摘要：通過介紹智能變電站對時間同步需求和網(wǎng)絡(luò)時間協(xié)議的技術(shù)特點、工作原理和組網(wǎng)方式，分析了目前網(wǎng)絡(luò)時間同步系統(tǒng)在智能變電站應(yīng)用中的優(yōu)勢與不足。對于IEC61588網(wǎng)絡(luò)時間同步系統(tǒng)在系統(tǒng)管理、產(chǎn)品設(shè)計和網(wǎng)絡(luò)結(jié)構(gòu)上存在的安全隱患，提出了一種基于智能變電站網(wǎng)絡(luò)流量仿真技術(shù)的安全測評方法，并利用該方法進行了測評實例分析，保證了IEC61588時間同步系統(tǒng)智能變電站的安全可靠運行。

0引言

目前，隨著中國智能電網(wǎng)的快速推進，傳統(tǒng)變電站正逐步向基于IEC61850標準的智能變電站方向發(fā)展，基于網(wǎng)絡(luò)的時間同步系統(tǒng)在智能變電站有了廣闊的應(yīng)用空間。簡單網(wǎng)絡(luò)時間協(xié)議(SNTP)在變電站站控層得到廣泛應(yīng)用，基于IEC61588的精確時間協(xié)議(PTP)也在智能變電站過程層得到應(yīng)用。目前，已投運的應(yīng)用IEC61588技術(shù)的智能變電站主要有蘇州500kV玉山智能變電站、延安330kV智能化改造變電站、河南淇縣220kV智能變電站、無錫220kV西徑智能變電站和天津110kV 和暢路變電站。

智能變電站應(yīng)用IEC61588技術(shù)的優(yōu)點主要有：①能夠提供高精度的對時性能，對時精度小于1μs且能夠滿足合并單元、保護裝置、智能終端設(shè)備、同步相量測量裝置(PMU)及行波測距裝置、雷電波定位裝置等對時間精度的需求;②IEC61588技術(shù)是基于以太網(wǎng)技術(shù)發(fā)展而來的，與智能變電站網(wǎng)絡(luò)結(jié)構(gòu)完全吻合，利用現(xiàn)有網(wǎng)絡(luò)就可以實現(xiàn)時間同步對時功能，不需要單獨布線，從而優(yōu)化了變電站網(wǎng)絡(luò)結(jié)構(gòu);③智能變電站采用IEC61588技術(shù)，在系統(tǒng)中只需要保留2臺主時鐘，減少了擴展裝置的投入，從而減少了系統(tǒng)中運行設(shè)備的數(shù)量，降低了設(shè)備成本;④全站采用網(wǎng)絡(luò)時間同步技術(shù)，使時間同步系統(tǒng)建模更加方便，有利于變電站二次系統(tǒng)的集中監(jiān)控和管理。

雖然IEC61588技術(shù)在智能變電站應(yīng)用方面有很多優(yōu)點，但現(xiàn)階段仍然存在很多需要解決的問題：①IEC61588技術(shù)在智能變電站應(yīng)用的案例不多，經(jīng)驗少、產(chǎn)品不成熟、系統(tǒng)運行穩(wěn)定性差，存在時間抖動大、抗網(wǎng)絡(luò)風(fēng)暴能力差及長時間對時失效的現(xiàn)象;②由于IEC61588特殊的工作原理，需要在系統(tǒng)研制過程中采取足夠的安全防護措施，降低設(shè)備被惡意攻擊的可能性，而這種安全防護在現(xiàn)有系統(tǒng)設(shè)計中均沒有得到足夠重視，使得產(chǎn)品設(shè)計存在嚴重缺陷，系統(tǒng)運行存在安全隱患;③應(yīng)用經(jīng)驗較少，系統(tǒng)設(shè)計不合理，雖然已有一些試點智能變電站，但系統(tǒng)內(nèi)深入了解該技術(shù)的人員非常少，存在系統(tǒng)設(shè)計缺陷(如缺少備用主時鐘、間隔層缺少守時系統(tǒng)等);④支持IEC61588技術(shù)的成熟產(chǎn)品不多，造成變電站二次系統(tǒng)總體造價過高，阻礙了該技術(shù)在智能變電站中的應(yīng)用，但隨著技術(shù)的成熟和市場的有序競爭，該問題將逐步得到解決。

本文結(jié)合工程經(jīng)驗和實驗室測試數(shù)據(jù)，對IEC61588PTP[1]在智能變電站應(yīng)用中存在的安全問題和安全防護措施進行了探討，并提出了一種基于變電站網(wǎng)絡(luò)流量仿真的測試方法，用以評估系統(tǒng)安全性。

1IEC61588PTP

IEC61588標準主要為滿足測量儀器和工業(yè)控制所需要的測量準確度而產(chǎn)生，在2008年形成了IEEE1588V2，并很快被國際電工委員會(IEC)和國家標準采用，形成IEC61588—2009 和GB/T25931—2010標準。

IEC61588標準中定義了10種類型報文，其中4種為事件報文，用于產(chǎn)生和通信中同步普通時鐘(OC)和邊界時鐘(BC)的時間信息，其在發(fā)送和接收時產(chǎn)生精確時間戳;6種為普通報文，用于測量2個時鐘之間的鏈路延時和信息管理。10種報文均需要由CPU 進行處理，并占用CPU 資源，安全防護考慮不全面，將為系統(tǒng)運行帶來隱患。

IEC61588協(xié)議本身支持源地址可信性認證、信息完整性識別和回放攻擊保護機制，已對安全防護進行了充分考慮。IEC61588協(xié)議的安全性通過以下2種安全機制加以實現(xiàn)。

1)回放保護機制：該機制通過使用信息認證碼來確認接收到的信息是由驗證源發(fā)出，在傳輸途中未經(jīng)修改，并且是即時的(即不是某個信息的回放)?；胤疟Ｗo通過使用計數(shù)器來實施。

2)挑戰(zhàn)—響應(yīng)機制：該機制用來確認新信息源的可靠性和真實性，并對經(jīng)驗證的數(shù)據(jù)關(guān)聯(lián)性進行實時更新。

2智能變電站PTP系統(tǒng)

2.1PTP時間同步原理

PTP技術(shù)主要應(yīng)用于智能變電站過程層，同步模式目前選用二步法、IEEE802.3/Ethernet模式、點到點(P2P)模式。圖1為簡化智能變電站PTP時間同步模型。該模型主要由Sync，F(xiàn)ollow_Up，Announce，Pdelay_Req，Pdelay_Resp 和Pdelay_Resp_Follow_Up共6種報文組成，這也是目前已經(jīng)投運智能變電站采用最多的同步模型。

式中：t1為發(fā)送時間;t4為接收時間;tD為路徑延遲時間;tC為駐留時間。

2.2故障現(xiàn)象

雖然IEC61588在智能變電站中已有一些應(yīng)用，但系統(tǒng)運行狀況并不樂觀，目前已投運設(shè)備的故障現(xiàn)象主要集中在以下幾點。

1)協(xié)議理解不統(tǒng)一

系統(tǒng)調(diào)試過程中，經(jīng)常會發(fā)現(xiàn)廠家設(shè)備不支持IEEE802.3/Ethernet模式、P2P模式或透明時鐘(TC)模式，而此系統(tǒng)設(shè)計并沒有提出明確要求;在最佳主時鐘(BMC)算法中，對Announce報文的處理理解不統(tǒng)一，靜默主時鐘是否需要發(fā)送Announce報文沒有規(guī)定;交換機是否需要發(fā)送鏈路延時請求報文，從時鐘是否需要響應(yīng)交換機發(fā)送的鏈路延時請求等均沒有明確規(guī)定。

2)設(shè)計不合理

由于對IEC61588理解不足，系統(tǒng)設(shè)計時在每個獨立的物理網(wǎng)絡(luò)只設(shè)計了一個主時鐘，不能實現(xiàn)主備互用，降低了系統(tǒng)的可靠性。

3)系統(tǒng)穩(wěn)定性差

抗網(wǎng)絡(luò)流量影響能力差，每隔一段時間系統(tǒng)就會發(fā)現(xiàn)對時異常信息，甚至發(fā)現(xiàn)長時間對時失效。

附錄A 圖A1 是某智能變電站投運后，IEC61588時鐘在過程層正常運行與故障運行的信息狀況。可以看出，交換機駐留時間計算出現(xiàn)嚴重錯誤，修正域值達到了億秒并溢出為負值，該現(xiàn)象的長時間出現(xiàn)將導(dǎo)致保護裝置閉鎖。

3智能變電站IEC61588系統(tǒng)風(fēng)險分析

3.1管理制度安全分析

國內(nèi)絕大多數(shù)電力生產(chǎn)運行人員和設(shè)計人員沒有接觸過IEC61588技術(shù)，行業(yè)內(nèi)缺少相應(yīng)的技術(shù)標準和設(shè)計規(guī)范加以指導(dǎo)，已投運系統(tǒng)仍有不同程度的缺陷，尚未形成典型設(shè)計方案，加之IEC61588技術(shù)可選參數(shù)非常多，不同廠家可能采用不同參數(shù)配置，為系統(tǒng)聯(lián)調(diào)帶來很多困難。在IEC61850標準中，未定義時間同步模型，所以目前時間同步系統(tǒng)還不能在監(jiān)控后臺上進行管理和監(jiān)控。這些都為基于IEC61588 技術(shù)的時間同步系統(tǒng)管理帶來了困難。

目前正在起草的電力行業(yè)標準《電力系統(tǒng)網(wǎng)絡(luò)精確時間同步技術(shù)規(guī)范》，將在很大程度上對智能變電站PTP時間同步系統(tǒng)參數(shù)選擇、網(wǎng)絡(luò)配置、系統(tǒng)建模進行了約束，明確系統(tǒng)應(yīng)用，解決系統(tǒng)聯(lián)調(diào)帶來的問題。

3.2設(shè)備安全分析

IEC61588技術(shù)對設(shè)備硬件處理能力有較高的要求，它不僅需要設(shè)備識別PTP報文，并且將識別的PTP報文打上時間戳，之后CPU 還要對報文進行處理，以獲得準確的時間準確度。下面以boardcom交換芯片為例，介紹PTP 報文的處理過程。

圖2是交換機發(fā)送時間戳報文的處理流程。首先交換機CPU生成Sync報文，并將它發(fā)送給交換芯片，交換芯片識別到Sync報文并優(yōu)先發(fā)送給介質(zhì)訪問控制層(MAC)，在MAC出口打上報文發(fā)送時間戳，并將發(fā)送時刻信息返回給CPU，CPU 中斷，讀取時間戳信息并插入到Follow_Up報文中再發(fā)送出去。

圖2發(fā)送時間戳報文的處理流程

圖3是交換機接收時間戳報文的處理流程。MAC接收到事件報文并打上時間戳，分析器從大量報文中解析PTP同步報文，并將同步報文優(yōu)先發(fā)送給CPU，CPU根據(jù)接收到的Sync報文和Follow_Up報文，計算本地時鐘。

圖3接收時間戳報文的處理流程

可以看出，在IEC61588技術(shù)中，CPU 和MAC起到了非常關(guān)鍵的作用，它們承擔(dān)了PTP協(xié)議報文生成、時間戳記錄、時間計算的作用，而在整個處理過程中，其恰恰又是硬件處理的瓶頸，也是系統(tǒng)脆弱性所在。如果系統(tǒng)考慮不完善，會同時發(fā)生異?，F(xiàn)象，頻率過快、sequenceId的不連續(xù)、惡意的協(xié)議攻擊或者網(wǎng)絡(luò)風(fēng)暴等現(xiàn)象都將導(dǎo)致設(shè)備失效，甚至系統(tǒng)癱瘓。PTP系統(tǒng)在網(wǎng)絡(luò)負載為30Mbit/s情況下的對時精度測試結(jié)果見附錄A圖A2。

3.3網(wǎng)絡(luò)安全分析

智能變電站網(wǎng)絡(luò)結(jié)構(gòu)模型如圖4所示。

PTP技術(shù)可以應(yīng)用于過程層采樣值(SV)網(wǎng)絡(luò)和面向通用對象的變電站事件(GOOSE)網(wǎng)絡(luò)，而目前智能變電站應(yīng)用IEC61588技術(shù)存在的安全隱患主要有以下幾種。

1)網(wǎng)絡(luò)隔離不充分

目前，變電站內(nèi)部的網(wǎng)絡(luò)安全通常采用虛擬局域網(wǎng)(VLAN)技術(shù)進行安全隔離，這種方法能夠在很大程度上對網(wǎng)絡(luò)中的安全隱患進行防護。然而，由于IEC61588報文是一種可以跨越VLAN 的報文，所以VLAN對于IEC61588協(xié)議的攻擊起不到防護作用。網(wǎng)絡(luò)中的任何裝置，只要不進行物理隔離，均能夠?qū)W(wǎng)絡(luò)中的其他裝置進行攻擊，以占用被攻擊目標的CPU資源，導(dǎo)致裝置癱瘓、時鐘紊亂或者死機。

2)偽造身份

由于共用網(wǎng)絡(luò)，而VLAN對于IEC61588協(xié)議起不到隔離作用，變電站中任何一個設(shè)備只要具備主時鐘功能，均可以偽造身份，以更高的優(yōu)先級角色扮演主時鐘，使真正的主時鐘處于靜默狀態(tài)，代替主時鐘工作，以達到破壞系統(tǒng)穩(wěn)定的目的。

3)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計不合理

圖5是目前大多數(shù)智能變電站PTP系統(tǒng)采用的組網(wǎng)方式，該方式所有交換機工作于TC模式，保護裝置、合并單元、主時鐘等二次設(shè)備工作于OC模式下。該組網(wǎng)方式的弱點在于對主時鐘依賴程度過高，各間隔無單獨擴展時鐘源，無法達到守時能力。

圖6、圖7是本文提出的2種PTP系統(tǒng)組網(wǎng)方案。圖6采用傳統(tǒng)對時方案，在總控室至間隔層采用B碼時鐘方式，間隔內(nèi)部采用PTP對時協(xié)議。圖7采用全網(wǎng)PTP對時方案，與主時鐘連接的交換機采用BC模式，同時要求交換機具有守時功能。2種方案均可以達到簡化網(wǎng)絡(luò)設(shè)計的目的，同時實現(xiàn)主控室和間隔層時間同步系統(tǒng)守時功能。

4一種基于網(wǎng)絡(luò)仿真技術(shù)的測評方法

4.1測評指標體系建立

評價智能變電站PTP時鐘系統(tǒng)有效性，建立測評指標非常重要，指標體系的建立主要從以下幾個方面加以考慮。

1)PTP工作原理：協(xié)議一致性、BMC算法正確性、錯誤報文挑戰(zhàn)和報文回放處理正確性。

2)智能變電站應(yīng)用需求：對時精度小于1μs、守時精度小于1μs/h、時間抖動小于200ns。

3)網(wǎng)絡(luò)對PTP影響：幀丟失、幀亂序、幀復(fù)制、網(wǎng)絡(luò)風(fēng)暴等均不應(yīng)對時間精度產(chǎn)生影響。

4.2測評模型

為解決目前智能變電站PTP時鐘系統(tǒng)應(yīng)用穩(wěn)定性問題，國網(wǎng)電力科學(xué)研究院實驗驗證中心研究了一種采用分層控制技術(shù)進行模塊化結(jié)構(gòu)設(shè)計的仿真系統(tǒng)，用于對智能變電站PTP時鐘系統(tǒng)進行評估。圖8為基于網(wǎng)絡(luò)仿真技術(shù)的測試評估模型。

圖8測試評估模型

該測試評估模型根據(jù)PTP時間同步原理制定了基本測試項，主要分為正向(肯定)測試與反向(否定)測試：正向測試重點對時間準確度、協(xié)議符合性、BMC算法、鏈路延時的計算能力以及網(wǎng)絡(luò)風(fēng)暴影響進行測評;反向測試重點對幀亂序、幀復(fù)制、錯誤報文挑戰(zhàn)以及網(wǎng)絡(luò)數(shù)據(jù)回放等網(wǎng)絡(luò)異常和惡意攻擊事件進行測評。

4.3合格判定

合格的判斷依據(jù)是滿足IEC61588標準要求和智能變電站應(yīng)用需求，具體體現(xiàn)在以下幾個方面。

1)協(xié)議和BMC算法正確，能夠正常對時并進行報文交互，在網(wǎng)絡(luò)正常情況下，不產(chǎn)生失效等報警信息。

2)時間精度小于1μs，并在各種網(wǎng)絡(luò)影響條件下不產(chǎn)生較大抖動，具有很好的穩(wěn)定性。

3)隨著時間精度的劣化，能夠正確輸出時間質(zhì)量標識信息。

4)在遭遇到惡意攻擊的情況下，能夠正確輸出時間信息。

4.4測評實例

表1和表2是某智能變電站投運前利用上述測評模型進行整改前后的評估數(shù)據(jù)，該智能變電站目前運行正常。

該測試評估模型可以真實地模擬智能變電站的實際網(wǎng)絡(luò)環(huán)境，能夠滿足智能變電站時間敏感性和信息安全測試需求，大大提高了智能變電站PTP時間同步系統(tǒng)查找分析問題的能力，更有利于智能變電站網(wǎng)絡(luò)優(yōu)化設(shè)計實施和PTP時間同步系統(tǒng)在電力系統(tǒng)中的應(yīng)用。

表1整改前測評數(shù)據(jù)

5結(jié)語

IEC61588技術(shù)在電力系統(tǒng)中的應(yīng)用才剛剛起步，雖然已經(jīng)在少數(shù)變電站試點應(yīng)用，但系統(tǒng)運行還不穩(wěn)定，相關(guān)產(chǎn)品還存在缺陷，其安全問題也沒有得到足夠認識。

IEC61588要在智能變電站得到應(yīng)用，必須解決安全問題和產(chǎn)品質(zhì)量缺陷，并經(jīng)過嚴格測試，否則安全隱患難以消除。本文提出基于網(wǎng)路仿真系統(tǒng)的試驗方法，能夠有效解決IEC61588產(chǎn)品測試的需求，能夠?qū)EC61588產(chǎn)品性能、功能和安全性進行全面考核。隨著技術(shù)的進步和產(chǎn)品質(zhì)量的完善，IEC61588技術(shù)能夠在電力行業(yè)得到廣泛應(yīng)用。

參考文獻

[1]IEC61588—2009Precisionclocksynchronizationprotocolfornetworkedmeasurementandcontrolsystems[S].2009.

[2]胡永春，張雪松，許偉國，等.IEEE1588時鐘同步系統(tǒng)誤差分析及其檢測方法[J].電力系統(tǒng)自動化，2010，34(21)：107-111.HUYongchun，ZHANGXuesong，XUWeiguo，etal.ErroranalysisanddetectionmethodforIEEE1588 clocksynchronizationsystem [J].AutomationofElectricPowerSystems，2010，34(21)：107-111.

[3]于鵬飛，喻強，鄧輝，等.IEEE1588精確時間同步協(xié)議的應(yīng)用方案[J].電力系統(tǒng)自動化，2009，33(13)：99-103.YUPengfei，YUQiang，DENGHui，etal.TheresearchofprecisiontimeprotocolIEEE1588[J].AutomationofElectricPowerSystems，2009，33(13)：99-103.

更多好文：21ic智能電網(wǎng)