继电器承担一次保护职责
   └─ 在断路器状态不可信时继续流程推进

工程原则：

EMS 的所有动作都必须是可中止、可回退、可审计的
EMS 永远不能假设“下层设备一定正确执行”

0.1.3 本地控制器 / PCS / DG Controller

本地控制器用于快速、确定性的设备级控制。

本地控制器职责边界
├─ PCS（BESS 逆变器）
│  ├─ 构网 / 跟网控制
│  ├─ 电压 / 频率快速响应
│  └─ 电流 / 功率保护
├─ DG Controller
│  ├─ 启停控制
│  ├─ 转速 / 电压调节
│  └─ 反功率、超速等本地保护
└─ 通用原则
   ├─ 本地保护优先于 EMS 指令
   ├─ 不直接操作 PCC 主断路器
   └─ 不参与并–离–并决策逻辑

0.2 跳闸与合闸控制权定义

并–离–并系统的最大工程风险之一，来自于对跳闸/合闸控制权的模糊设计。

本系统采用强约束、不可协商的控制权定义。

0.2.1 Trip：继电器主路径 + EMS 冗余补跳

跳闸控制权结构
├─ 主路径（Primary Trip）
│  └─ 防孤岛继电器
│     └─ 直接操作 PCC 跳闸线圈
├─ 冗余路径（Backup Trip）
│  └─ EMS
│     └─ 仅在确认“应跳未跳”时
│        └─ 通过 DO1 执行补跳
└─ 禁止行为
   └─ EMS 不得屏蔽、延迟或否决继电器跳闸

工程要点：

EMS 的补跳是兜底措施，不是并列保护
任一跳闸动作，都必须以 52b 反馈成立作为最终判据

0.2.2 Close：EMS 唯一授权路径

合闸控制权结构
├─ 唯一授权者
│  └─ EMS
├─ 合闸前提
│  ├─ 状态机允许
│  ├─ C1–C7 全满足
│  └─ PCC 处于开位且反馈可信
└─ 合闸执行
   └─ EMS → 中间继电器 → Close Coil

工程要点：

合闸是系统级决策动作
不允许任何“自动合闸”“保护合闸”“设备自合闸”

0.2.3 禁止任何非 EMS 合闸路径

这是硬性红线：

明确禁止
├─ 防孤岛继电器自动合闸
├─ PCS / DG 控制器直接合闸
├─ 现场按钮绕过 EMS 合闸
└─ 任意“逻辑或接线级旁路合闸”

0.3 PCC 主断路器 I/O 统一定义

为保证控制逻辑、FAT、SAT、现场调试的一致性，

PCC 主断路器的 I/O 定义必须全系统统一。

PCC 断路器 I/O 定义
├─ DO1：Trip（Shunt Trip Coil）
│  └─ 跳闸控制输出
├─ DO2：Close（Close Coil）
│  └─ 合闸控制输出
├─ DI1：52a（合位反馈）
│  └─ 断路器已合闸
└─ DI2：52b（分位反馈）
   └─ 断路器已断开

工程原则：

所有状态判断必须基于 DI
任何“发了 DO 就假定成功”的逻辑，均不允许存在

0.4 供电与可靠性边界

0.4.1 AIPP UPS（保护电源）

AIPP UPS 职责
├─ 为防孤岛继电器供电
├─ 为跳闸回路供电
└─ 确保失电情况下仍可解列

0.4.2 ECP UPS（控制电源）

ECP UPS 职责
├─ 为 EMS / PLC 供电
├─ 为控制继电器供电
└─ 为通信与记录系统供电

0.4.3 UPS 不参与能量供给

明确边界
├─ UPS ≠ 构网电源
├─ UPS ≠ 离网供电资源
└─ UPS 只服务于控制与保护连续性

0.5 状态机与日志原则

0.5.1 状态唯一、不可跳级

状态机基本约束
├─ 任一时刻仅允许一个状态有效
├─ 状态迁移必须按定义路径发生
└─ 禁止跨状态直接跳转

0.5.2 所有关键动作必须闭环

闭环原则
├─ 所有 DO 动作
│  └─ 必须有 DI 或通信反馈确认
├─ 所有状态迁移
│  └─ 必须有明确判据
└─ 所有失败
   └─ 必须进入可定义的异常分支

0.5.3 所有并–离–并事件可审计、可回溯

审计原则
├─ 状态迁移记录
├─ 跳闸 / 合闸时间戳
├─ 判据快照
└─ 失败与回退路径记录

1. 状态机总览

本章定义并–离–并控制系统的全局状态机结构。

该状态机是单主线、强约束、不可跳级的工程状态机，适用于：

正常运行
电网异常
离网运行
回并网
并网恢复

后续所有章节（S0–S6）均必须严格遵守本章定义的状态与迁移关系。

1.1 状态机设计目标

状态机设计目标
├─ 明确系统在任一时刻“处于什么状态”
├─ 明确每个状态“允许的控制动作集合”
├─ 明确状态之间“唯一合法迁移路径”
├─ 禁止并行状态与逻辑重叠
└─ 为 FAT / SAT / 事故分析提供确定性结构

工程原则：

状态 ≠ 模式参数
状态是系统级事实，不是可选配置

1.2 全局状态列表（S0–S6）

全局状态定义
├─ S0：并网正常运行
├─ S1：电网异常判定与快速解列
├─ S2：离网接管准备
├─ S3：离网运行
├─ S4：回并网准备
├─ S5：合闸执行与闭环确认
└─ S6：并网后退坡与稳态恢复

说明：

任一时刻，系统只能处于上述 7 个状态之一
不允许“并网 + 离网策略并存”的混合状态

1.3 状态机主迁移路径（正常流程）

主流程状态迁移
S0
 └─(电网异常)→ S1
     └─(解列确认)→ S2
         └─(构网条件满足)→ S3
             └─(电网恢复候选)→ S4
                 └─(合闸许可成立)→ S5
                     └─(合闸成功)→ S6
                         └─(并网稳态确认)→ S0

工程含义：

并–离–并是一个完整闭环
S0 既是起点，也是终点
S3 不是终态，S6 也不是终态

1.4 状态机中的“不可逆瞬时态”

某些状态具备不可逆特征，一旦进入，必须完成或回退，不允许中途取消。

不可逆瞬时态
├─ S1：快速解列阶段
│  └─ 一旦触发，必须完成跳闸确认
├─ S5：合闸执行阶段
│  └─ 一旦发出合闸脉冲，必须等待结果

工程原则：

不允许在 S1 / S5 中插入“策略判断”
不允许人为“中止”这些状态

1.5 状态迁移的触发类型

状态迁移触发源分类
├─ 保护触发
│  └─ 防孤岛继电器动作
├─ 测量触发
│  └─ 电网质量 / 计量判据
├─ 状态确认触发
│  └─ 52a / 52b / 设备反馈
├─ 时间触发
│  └─ 稳定窗口 / 去抖 / 延时
└─ 策略触发
   └─ EMS 判据满足

工程原则：

任一状态迁移必须能归因到上述某一触发类型
禁止“隐式迁移”“推断迁移”

1.6 状态与控制权限的关系

状态与控制权限映射
├─ S0
│  ├─ 并网策略允许
│  └─ 离网策略禁止
├─ S1
│  ├─ 仅允许保护与补跳
│  └─ 禁止任何策略动作
├─ S2
│  ├─ 初始化允许
│  └─ 构网未开始
├─ S3
│  ├─ 离网策略允许
│  └─ 并网策略冻结
├─ S4
│  ├─ 回并网准备允许
│  └─ 禁止新增离网动作
├─ S5
│  ├─ 合闸动作唯一允许
│  └─ 禁止任何其他控制
└─ S6
   ├─ 退坡与恢复允许
   └─ 优化策略延后

工程原则：

控制权限由状态决定
任何“跨状态控制”都视为设计缺陷

1.7 状态机与异常路径的关系

异常不构成新的“状态编号”，而是状态内的分支路径。

异常处理原则
├─ 异常发生在当前状态内
├─ 异常处理结果
│  ├─ 回退至上一安全状态
│  ├─ 进入保护解列路径
│  └─ 锁定系统等待人工干预
└─ 异常不得创建“隐藏状态”

1.8 状态机与日志系统的绑定

状态日志绑定原则
├─ 每次状态进入
│  └─ 记录 timestamp_enter
├─ 每次状态退出
│  └─ 记录 timestamp_exit
├─ 每次迁移
│  └─ 记录 trigger_source
└─ 每次失败
   └─ 记录 failure_reason

工程意义：

任何一次并–离–并过程，都可以完整重放
日志是工程系统的一部分，不是调试附属物

1.9 本章工程结论

状态机是整个并–离–并系统的骨架
所有控制逻辑必须“挂在状态上”
不允许绕过状态机直接操作关键设备
后续每一章（S0–S6）都是对某一个状态的细化

2. S0 并网正常运行

(Grid-Tied Normal Operation)

S0 是并–离–并状态机的基准态。

在该状态下，微电网作为受控并网系统运行，电网是唯一的电压与频率主控源。

2.1 并网运行模式定义

2.1.1 电网主控频率与电压

并网主控原则
├─ 频率主控
│  └─ 公用电网（Utility Grid）
├─ 电压主控
│  └─ 公用电网（Utility Grid）
└─ 微电网角色
   └─ 跟随（Grid-Following）

工程要点：

在 S0 状态下，微电网不具备构网权限
任何本地设备（BESS / DG / PV）均不得主动设定母线频率或电压基准
PCS 必须运行在 Grid-Following 模式或等效并网模式

2.1.2 微电网跟随运行

微电网跟随运行特征
├─ 频率来源：电网
├─ 电压参考：电网
├─ 功率行为
│  ├─ 按 EMS 指令调节
│  └─ 不影响电网稳定性
└─ 控制层级
   └─ EMS 为调度层

工程原则：

S0 下的所有功率控制，必须是缓变、可预测、可限制的
不允许任何“快速功率突变”行为干扰电网

2.2 并网策略模块

并网策略是 S0 状态的核心功能集合。

这些策略在 S0 下允许运行，在其他状态要么冻结、要么受限。

2.2.1 防逆流 / 零逆流

防逆流控制
├─ 监测点
│  └─ PCC 功率方向
├─ 控制对象
│  ├─ BESS 出力
│  └─ PV 出力
└─ 控制目标
   └─ 防止向电网反送功率

工程要点：

防逆流是 并网安全策略，不是经济策略
在并网状态下，其优先级应高于优化类策略

2.2.2 需量管理

需量管理策略
├─ 监测指标
│  └─ 电网取电功率
├─ 控制手段
│  ├─ BESS 削峰
│  └─ 负载管理（如配置）
└─ 控制目标
   └─ 限制最大需量

工程要点：

所有需量控制动作必须满足：
- 不影响保护动作
- 不影响并网稳定性

2.2.3 TOU / 电价优化

电价优化策略
├─ 输入
│  ├─ 分时电价表
│  └─ 当前 SOC
├─ 控制对象
│  └─ BESS 充放电
└─ 约束条件
   ├─ 并网安全优先
   └─ SOC 安全边界

工程原则：

TOU 属于优化类策略
不允许其改变并网保护与安全边界

2.2.4 SOC 管理

SOC 管理逻辑
├─ SOC 上限
│  └─ 防止过充
├─ SOC 下限
│  └─ 保留离网能力
└─ SOC 调节
   └─ 与并网策略协调

工程要点：

在 S0 下，SOC 管理应始终为离网能力留余量
不允许在 S0 下将 SOC 拉至“离网不可用区间”

2.2.5 优化类策略（AI / 预测）

优化类策略特征
├─ 基于预测
│  ├─ 负载
│  ├─ 电价
│  └─ 可再生出力
├─ 调节对象
│  └─ BESS / 负载
└─ 运行约束
   ├─ 不干扰并网稳定
   └─ 可被随时中断

工程原则：

优化策略在 S0 下允许运行
但必须具备立即冻结能力，以便进入 S1

2.3 并网状态监测

S0 状态必须持续监测系统关键量，以判断是否需要离开并网状态。

2.3.1 PCC 状态（52a / 52b）

PCC 状态监测
├─ DI1 = 52a
│  └─ 并网物理闭合确认
├─ DI2 = 52b
│  └─ 断开状态确认
└─ 一致性要求
   └─ 不允许冲突或抖动

工程要点：

S0 的成立前提是：
- 52a 有效
- 52b 无效
任何反馈异常都必须进入异常处理或 S1

2.3.2 电网质量监测

电网质量指标
├─ 电压
├─ 频率
├─ 相位
└─ 连续稳定性

工程原则：

电网质量监测是 S0 → S1 的核心触发来源
EMS 不做保护，但做“保护前判断”

2.3.3 本地电源状态监测

本地资源监测
├─ BESS
│  ├─ SOC
│  ├─ 出力
│  └─ 告警
├─ DG
│  └─ 待机状态
└─ PV
   └─ 并网状态

工程要点：

本地设备异常不一定立刻离网
但必须被记录，并参与后续决策

2.4 S0 → S1 触发条件

S0 是一个可被强制打断的状态。

当以下任一条件成立时，系统必须立即进入 S1。

2.4.1 继电器判定电网异常

主触发
└─ 防孤岛继电器动作

工程原则：

这是最高优先级触发
EMS 不得延迟或否决

2.4.2 计量侧电网异常

冗余触发
└─ 智能电表检测异常

工程原则：

用于交叉验证与提前预警
不替代继电器

2.4.3 EMS 等效电网异常判据

EMS 判据
├─ 电压越限
├─ 频率越限
└─ 连续异常持续时间

工程原则：

EMS 判据可触发 S1
但不直接执行保护跳闸，除非进入补跳逻辑

2.5 本章工程结论

S0 是并–离–并系统的“稳态基准”
所有优化与经济行为，只能发生在 S0
S0 必须随时具备被中断的能力
一旦触发离网条件，必须立即进入 S1

3. S1 电网异常判定与快速解列

(Grid Abnormal Detection & Fast Disconnection)

S1 是并–离–并状态机中最关键、最不可妥协的安全状态。

该状态的目标只有一个：

在任何电网异常情况下，以最快、最确定、最少依赖的软件路径，确保微电网与公用电网物理解列。

3.1 电网异常触发源

S1 的进入条件不依赖单一来源，而是采用多源触发、单一动作结果的设计原则。

3.1.1 防孤岛继电器（主）

主触发源：防孤岛继电器
├─ 监测量
│  ├─ 电压
│  ├─ 频率
│  └─ 相位 / ROCOF（如配置）
├─ 判据
│  └─ 符合 IEEE / UL / Rule 21 等要求
└─ 动作
   └─ 直接驱动 PCC 主断路器跳闸

工程要点：

防孤岛继电器是 S1 的绝对主触发
其动作不需要、也不应等待 EMS 确认
动作时间尺度通常为 毫秒级

3.1.2 智能电表 / 冗余计量

冗余触发源：计量侧
├─ 监测量
│  ├─ 电压
│  ├─ 频率
│  └─ 功率方向
└─ 用途
   ├─ 交叉验证
   └─ 提前预警

工程要点：

计量侧异常可以触发 S1
但不能替代继电器作为主保护路径
在继电器失效或异常场景下，作为重要冗余判断

3.1.3 EMS 内部判据

EMS 等效判据
├─ 电压越限（持续）
├─ 频率越限（持续）
└─ 多指标联合异常

工程要点：

EMS 判据用于：
- 触发状态机迁移
- 判断是否需要补跳
EMS 判据不作为一次保护

3.2 主跳闸路径

3.2.1 继电器直接跳闸 PCC

主跳闸链路
防孤岛继电器
 └─ 跳闸输出
    └─ PCC 主断路器 Shunt Trip Coil
       └─ 断路器机械分断

工程原则：

该路径必须：
- 硬接线
- 独立供电（AIPP UPS）
不允许：
- 经过 EMS
- 经过网络
- 经过软件逻辑

3.3 EMS 闭环确认

继电器完成跳闸动作后，EMS 的首要任务不是“接管系统”，而是确认解列是否真的发生。

3.3.1 52a / 52b 状态核查

解列确认逻辑
├─ DI1（52a） = 0
├─ DI2（52b） = 1
└─ 状态保持稳定 ≥ 去抖时间

工程要点：

52b 成立是物理解列的唯一确认
不允许仅凭“发出跳闸命令”判断成功

3.3.2 去抖与超时判断

确认时间逻辑
├─ 去抖时间
│  └─ 防止触点抖动误判
└─ 最大确认时间
   └─ 防止无限等待

工程原则：

若在规定时间内未确认解列：
- 必须进入补跳逻辑
- 或进入危险锁定态

3.4 EMS 冗余补跳

EMS 的补跳是 S1 中唯一允许的 EMS 主动控制动作。

3.4.1 DO1 补跳条件

补跳触发条件
├─ 已进入 S1
├─ 继电器已判定异常
├─ 超时未收到 52b
└─ 控制电源正常

工程要点：

补跳是兜底措施
不应在正常情况下频繁触发

3.4.2 补跳脉冲控制

补跳执行逻辑
EMS DO1
 └─ 输出跳闸脉冲
    └─ Shunt Trip Coil

工程要点：

跳闸脉冲必须是：
- 有限时长
- 可记录
禁止持续输出

3.4.3 补跳重试与锁定

补跳策略
├─ 最大补跳次数
│  └─ 通常 ≤ 1 次
├─ 若仍失败
│  └─ 进入危险锁定态

工程原则：

禁止反复补跳
防止线圈过热或机械损伤

3.5 跳闸失败与危险锁定

当系统无法确认解列时，必须进入明确的危险状态。

3.5.1 拒动

拒动判据
├─ DO1 已执行
└─ 52b 未成立

3.5.2 反馈冲突

反馈异常
├─ 52a = 1 且 52b = 1
├─ 52a = 0 且 52b = 0
└─ 状态快速抖动

3.5.3 控制电源异常

电源异常
├─ ECP UPS 异常
└─ 控制链路不可用

3.5.4 危险锁定行为

危险锁定动作
├─ 禁止合闸
├─ 禁止进入离网构网
├─ 保持所有设备最保守状态
└─ 等待人工处理

3.6 S1 → S2 转移条件

S1 不能直接进入 S3，必须经过 S2。

S1 → S2 条件
└─ PCC 物理解列确认成立
   ├─ 52b = 1
   ├─ 52a = 0
   └─ 状态稳定

工程原则：

解列未确认，离网运行不允许开始
S2 是离网的“安全缓冲层”

3.7 本章工程结论

S1 是保护优先于控制的典型体现
防孤岛继电器是唯一主跳闸路径
EMS 只做确认与兜底
未确认解列，绝不允许构网

4. S2 离网接管准备

(Island Takeover Preparation)

S2 是一个判定型状态，而不是运行状态。

在 S2 中，系统不构网、不供能、不并联 DG，只做检查、冻结与初始化。

4.1 PCC 解列前置确认

离网运行的前提不是“电网异常”，而是并网点已经物理解列。

4.1.1 52b 成立

PCC 解列硬条件
├─ DI2（52b） = 1
├─ DI1（52a） = 0
└─ 状态持续稳定 ≥ T_ISLAND_VERIFY

工程要点：

52b 是进入 S2 的唯一合法门票
不允许基于“逻辑判断”“继电器已动作”来假定解列成功

4.1.2 反馈一致性校验

反馈一致性检查
├─ 禁止 52a = 1 且 52b = 1
├─ 禁止 52a = 0 且 52b = 0
└─ 禁止高速抖动

工程原则：

反馈不可信，系统必须停在 S2
不允许带着“断路器状态不清楚”进入离网构网

4.2 构网资源可用性检查

S2 的核心任务是判断：

系统有没有“可用、可信、可控”的构网资源。

4.2.1 BESS / PCS 状态

BESS / PCS 检查项
├─ PCS 通信在线
├─ PCS 无严重告警
├─ PCS 具备构网能力
├─ SOC ≥ SOC_ISLAND_MIN
└─ PCS 控制模式可切换

工程要点：

BESS 是默认的首选构网资源
若 BESS 不可用，是否允许进入离网，必须在设计阶段明确
不允许在 S2 阶段“临时决定由谁构网”

4.2.2 DG 可用性

DG 可用性检查
├─ DG 通信在线
├─ 启动系统正常
├─ 无锁定 / 维护状态
└─ 燃料与冷却条件满足

工程原则：

在 S2 阶段，DG 不启动
只确认“是否具备后续启动条件”

4.2.3 控制电源状态

控制电源检查
├─ ECP UPS 正常
├─ 控制电压在允许范围
└─ 无电源类告警

工程要点：

若控制电源不可靠：
- 不允许进入离网构网
- 必须停留在安全态

4.3 离网策略初始化

在 S2 中，系统需要完成策略层的“态度切换”。

4.3.1 负载优先级策略

负载策略初始化
├─ 标记关键负载
├─ 标记可卸载负载
└─ 冻结负载恢复策略

工程原则：

在离网初期，保命优先于舒适
所有“恢复类策略”必须延后

4.3.2 离网保护策略

离网保护初始化
├─ 频率越限策略
├─ 电压越限策略
└─ 过流 / 过载响应策略

工程要点：

离网保护阈值通常不同于并网
必须在构网前完成切换

4.3.3 并网策略冻结

并网策略冻结
├─ TOU / 电价优化
├─ 需量管理
├─ 防逆流
└─ AI / 预测策略

工程原则：

所有并网策略在 S2 起必须被冻结
不允许并网与离网策略同时生效

4.4 S2 → S3 转移条件

只有在 “解列确认 + 构网资源允许 + 策略准备完成” 同时成立时，

系统才允许进入 S3。

S2 → S3 条件集合
├─ PCC 已物理解列（52b 成立）
├─ 断路器反馈一致可信
├─ 至少一个构网资源可用
├─ SOC 满足离网下限
├─ 控制电源可靠
└─ 系统未处于任何锁定态

工程原则：

任一条件不满足：
- 停留在 S2
- 或进入安全锁定
不允许“带病进入离网运行”

4.5 本章工程结论

S2 是离网前的最后一道安全门
它不供电、不构网，只做“是否允许离网”的判断
大量现场事故，源于跳过或弱化 S2
未通过 S2，不得进入 S3

5. S3 离网运行

(Islanded Operation)

S3 表示系统已经完成物理解列并成功进入离网供电状态。

在该状态下，微电网必须独立维持电压与频率稳定，并在资源受限条件下持续运行。

5.1 S3-0 离网入稳阶段

(Island Entry Stabilization)

该阶段发生在 S2 → S3 的瞬间，时间尺度通常为 数百毫秒至数秒。

5.1.1 构网模式建立

构网模式建立
├─ 选择构网主资源
│  └─ 默认：BESS / PCS
├─ PCS 切换至 Grid-Forming
└─ 禁止其他资源并联

工程要点：

构网主控只能有一个
构网建立必须在负载完全受控的前提下进行

5.1.2 电压 / 频率基准建立

基准建立
├─ 频率参考
│  └─ PCS 内部参考
├─ 电压参考
│  └─ PCS 电压控制环
└─ 初始斜坡
   └─ 防止冲击

工程原则：

初始构网允许短时偏差
但必须在可控时间内收敛

5.1.3 动态稳定恢复

稳定性恢复
├─ 电压收敛
├─ 频率收敛
└─ 电流限制生效

工程要点：

若入稳失败：
- 必须立即进入异常分支
- 不允许“强行继续运行”

5.2 S3-1 BESS 主构网稳态

(BESS Grid-Forming Steady State)

S3 的默认稳态是 BESS 主构网。

5.2.1 Grid-Forming 控制

BESS 构网控制
├─ 电压控制环
├─ 频率控制环
└─ 电流 / 功率限幅

工程原则：

构网控制必须是本地闭环
EMS 只下达目标，不参与快速环路

5.2.2 电压 / 频率调节

稳态调节
├─ 电压保持在离网允许带
├─ 频率保持在离网允许带
└─ 对负载变化快速响应

工程要点：

离网允许带通常宽于并网
但必须满足关键负载需求

5.2.3 动态功率支撑

动态支撑
├─ 负载突变
├─ DG 未并联前
└─ 全部由 BESS 承担

工程原则：

BESS 在此阶段是唯一动态缓冲
EMS 不得引入延迟策略干扰

5.3 S3-2 SOC 管理与 DG 启动判据

离网运行的核心风险在于 SOC 枯竭。

5.3.1 SOC 预警线

SOC 预警
├─ SOC ≤ SOC_WARN
└─ 行为
   ├─ 提示告警
   └─ 禁止负载恢复

5.3.2 SOC 保命线

SOC 保命
├─ SOC ≤ SOC_CRITICAL
└─ 行为
   ├─ 触发 DG 启动准备
   ├─ 强制负载卸载
   └─ 禁止高耗能策略

工程原则：

保命线以下，经济性完全失效
系统目标变为“尽可能延长供电”

5.3.3 启动 / 禁止条件

DG 启动条件
├─ SOC 低于阈值
├─ DG 可用
├─ 构网稳定
└─ 非锁定态

DG 启动禁止条件
├─ 构网未稳定
├─ PCS 异常
└─ 系统处于危险状态

5.4 S3-3 DG 启动与暖机

DG 启动是 离网运行中最危险的操作之一。

5.4.1 启动流程

DG 启动流程
├─ 启动命令
├─ 转速建立
├─ 电压建立
└─ 进入暖机

5.4.2 启动失败回退

启动失败
├─ 重试限制
├─ 标记不可用
└─ 回退至 BESS-only

工程原则：

禁止无限重启
启动失败必须被记录并参与后续决策

5.4.3 启动期间功率保障

启动期间
├─ BESS 全功率支撑
└─ 禁止负载恢复

5.5 S3-4 DG 并联与负荷分担

DG 并联是 S3 的第二个高风险点。

5.5.1 并联方式选择

并联方式
├─ 同步并联
└─ 经 PCS 缓冲并联（如支持）

5.5.2 同步判据

同步判据
├─ 频率差
├─ 电压差
└─ 相位差

工程原则：

同步失败不得强并
必须回退并重试或放弃 DG

5.5.3 功率 / 无功分配

功率分担
├─ BESS：快速调节
├─ DG：稳态承担
└─ Droop / 指令分配

5.5.4 防反功率

防反功率
├─ DG 本地保护
└─ EMS 监测与告警

5.6 S3-5 离网长时运行管理

5.6.1 负载卸载与恢复

负载管理
├─ 分级卸载
├─ 条件恢复
└─ 禁止一次性恢复

5.6.2 连续功率与热管理

热管理
├─ BESS 温度
├─ DG 温度
└─ 长时功率限制

5.6.3 黑启动 / 二次恢复策略

极端场景
├─ 全黑启动
└─ 构网失败后的二次尝试

5.7 离网异常分支

异常分支
├─ BESS 构网失败
├─ DG 启动 / 并联失败
├─ 频率 / 电压越限
└─ 反馈异常

工程原则：

异常必须回退到安全状态
不允许在异常中“硬撑运行”

5.8 S3 → S4 触发条件

进入回并网准备条件
└─ 电网恢复候选检测

工程要点：

只是“候选”，不是立即并网
必须进入 S4 进行充分准备

5.9 本章工程结论

S3 是离网运行的完整工程态
构网主控必须唯一
SOC 管理决定系统生死
DG 是续命资源，不是主控
任何离网异常，都必须有明确回退路径

6. S4 回并网准备

(Reconnection Preparation)

S4 的工程本质不是“准备合闸”，而是系统性地证明“现在并网是安全且可控的”。

任何未完成 S4 的系统，都没有资格进入 S5。

6.1 电网恢复感知

(Grid Recovery Detection)

电网恢复不是一个信号，而是一段被验证的过程。

6.1.1 继电器侧感知

继电器侧电网感知
├─ 电压恢复至允许范围
├─ 频率恢复至允许范围
└─ 连续保持

工程要点：

继电器侧只负责是否“看见电网”
不负责判断“是否可以并网”

6.1.2 计量侧感知

计量侧电网感知
├─ PCC 电压稳定
├─ PCC 频率稳定
└─ 电网方向一致

工程原则：

计量侧作为独立冗余判断路径
任一侧异常，都不能进入下一步

6.2 电网稳定计时

(Grid Stability Timing)

6.2.1 稳定窗口定义

稳定窗口
├─ 连续时间 ≥ T_grid_stable
├─ 无越限
└─ 无抖动

工程经验：

电网“刚恢复”的瞬态最危险
必须等电网自己“冷静下来”

6.2.2 防抖逻辑

防抖机制
├─ 瞬态异常清零计时
├─ 连续稳定才累计
└─ 任何回跳都回到 S3

6.3 离网系统稳定性确认

(Islanded System Stability Check)

回并网前，离网侧必须是“稳态中的稳态”。

6.3.1 母线稳定

母线状态
├─ 电压稳定
├─ 频率稳定
└─ 无持续振荡

6.3.2 DG / BESS 状态收敛

资源状态
├─ BESS：功率收敛
├─ DG：转速、电压稳定
└─ 无并联异常

工程要点：

回并网不允许在“系统本身不稳”的情况下进行
这是大量事故的根源

6.3.3 负载状态冻结

负载冻结
├─ 禁止负载恢复
├─ 禁止策略切换
└─ 禁止人工干预

工程原则：

回并网期间，系统结构必须是“冻结态”

6.4 回并网路径选择

(Reconnection Path Selection)

6.4.1 闭合过渡

(Closed Transition)

闭合过渡条件
├─ 微电网可同步
├─ 同步控制能力存在
└─ 获得明确授权

工程提醒：

闭合过渡是“高级玩法”
没有工程能力，宁可不用

6.4.2 开路过渡

(Open Transition)

开路过渡
├─ PCC 已断开
├─ 重新合闸并网
└─ 最安全、最通用

工程共识：

绝大多数项目应采用开路过渡
稳定性 > 连续性

6.5 构网主控确认

(Grid-Forming Master Confirmation)

6.5.1 并网瞬间主控归属

主控归属
├─ 并网前：BESS / DG 构网
├─ 并网瞬间：电网主控
└─ 并网后：微电网跟随

工程原则：

主控权不能模糊
不能出现“双主控”

6.5.2 DG / BESS 角色确认

角色切换
├─ BESS：构网 → 跟随
├─ DG：并联 → 卸载准备
└─ PCS 控制模式切换

6.6 合闸许可准备（C1–C7）

(Close Permission Preparation)

这是 S4 的核心工程动作。

6.6.1 条件采集

条件采集
├─ 电网稳定
├─ PCC 开位确认
├─ 构网稳定
├─ 同步条件（如需要）
├─ 控制电源正常
├─ 通信正常
└─ 无锁定态

6.6.2 条件冻结

许可冻结
├─ 形成许可快照
├─ 禁止条件变更
└─ 绑定合闸动作

工程原则：

合闸使用的是“快照”
不是“实时再算一遍”

6.7 S4 → S5 转移条件

进入合闸执行条件
├─ 所有 C1–C7 成立
├─ 状态机未锁定
└─ EMS 明确授权

工程铁律：

S4 不允许任何合闸
只有 S5 才能下发 DO2

6.8 本章工程结论

S4 是并网前最后一道安全闸门
电网恢复 ≠ 可以并网
系统自身稳定是前提
合闸许可必须“冻结后执行”
任何跳过 S4 的系统，都是事故系统

7. S5 合闸执行与闭环确认

(Close Execution & Closed-Loop Verification)

S5 是唯一允许主断路器合闸的状态。

任何非 S5 状态的合闸尝试，工程上都应视为严重设计错误或违规操作。

7.1 合闸前最终状态确认

(Final Pre-Close Verification)

合闸前的确认不是“再算一次条件”，

而是对 S4 中冻结的许可快照 做最终一致性核查。

7.1.1 PCC 开位确认

合闸前硬条件
├─ DI2（52b） = 1
├─ DI1（52a） = 0
└─ 状态稳定 ≥ T_pre_close

工程铁律：

未确认开位，禁止合闸
禁止“试着合一下看看”

7.1.2 许可快照绑定

许可绑定
├─ 使用 S4 冻结的 C1–C7 快照
├─ 不重新计算条件
└─ 快照 ID 绑定到本次合闸

工程原则：

合闸用的是“当时被批准的条件”
而不是“现在看起来好像也行”

7.2 DO2 合闸执行

(Close Command Execution)

7.2.1 脉冲参数

DO2 合闸脉冲
├─ 脉冲宽度：T_close_pulse
├─ 单次触发
└─ 禁止持续输出

工程经验：

合闸线圈永远是脉冲控制
持续上电是典型的灾难设计

7.2.2 中间继电器链路

合闸链路
EMS DO2
  ↓
中间继电器
  ↓
断路器 Close Coil

工程原则：

EMS 不直接驱动线圈
中间继电器是电气隔离与安全缓冲

7.3 合闸反馈确认

(Close Feedback Verification)

7.3.1 52a / 52b 判据

合闸成功判据
├─ DI1（52a） = 1
├─ DI2（52b） = 0
└─ 在 T_close_confirm 内完成

7.3.2 去抖与超时

反馈处理
├─ 去抖时间 ≥ T_debounce
├─ 超时未到位 → 失败
└─ 冲突反馈 → 失败

工程铁律：

没有反馈 = 没有合闸
逻辑上“我已经下命令了”毫无意义

7.4 合闸成功处理

(Close Success Handling)

成功处理
├─ PCC 状态 = 并网
├─ 状态机推进至 S6
├─ 记录合闸事件
└─ 释放合闸许可

工程要点：

合闸成功不是结束，而是下一阶段的开始

7.5 合闸失败分支

(Close Failure Branches)

7.5.1 拒动

拒动判定
├─ DO2 已执行
├─ 52a 未到位
└─ 超时

处理原则：

记录
锁定
禁止重试（除非人工复位）

7.5.2 半合位

危险态
├─ 52a / 52b 同时有效
└─ 状态不确定

工程铁律：

半合位 = 极高风险
必须立即锁定系统

7.5.3 状态异常

异常
├─ 合闸后立即跳闸
├─ 电网质量异常
└─ 保护动作

7.6 合闸后瞬态异常处理

(Post-Close Transient Handling)

7.6.1 快速回退

回退机制
├─ 立即跳闸 PCC
├─ 回到 S3 或 S4
└─ 锁定并报警

工程原则：

错一次可以
错两次就是系统设计问题

7.6.2 再次解列

再解列
├─ 继电器或 EMS 跳闸
├─ 保留事故证据
└─ 禁止自动再合

7.7 S5 → S6 转移条件

转移条件
├─ PCC 合位确认
├─ 并网瞬态无异常
└─ 状态一致

7.8 本章工程结论

合闸是被授权的、一次性的、可审计动作
合闸权必须集中在 EMS
没有反馈就没有合闸
合闸失败必须锁定
“自动反复合闸”是典型反工程设计

8. S6 并网后退坡与稳态恢复

(Post-Reconnection Ramp-Down & Steady-State Restoration)

S6 的核心目标只有三点：

电网重新成为唯一电压 / 频率主控
所有构网资源安全、有序退出
并网策略逐步恢复，不引入新扰动

8.1 并网瞬态稳定观察

(Post-Close Transient Observation)

合闸完成 ≠ 稳定完成。

8.1.1 频率 / 电压观察

并网瞬态观察
├─ PCC 频率偏差
├─ PCC 电压偏差
└─ 短时振荡 / 冲击

工程要点：

观察窗口通常为 5–30 s（视系统规模）
在该窗口内：
- 禁止任何策略动作
- 禁止负载恢复

8.1.2 功率方向监测

功率方向
├─ 防止反送
├─ 防止瞬态大功率冲击
└─ 防止 DG 反功率

工程经验：

回并网瞬间的功率方向错误，是最常见的保护触发原因

8.1.3 保护预警

保护预警
├─ 继电器无动作
├─ PCS 无异常
└─ DG 无跳闸趋势

8.2 BESS 构网退坡

(BESS Grid-Forming Ramp-Down)

BESS 是离网阶段的“临时主控”，

但在并网后必须平滑退出主控角色。

8.2.1 控制模式切换

PCS 模式切换
├─ Grid-Forming → Grid-Following
├─ 控制权逐步释放
└─ 禁止硬切

工程原则：

模式切换必须是渐进式
禁止“瞬间切断构网”

8.2.2 Droop 权重退坡

Droop 退坡
├─ 频率 Droop 权重逐步减小
├─ 电压 Droop 权重逐步减小
└─ 最终权重 → 0

工程经验：

Droop 不退坡，等于“双主控”
这是典型设计隐患

8.3 DG 卸载与停机

(Diesel Generator Unloading & Shutdown)

DG 在回并网后不应继续承担长期功率，除非项目明确设计为并网并联运行。

8.3.1 卸载策略

DG 卸载
├─ 有功功率逐步降至 0
├─ 无功退出
└─ 防反功率监控

工程要点：

先卸载，再停机
禁止“直接跳机”

8.3.2 冷却与停机条件

停机条件
├─ 卸载完成
├─ 冷却时间满足
└─ 无告警

8.3.3 备用策略

备用状态
├─ 保持可快速启动
└─ 进入待命

8.4 PV 与并网逆变器恢复

(PV & Grid-Following Inverter Restoration)

8.4.1 斜坡限制

PV 恢复
├─ 功率爬坡限制
├─ 电压跟随
└─ 频率跟随

工程原则：

PV 是扰动源
恢复必须慢于系统吸收能力

8.4.2 防逆流校验

防逆流
├─ 并网点功率方向
├─ 策略重新启用
└─ 限值校验

8.5 并网策略逐步恢复

(Gradual Strategy Restoration)

8.5.1 基础策略

优先恢复
├─ 防逆流
├─ 保护联动
└─ 安全策略

8.5.2 稳定策略

稳定策略
├─ SOC 管理
├─ 基础调度
└─ 简单优化

8.5.3 优化策略

延后恢复
├─ TOU
├─ 需量管理
└─ AI / 预测策略

工程原则：

优化永远最后
稳定优先于收益

8.6 并网后异常处理

(Post-Reconnection Abnormal Handling)

异常分支
├─ 再次跳闸
├─ 控制冲突
├─ 保护动作
└─ 通信异常

工程原则：

一旦异常：
- 立即解列
- 回到 S3 或 S4
- 锁定并报警

8.7 S6 → S0 完成条件

流程完成条件
├─ 并网稳定 ≥ T_steady
├─ BESS 构网完全退出
├─ DG 停机或待命
├─ PV 正常并网
└─ 无未清除锁定

8.8 本章工程结论

S6 是“把系统送回现实世界”的阶段
构网退出必须平滑
DG 必须卸载后停机
策略恢复要分层、分速
省略 S6 的系统，一定会在未来某一天出事故

9. 全流程日志、审计与验收

(Logging, Auditability & Commissioning)

9.1 状态迁移日志

(State Transition Logging)

9.1.1 状态机级日志（必须）

状态迁移日志结构
├─ 时间戳（UTC / 本地）
├─ 上一状态
├─ 目标状态
├─ 触发原因
├─ 判据来源
└─ 执行结果

工程原则：

每一次状态变化都必须有记录
不允许“隐式状态切换”
不允许“系统自己悄悄换状态”

9.1.2 状态迁移完整性

完整性要求
├─ 不允许跳级（如 S1 → S3）
├─ 不允许回退无记录
└─ 不允许人工覆盖无标记

工程经验：

90% 的现场扯皮，来自“状态到底怎么变的”
日志就是事实

9.2 关键动作证据链

(Critical Action Evidence Chain)

本系统中，以下动作必须具备完整证据链：

关键动作清单
├─ PCC 跳闸
├─ EMS 补跳
├─ 构网启动
├─ DG 启动 / 并联
├─ 合闸执行
├─ 再次解列
└─ 锁定 / 解锁

9.2.1 动作证据结构

动作证据
├─ 动作 ID
├─ 触发源
├─ 控制输出（DO）
├─ 反馈输入（DI）
├─ 超时 / 去抖结果
└─ 成功 / 失败判定

工程原则：

没有反馈，不构成“完成”
只有 DO，没有 DI，不是证据

9.2.2 证据不可篡改原则

审计原则
├─ 日志只追加
├─ 不允许覆盖
└─ 时间顺序不可打乱

9.3 FAT / SAT 用例映射

(Factory & Site Acceptance Test Mapping)

S0–S6 状态机必须一一映射到 FAT / SAT 测试项。

9.3.1 FAT 覆盖范围（工厂）

FAT 覆盖
├─ I/O 点位正确性
├─ 跳闸链路
├─ 合闸链路
├─ 状态机逻辑
└─ 锁定机制

工程原则：

FAT 不验证“电网”
FAT 验证“逻辑与控制闭环”

9.3.2 SAT 覆盖范围（现场）

SAT 覆盖
├─ 实际电网解列
├─ 实际离网运行
├─ 实际回并网
├─ 构网退坡
└─ 异常回退

工程铁律：

不做 SAT 的并–离–并，等于没做
录像 + 日志 = 唯一可信证据

9.3.3 用例–状态映射示例

示例
S1 → 跳闸验证
S3 → 离网稳定运行
S5 → 合闸闭环确认
S6 → 构网退出与稳态

9.4 责任与边界记录

(Responsibility & Boundary Definition)

这是法律与工程的交汇点。

9.4.1 控制责任边界

责任划分
├─ 继电器：保护动作
├─ EMS：控制与授权
├─ PCS / DG：本地执行
└─ 客户 / EPC：设备与安装

工程原则：

EMS 不对非授权路径负责
EMS 不承担硬件拒动责任

9.4.2 合闸授权记录

合闸责任
├─ 仅 EMS 可授权
├─ 授权条件记录
└─ 授权时间戳

这是免责核心。

9.4.3 人工干预记录

人工干预
├─ 人员身份
├─ 操作内容
├─ 操作时间
└─ 系统状态

工程经验：

很多事故不是系统干的，是人干的
不记录 = 背锅

9.5 本章工程结论

日志是系统的“黑匣子”
状态机没有日志 = 没有状态机
FAT / SAT 是工程交付底线
责任边界必须写进系统，而不是 PPT
没有审计能力的 EMS，不具备商用资格

全章总结（并–离–并控制总章）

并–离–并是一个状态机问题，不是控制技巧
跳闸靠保护，合闸靠授权
离网靠构网，回网靠退坡
稳定优先于连续
日志优先于解释

FAT / SAT 测试用例体系

(Factory & Site Acceptance Test Framework)

1. 总体测试设计原则（工程级）

1.1 FAT 与 SAT 的本质区别

FAT = 验证“系统是否按设计工作”
SAT = 验证“系统在真实世界是否安全工作”

工程红线：

FAT 不依赖真实电网
SAT 必须在真实或等效电网条件下完成
任何“只做 FAT 不做 SAT”的并–离–并系统，工程上不成立

1.2 测试覆盖原则

测试必须覆盖
├─ 所有状态（S0–S6）
├─ 所有关键动作（Trip / Close / Start / Stop）
├─ 所有失败分支
└─ 所有锁定逻辑

1.3 判定原则

动作 ≠ 成功
必须有反馈闭环
超时、拒动、冲突必须被测试

2. FAT – Factory Acceptance Test

（工厂验收测试）

FAT 的目标：

2.1 FAT-00 基础与准备测试

FAT-00-1 控制电源测试

目的：
验证 ECP UPS 供电可靠

步骤：
1. 主电源断开
2. UPS 接管供电
3. EMS 不重启、不丢状态

合格判据：
- EMS 连续运行
- 无异常复位

FAT-00-2 I/O 点表一致性

目的：
验证 DO / DI 定义与文档一致

检查项：
- DO1 = Trip
- DO2 = Close
- DI1 = 52a
- DI2 = 52b

合格判据：
- 点位与逻辑完全一致

2.2 FAT-01 S0 并网正常运行逻辑

FAT-01-1 并网状态识别

模拟条件：
- DI1 = 1
- DI2 = 0

期望：
- 状态机 = S0
- 并网策略启用

FAT-01-2 S0 → S1 触发

触发方式：
- 模拟继电器电网异常信号
- 或模拟计量异常

期望：
- 状态机进入 S1
- 不触发合闸

2.3 FAT-02 S1 电网异常与跳闸

FAT-02-1 继电器主跳闸路径

模拟：
- 继电器跳闸信号

期望：
- PCC 状态变为开位（DI2 = 1）
- EMS 记录“继电器主跳闸”

FAT-02-2 EMS 冗余补跳

模拟：
- 电网异常
- DI 状态未变化

期望：
- EMS 触发 DO1
- 记录补跳事件

FAT-02-3 跳闸失败锁定

模拟：
- DO1 输出
- DI 状态不变

期望：
- 系统锁定
- 禁止进入 S2

2.4 FAT-03 S2 离网接管准备

FAT-03-1 PCC 解列确认

条件：
- DI2 = 1
- DI1 = 0

期望：
- 允许进入 S2

FAT-03-2 构网资源不可用

模拟：
- BESS 通信中断

期望：
- 停留在 S2
- 不进入 S3

2.5 FAT-04 S3 离网运行逻辑（仿真）

FAT-04-1 构网命令下发

模拟：
- BESS 可用

期望：
- EMS 下发构网模式命令
- 记录构网开始

FAT-04-2 SOC 触发 DG 启动判据

模拟：
- SOC < 预警线

期望：
- EMS 生成 DG 启动准备事件
（FAT 中不要求真实启动）

2.6 FAT-05 S4 回并网准备

FAT-05-1 电网恢复感知

模拟：
- 电网恢复信号
- 稳定计时完成

期望：
- 进入 S4

FAT-05-2 C1–C7 许可冻结

期望：
- 生成合闸许可快照
- 快照 ID 可追溯

2.7 FAT-06 S5 合闸执行

FAT-06-1 合闸允许状态验证

条件：
- 状态机 = S5
- 许可有效

期望：
- 允许 DO2

FAT-06-2 合闸脉冲验证

检查：
- DO2 为脉冲输出
- 无持续上电

FAT-06-3 合闸失败处理

模拟：
- DI 状态不变化

期望：
- 合闸失败
- 系统锁定

2.8 FAT-07 S6 并网后退坡

FAT-07-1 BESS 构网退出逻辑

期望：
- 控制模式切换命令正确
- 无瞬断

FAT-07-2 DG 卸载命令

期望：
- 先卸载
- 再停机（逻辑层）

2.9 FAT-08 日志与审计

FAT-08-1 状态迁移日志

检查：
- S0 → S6 全路径可追溯

FAT-08-2 动作证据链

检查：
- 每个 DO 都有 DI 对应

3. SAT – Site Acceptance Test

（现场验收测试）

SAT 的目标：

3.1 SAT-01 实际并网 → 解列

操作：
- 人为制造电网掉电

期望：
- 继电器毫秒级跳闸
- EMS 识别并记录

3.2 SAT-02 实际离网构网

期望：
- PCC 已解列
- BESS 成功构网
- 关键负载不掉电

3.3 SAT-03 SOC 触发 DG

操作：
- 人为降低 SOC

期望：
- DG 启动
- 平滑并联

3.4 SAT-04 离网长时运行

验证：
- 电压 / 频率稳定
- 无异常保护动作

3.5 SAT-05 电网恢复 → 回并网

操作：
- 恢复电网

期望：
- 稳定计时
- 进入 S4

3.6 SAT-06 合闸执行

期望：
- 仅 EMS 发起合闸
- 52a/52b 闭环确认

3.7 SAT-07 并网后退坡

验证：
- BESS 退出构网
- DG 卸载并停机

3.8 SAT-08 故障回退

模拟：
- 合闸后异常

期望：
- 再次解列
- 事件完整记录

4. 工程交付结论（非常重要）

FAT 证明“你没写错程序”
SAT 证明“你没害死人”
并–离–并系统：
- 没有 FAT = 不专业
- 没有 SAT = 不合规
这套测试清单 可以直接写进合同 / 技术附件

《Microgrid Grid-Connected / Islanded / Reconnection Control Technical Specification》

文件性质：

Engineering Control & Protection Technical Specification

适用对象：

EPC Contractor
Utility / Interconnection Reviewer
Owner’s Engineer
Commissioning Authority

适用系统：

Grid-Connected Microgrid
Island-Capable Microgrid
BESS + DG + PV Hybrid Systems

1. Scope & Purpose（适用范围与目的）

1.1 Scope

This specification defines the engineering-level control, protection, and verification requirements for a microgrid system capable of:

Grid-connected operation
Autonomous islanded operation
Controlled reconnection to utility grid

including trip, islanding, grid-forming, reconnection, and post-reconnection ramp-down behaviors.

1.2 Purpose

The purpose of this document is to ensure that:

Islanding is achieved through primary protection with redundant supervision
Reconnection is executed only through explicit authorization and closed-loop confirmation
All grid ↔ island ↔ grid transitions are:
- Deterministic
- Auditable
- Testable
- Contractually enforceable

2. System Boundary & Responsibility Definition

2.1 Functional Responsibility Boundary

Protection Layer:
- Anti-islanding relay
- Primary fault detection
- Mandatory trip authority

Control Layer:
- EMS (Energy Management System)
- Supervisory logic
- Close authorization authority

Execution Layer:
- PCC circuit breaker
- PCS / BESS controller
- DG controller

2.2 Authority Definition (Non-Negotiable)

Trip Authority
- Primary: Anti-islanding relay
- Secondary (redundant): EMS supervised trip
Close Authority
- EMS is the sole authorized close initiator
- Any non-EMS close path is prohibited

3. PCC Breaker I/O Definition

3.1 Mandatory I/O Mapping

Signal	Function	Description
DO1	Trip	Shunt Trip Coil
DO2	Close	Close Coil
DI1	52a	Breaker Closed Feedback
DI2	52b	Breaker Open Feedback

3.2 Feedback Integrity Rules

52a and 52b shall never be simultaneously asserted
Any feedback conflict shall immediately trigger system lockout
No breaker state shall be assumed without DI confirmation

4. State Machine Control Framework (Mandatory)

4.1 Defined States

S0 – Grid-Connected Normal Operation
S1 – Grid Abnormality & Fast Disconnection
S2 – Island Takeover Preparation
S3 – Islanded Operation
S4 – Reconnection Preparation
S5 – Close Execution & Verification
S6 – Post-Reconnection Ramp-Down & Recovery

4.2 State Transition Rules

State transitions shall be sequential and non-skippable
Any abnormal condition shall force:
- Immediate fallback
- System lockout
- Logged event

5. Islanding Control Requirements

5.1 Primary Trip Path

Grid abnormality detected by protection relay
Relay shall trip PCC breaker within protection time requirement

5.2 EMS Redundant Supervised Trip

If PCC breaker does not open within defined timeout:

EMS shall issue redundant trip via DO1
Failure to open shall trigger lockout

5.3 Island Entry Qualification

System shall not enter islanded operation unless:

PCC breaker open state confirmed (52b)
Control power available
At least one grid-forming resource available

6. Islanded Operation Requirements

6.1 Grid-Forming Priority

BESS shall be the default grid-forming source
DG may supplement based on SOC thresholds

6.2 SOC-Based DG Coordination

SOC warning threshold: initiate DG preparation
SOC minimum threshold: mandatory DG start

6.3 Protection Adaptation

Island-specific voltage and frequency limits shall apply
Grid-following strategies shall be frozen

7. Reconnection Preparation Requirements

7.1 Grid Recovery Validation

Grid recovery shall be confirmed by:

Protection relay measurement
Independent metering confirmation
Stability time window verification

7.2 Island Stability Requirement

Before reconnection:

Island voltage and frequency shall be stable
No ongoing transients or oscillations permitted

7.3 Close Permission Snapshot (C1–C7)

All close conditions shall be collected and frozen
No real-time recalculation allowed during execution

8. Close Execution Requirements (Critical)

8.1 Close Authorization

Close command may only be issued in S5
Close command shall be pulse-based
Continuous close output is prohibited

8.2 Closed-Loop Verification

Breaker closed state must be confirmed by 52a
Timeout or mismatch shall be treated as failure

8.3 Failure Handling

Any of the following shall result in immediate lockout:

Refusal to close
Half-closed / ambiguous feedback
Immediate post-close protection operation

9. Post-Reconnection Ramp-Down

9.1 Grid-Forming Exit

BESS shall smoothly transition from grid-forming to grid-following
Droop participation shall be gradually reduced to zero

9.2 DG Unloading & Shutdown

DG shall unload power before shutdown
Reverse power protection shall be enforced

9.3 Strategy Restoration

Strategies shall be restored in sequence:

Protection and safety strategies
Stability strategies
Optimization strategies

10. Logging, Audit & Acceptance Testing

10.1 Mandatory Logging

All state transitions
All trip and close actions
All failures and lockouts

Logs shall be append-only and auditable.

10.2 FAT / SAT Requirement

FAT shall validate logic, I/O, and closed-loop behavior
SAT shall validate real-world grid/island transitions

No system shall be accepted without documented FAT and SAT completion.

11. Engineering Liability Boundary (Very Important)

EMS responsibility is limited to authorized control paths
EMS assumes no liability for:
- Manual breaker operation
- Unauthorized wiring
- External equipment refusal

工程使用建议（给你，非常关键）

把这一份作为“Technical Specification – Mandatory”
- 放进 EPC 合同附件
- 放进 Utility interconnection package
FAT / SAT 清单作为强制交付物
- 不做完，不允许 Commercial Operation
任何偏离此规范的设计
- 必须书面批准
- 否则视为 EPC 自担风险

Grid–Islanding–Reconnection Control

IEEE 1547 / Rule 21 Compliance Mapping

Document Type: Compliance & Traceability Matrix

Audience:

Utility Interconnection Engineer
Protection Engineer
Rule 21 / IEEE 1547 Reviewer
Owner’s Engineer

1. 映射说明（Reviewer 必读）

1.1 映射原则

本系统采用 Protection-led Islanding + EMS Supervised Control
跳闸权 = 保护装置
合闸权 = EMS（唯一授权）
所有并–离–并动作：
- 闭环确认
- 状态机约束
- 可审计

⚠️ 重要声明（建议原文保留）

这句话是 Utility 放行的关键句。

2. IEEE 1547-2018 核心条款映射

2.1 IEEE 1547 Clause 4.2 – Cease to Energize

IEEE 1547 要求

DER shall cease to energize the Area EPS within the specified clearing time upon detection of abnormal conditions.

本系统实现方式

项目	实现
主判据	防孤岛继电器
动作路径	继电器 → PCC 主断路器
动作时序	毫秒级（Protection Class）
EMS 角色	非主保护，仅监督

合规结论

✔ 满足 IEEE 1547 对 Cease to Energize 的强制要求

✔ EMS 不参与 primary clearing time

2.2 IEEE 1547 Clause 4.4 – Islanding

IEEE 1547 要求

DER shall detect unintentional islanding and cease to energize.

本系统实现方式

项目	实现
Islanding 检测	防孤岛继电器
解列方式	PCC 物理解列
EMS 角色	状态确认与记录

关键工程点（Reviewer 关心）

Islanding detection 不依赖通信
Islanding clearing 不依赖 EMS 软件

合规结论

✔ 满足 unintentional islanding 要求

✔ 符合 Utility “no software-only protection”原则

2.3 IEEE 1547 Clause 4.10 – Reconnection

IEEE 1547 要求

DER shall not reconnect until Area EPS is stable and reconnection criteria are satisfied.

本系统实现方式

要求	对应机制
电网稳定	继电器 + 计量双路径确认
稳定时间	S4 稳定窗口计时
合闸控制	EMS 唯一授权
反馈确认	52a / 52b 闭环

关键声明（非常重要）

Reconnection is explicitly prohibited unless all reconnection conditions are validated and frozen prior to execution.

合规结论

✔ 满足 IEEE 1547 Reconnection 条款

✔ 明确禁止自动 / 盲目重合闸

2.4 IEEE 1547 Clause 4.13 – Control & Monitoring

IEEE 1547 要求

DER shall provide monitoring and control capability.

本系统实现方式

项目	实现
状态监测	PCC 状态、频率、电压
控制能力	EMS Supervisory Control
安全边界	不越权保护

合规结论

✔ EMS 作为 supervisory control，完全合规

✔ 不承担 primary protection 责任

3. IEEE 1547 Clause 5 – Interoperability

3.1 功能独立性

要求	本系统
Protection 独立	是
Control 可配置	是
Failure Safe	是

3.2 Fail-Safe 行为

任何以下情况 → 解列 + 锁定
├─ 通信中断
├─ 反馈冲突
├─ 合闸失败
└─ 状态不一致

✔ 符合 IEEE 1547 Fail-Safe 原则

4. California Rule 21 映射（如果适用）

4.1 Rule 21 – Section H (Protection)

Rule 21 要求	实现
Anti-Islanding	继电器
Clearing Time	继电器满足
EMS 非主保护	明确

✔ 完全符合 Rule 21 Protection 要求

4.2 Rule 21 – Section I (Reconnection)

Rule 21 要求	实现
Utility 电网稳定	S4 稳定计时
手动/受控重连	EMS 授权
防自动重合	禁止

✔ Reviewer 通常 非常喜欢 这种设计

5. Utility Reviewer 关注点逐条回应（实战）

Q1：EMS 会不会影响保护动作？

回答：不会。保护完全由认证继电器执行，EMS 仅监督。

Q2：如果 EMS 死机怎么办？

回答：系统保持解列状态，无法合闸，Fail-Safe。

Q3：有没有自动重合闸？

回答：没有。所有合闸必须经过 EMS 明确授权。

Q4：是否有证据链？

回答：所有 Trip / Close 具备 DI 反馈与日志。

6. 可直接放进 Interconnection Package 的总结段落（推荐原文）

The microgrid employs protection-led islanding and EMS-supervised reconnection.Anti-islanding protection is implemented by certified protection relays in full compliance with IEEE 1547 and applicable utility requirements.The EMS does not perform primary protection functions and cannot independently energize the Area EPS.All reconnection actions are explicitly authorized, condition-validated, and feedback-confirmed.

7. 工程结论（给你）

你这套设计：
- 在工程上是“偏保守但极安全”
- 在 Utility 眼里是“非常干净的设计”
Reviewer 最怕的三件事：
1. EMS 代替保护
2. 自动重合闸
3. 无反馈的控制
你这套 三件事全都规避了

Interconnection Compliance Statement

Grid–Islanding–Reconnection Control

Project: Microgrid with BESS / DG / PV

System Role: Grid-Connected and Island-Capable Microgrid

Applicable Standards: IEEE 1547-2018, California Rule 21 (if applicable)

1. Statement of Compliance

This document certifies that the microgrid system complies with all applicable interconnection and protection requirements related to islanding detection, cease-to-energize behavior, controlled reconnection, and post-reconnection operation, as defined by IEEE 1547-2018 and relevant utility interconnection rules.

2. Protection and Islanding Compliance

Primary anti-islanding protection is implemented using certified protection relays in accordance with IEEE 1547 requirements.
Islanding detection and clearing do not rely on EMS software, communication links, or supervisory logic.
Upon detection of abnormal grid conditions, the protection relay directly trips the PCC circuit breaker within the required clearing time.
The EMS does not perform primary protection functions and does not affect protection clearing times.

Compliance Reference:

IEEE 1547-2018 Clauses 4.2, 4.4

3. Cease-to-Energize Behavior

The system ceases to energize the Area EPS through physical disconnection at the PCC breaker.
Breaker open status is verified using hardwired auxiliary contacts (52a/52b).
Any failure to achieve confirmed disconnection results in system lockout and alarm.

Compliance Reference:

IEEE 1547-2018 Clause 4.2

4. Reconnection Control and Authorization

Reconnection to the utility grid is explicitly prohibited unless all reconnection conditions are validated.
The EMS is the sole authorized entity permitted to issue a PCC close command.
No automatic or autonomous reclosing functions are enabled.
Reconnection conditions are:
- Independently measured and validated
- Time-qualified for grid stability
- Frozen as a permission snapshot prior to execution
All close commands are executed as pulse-based outputs and require positive breaker feedback confirmation.

Compliance Reference:

IEEE 1547-2018 Clause 4.10

California Rule 21 Section I (if applicable)

5. Fail-Safe and Abnormal Condition Handling

Loss of EMS communication, controller failure, or control power loss cannot result in unintended energization of the Area EPS.
Any of the following conditions immediately force disconnection and lockout:
- Breaker feedback inconsistency
- Close command failure
- Post-close protection operation
- Control or communication failure
Manual breaker operation or unauthorized control paths are outside the EMS control boundary and responsibility.

Compliance Reference:

IEEE 1547-2018 Clause 5 (Interoperability & Fail-Safe Behavior)

6. Logging, Audit, and Verification

All islanding, reconnection, and abnormal events are:
- Time-stamped
- Logged
- Traceable
All trip and close actions include command issuance, feedback verification, and result classification.
Factory Acceptance Testing (FAT) and Site Acceptance Testing (SAT) are mandatory and documented prior to system commissioning.

7. Responsibility and Liability Boundary

Protection relays retain full authority for primary protection and islanding functions.
The EMS operates strictly as a supervisory control system.
The EMS cannot independently energize the Area EPS.
The EMS assumes no responsibility for:
- Unauthorized wiring or modifications
- Manual breaker operation
- Failure of third-party protection devices

8. Declaration

The undersigned certifies that the described microgrid control and protection system is designed and implemented in compliance with applicable interconnection requirements and follows protection-led islanding with EMS-supervised reconnection principles.

Prepared by:

Energize Solutions Inc.

System Role: EMS & Control Architecture Provider

Date: ____________________

Signature: ____________________