向博，王利平，崔幸軍，劉宏君，朱小紅

（1.國(guó)網(wǎng)四川省電力公司，成都610041；2.長(zhǎng)園深瑞繼保自動(dòng)化有限公司，廣東深圳518057）

0 引 言

隨著“大運(yùn)行”體系建設(shè)的推進(jìn)，無人值守變電站逐步推廣，通過多級(jí)調(diào)度協(xié)同的大電網(wǎng)實(shí)時(shí)監(jiān)控和安全控制技術(shù)，完成多級(jí)調(diào)度協(xié)調(diào)控制和故障聯(lián)合處置，已經(jīng)完成了對(duì)電網(wǎng)的有效控制［1］。目前斷路器遠(yuǎn)方操作逐漸常態(tài)化，迫切需要進(jìn)一步擴(kuò)大遠(yuǎn)方操作范圍［2］，以便減輕無人值守變電站運(yùn)維過程中運(yùn)維人員花費(fèi)大量時(shí)間往返現(xiàn)場(chǎng)的現(xiàn)象。

繼電保護(hù)遠(yuǎn)方操作已研討多年，從 IEC-101/103/104規(guī)約應(yīng)用以來就一直在研究。遠(yuǎn)方操作通信規(guī)約的技術(shù)性問題已進(jìn)行過多次解決嘗試，影響推廣應(yīng)用的是操作的可靠性問題。隨著國(guó)家電網(wǎng)公司智能電網(wǎng)戰(zhàn)略的推進(jìn)，“調(diào)控一體化”技術(shù)優(yōu)勢(shì)已突顯。為進(jìn)一步發(fā)揮“調(diào)控一體化”技術(shù)優(yōu)勢(shì)，推廣繼電保護(hù)裝置遠(yuǎn)方操作已成為當(dāng)前工作重點(diǎn)。為確保繼保裝置遠(yuǎn)方操作的可靠性，國(guó)調(diào)中心最先于2014年頒布了《調(diào)繼（2014）143號(hào).國(guó)調(diào)中心關(guān)于印發(fā)繼電保護(hù)和安全自動(dòng)裝置遠(yuǎn)方操作技術(shù)規(guī)范的通知》，明確了在進(jìn)行遠(yuǎn)方操作時(shí)，如信號(hào)復(fù)歸、重合閘、備自投、定值區(qū)切換、投退軟壓板等，在滿足“雙確認(rèn)”要求情況下，即繼電保護(hù)和安全自動(dòng)裝置遠(yuǎn)方操作時(shí)，至少應(yīng)有兩個(gè)指標(biāo)發(fā)生對(duì)應(yīng)變化，且所有這些確定的指示均已同時(shí)發(fā)生對(duì)應(yīng)變化，即可確認(rèn)該設(shè)備已操作到位。

在國(guó)調(diào)中心明確繼電保護(hù)遠(yuǎn)方操作可靠性“雙確認(rèn)”保證的基礎(chǔ)上，有多個(gè)工程進(jìn)行了繼電保護(hù)遠(yuǎn)方操作試點(diǎn)，并且都取得了成功應(yīng)用［3-5］。試點(diǎn)工程應(yīng)用進(jìn)行總結(jié)時(shí)，多數(shù)是著眼于繼電保護(hù)遠(yuǎn)方操作的可實(shí)施性和帶來的效率提升，少有對(duì)整個(gè)繼電保護(hù)遠(yuǎn)方操作過程進(jìn)行相對(duì)完整的風(fēng)險(xiǎn)分析和研究。

文中通過對(duì)繼電保護(hù)遠(yuǎn)方操作完整過程進(jìn)行分析，以當(dāng)前最主流的站控層與間隔層通信采用國(guó)標(biāo)IEC 61850通信規(guī)約的工程應(yīng)用情況作為分析對(duì)象［6-11］，論述了當(dāng)前繼電保護(hù)遠(yuǎn)方操作主要面臨的風(fēng)險(xiǎn)及應(yīng)對(duì)措施，重點(diǎn)闡述了操作流程風(fēng)險(xiǎn)，主要包括：

（1）網(wǎng)關(guān)機(jī)與調(diào)控中心進(jìn)行繼電保護(hù)遠(yuǎn)方操作交互控制中的配合失調(diào)可能會(huì)造成功能失效甚至功能錯(cuò)誤；

（2）網(wǎng)關(guān)機(jī)遇到多個(gè)調(diào)控中心并發(fā)繼電保護(hù)遠(yuǎn)方操作時(shí)處理不善可能會(huì)造成功能紊亂甚至誤操作。對(duì)于這些可能的風(fēng)險(xiǎn)，明確提出對(duì)應(yīng)的防控處理措施，包括調(diào)控主站操作控制配合設(shè)置方法和多調(diào)控主站并發(fā)情況下的網(wǎng)關(guān)機(jī)閉鎖處理機(jī)制。

1 繼電保護(hù)遠(yuǎn)方操作系統(tǒng)架構(gòu)及流程分析

繼電保護(hù)遠(yuǎn)方操作是在調(diào)控中心利用通信通道對(duì)變電站的繼電保護(hù)裝置進(jìn)行切換定值區(qū)、投退軟壓板以及遠(yuǎn)方復(fù)歸等操作，其系統(tǒng)架構(gòu)如圖1所示。

圖1 繼電保護(hù)和安全自動(dòng)裝置遠(yuǎn)方操作系統(tǒng)架構(gòu)圖Fig.1 System architecture diagram of relay protection and security automation remote operating

遠(yuǎn)方操作系統(tǒng)架構(gòu)主要涵蓋調(diào)控主站、數(shù)據(jù)網(wǎng)關(guān)機(jī)、站內(nèi)工作站、站內(nèi)繼電保護(hù)裝置等電力二次系統(tǒng)。繼電保護(hù)遠(yuǎn)方操作時(shí)，由調(diào)控主站發(fā)起，站內(nèi)通信子站接收到操作命令之后，將操作命令轉(zhuǎn)發(fā)給對(duì)應(yīng)的繼電保護(hù)裝置，待接收到繼電保護(hù)裝置回送的命令返校或者操作響應(yīng)之后，向調(diào)控主站上送對(duì)應(yīng)的返校或者操作響應(yīng)。

（1）遠(yuǎn)方投退軟壓板

遠(yuǎn)方投退軟壓板操作時(shí)需要先進(jìn)行選擇再進(jìn)行執(zhí)行，只有正常完成選擇和執(zhí)行兩個(gè)命令過程才能完成對(duì)應(yīng)的功能操作；只選擇不執(zhí)行、無選擇的執(zhí)行、與選擇不對(duì)應(yīng)的執(zhí)行都是錯(cuò)誤的命令，不應(yīng)執(zhí)行并應(yīng)該被否定，因此在操作中需要進(jìn)行操作序列記錄與控制。

（2）遠(yuǎn)方定值操作

遠(yuǎn)方操作的定值操作與投退軟壓板不同，由于定值操作的調(diào)控通信過程與站內(nèi)61850通信過程不一致，通信子站需要將調(diào)控主站的對(duì)應(yīng)命令過程轉(zhuǎn)換為站內(nèi)61850命令過程。對(duì)于定值功能，網(wǎng)關(guān)機(jī)支持讀當(dāng)前區(qū)定值、切換定值區(qū)、讀非當(dāng)前區(qū)定值、和修改定值功能，定值服務(wù)對(duì)應(yīng)的61850服務(wù)如表1所示。表中所示的61850通信服務(wù)各自獨(dú)立，相互間不做依賴，如讀非當(dāng)前定值區(qū)對(duì)應(yīng)的SelectEditSG和GetSGValues，未先做SelectEditSG操作的情況下進(jìn)行GetSGValues操作也是可以的，并且會(huì)得到裝置正確的操作響應(yīng)。

表1 定值服務(wù)Tab.1 Setting services

在操作之后，如果繼電保護(hù)裝置對(duì)應(yīng)的狀態(tài)或者位置發(fā)生變化，則繼電保護(hù)裝置主動(dòng)發(fā)起上送，站內(nèi)通信子站接收到繼電保護(hù)裝置上送的狀態(tài)位置變化信息之后，立即觸發(fā)對(duì)調(diào)控主站的主動(dòng)上送；如此完成整個(gè)繼電保護(hù)遠(yuǎn)方操作過程。

操作過程中序列如果發(fā)生錯(cuò)誤序列，通信子站能夠通過對(duì)應(yīng)的過程控制進(jìn)行辨識(shí)并進(jìn)行否定返校，但是如果在信息傳輸過程中出現(xiàn)沒有回應(yīng)的情況，則可能會(huì)影響到操作序列控制，有效的措施是在序列控制中增加超時(shí)控制機(jī)制，如果命令下發(fā)一段時(shí)間之后沒有與之對(duì)應(yīng)的返校則作為超時(shí)結(jié)束當(dāng)前的操作控制序列。操作序列控制中的超時(shí)處理在調(diào)控主站、站內(nèi)通信子站、繼電保護(hù)裝置上都設(shè)置了超時(shí)控制機(jī)制，以保證在各自的操作序列控制中出現(xiàn)無響應(yīng)的情況下能夠自動(dòng)返回到正確的狀態(tài)以便能夠正常進(jìn)行下次操作。

2 繼電保護(hù)遠(yuǎn)方操作風(fēng)險(xiǎn)及安防分析

根據(jù)國(guó)際ISO風(fēng)險(xiǎn)評(píng)估體系以及國(guó)家電網(wǎng)相關(guān)實(shí)施細(xì)則，結(jié)合遠(yuǎn)方操作系統(tǒng)架構(gòu)和操作流程來進(jìn)行風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，繼電保護(hù)遠(yuǎn)方操作風(fēng)險(xiǎn)可以分為三類，分別是網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)及操作流程風(fēng)險(xiǎn)，如表2所示。

表2 繼電保護(hù)遠(yuǎn)方操作風(fēng)險(xiǎn)分析Tab.2 Risk analysis of remote operating in relay protection

2.1 網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)

從通信安全理論分析［12］可知，網(wǎng)絡(luò)環(huán)境下系統(tǒng)可能會(huì)遭遇到的安全威脅主要分為被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊主要是信息竊聽以及在竊聽基礎(chǔ)上分析處理等；主動(dòng)攻擊主要是以訪問、冒充、篡改為主要手段，威脅系統(tǒng)信息完整性、可用性和真實(shí)性，或利用操作系統(tǒng)的缺陷攻擊，甚至遠(yuǎn)程控制和操作設(shè)備以制造重大事故。被動(dòng)攻擊與主動(dòng)攻擊在很多情況下都是一同發(fā)起的。

網(wǎng)絡(luò)環(huán)境下主要通過網(wǎng)絡(luò)隔離、信息加密、消息簽名認(rèn)證及訪問控制等抵御網(wǎng)絡(luò)攻擊。因此電力生產(chǎn)部門控制區(qū)可以采取“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證［13］”等措施來增強(qiáng)網(wǎng)絡(luò)信息安全。針對(duì)網(wǎng)絡(luò)信息安全，遠(yuǎn)方操作宜采取縱向加密、橫向隔離、訪問控制等措施。其中：

（1）縱向加密是在縱向信息傳輸通道的兩端分別完成加密和解密，以避免在通信通道上進(jìn)行明碼傳輸，保證傳輸在通道傳輸上的安全性，即便被竊聽獲取也因無法解密而不能解析利用；

（2）橫向隔離是在整個(gè)系統(tǒng)不同區(qū)域間通過設(shè)置隔離裝置，保證跨區(qū)域的通信和訪問都是預(yù)知的和已授權(quán)的，不會(huì)出現(xiàn)非法的連接和訪問；

（3）訪問控制在通信子站和智能裝置上進(jìn)行功能部署，只允許對(duì)應(yīng)白名單上的主機(jī)來訪問，白名單之外的主機(jī)不允許進(jìn)行連接和訪問。訪問控制從訪問來源上避免了無權(quán)限的客戶端的非法訪問和操作。

2.2 管理風(fēng)險(xiǎn)

針對(duì)管理風(fēng)險(xiǎn)，通過對(duì)管理風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)識(shí)別，確定操作人員專業(yè)技能不足或操作過程不規(guī)范等風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理可以采取人員認(rèn)證、規(guī)范操作流程、操作人監(jiān)護(hù)人相互核實(shí)制度等措施。其中：

（1）人員認(rèn)證。通過對(duì)操作人進(jìn)行認(rèn)證，保證實(shí)際進(jìn)行操作的操作人員是系統(tǒng)認(rèn)可的具有操作權(quán)限的操作人員。具體的人員認(rèn)證方式包括：用戶名密碼認(rèn)證方式、移動(dòng)證書認(rèn)證方式、指紋認(rèn)證方式、瞳孔認(rèn)證方式以及多種綜合認(rèn)證方式；

（2）操作人監(jiān)護(hù)人相互核實(shí)制度，是為了避免單獨(dú)操作人情況下故意或者疏忽造成誤操作而設(shè)立的操作制度。對(duì)于在系統(tǒng)中進(jìn)行的每個(gè)操作，都需要有操作人和監(jiān)護(hù)人共同進(jìn)行操作；操作人和監(jiān)護(hù)人各自完成操作項(xiàng)目核實(shí)確認(rèn)并完成系統(tǒng)人員認(rèn)證授權(quán)，之后系統(tǒng)核準(zhǔn)之后才會(huì)進(jìn)行實(shí)際操作；系統(tǒng)每一項(xiàng)操作工作都會(huì)記錄對(duì)應(yīng)的操作人和監(jiān)護(hù)人。

2.3 操作流程風(fēng)險(xiǎn)

繼電保護(hù)遠(yuǎn)方操作包括了切換定值區(qū)、投退軟壓板以及遠(yuǎn)方復(fù)歸等操作。遠(yuǎn)方復(fù)歸功能一般是對(duì)保護(hù)狀態(tài)進(jìn)行遠(yuǎn)方復(fù)歸，對(duì)保護(hù)功能和保護(hù)邏輯不會(huì)產(chǎn)生重大影響；而切換定值區(qū)和投退軟壓板直接改變了保護(hù)裝置的保護(hù)動(dòng)作邏輯，已經(jīng)深入影響到保護(hù)裝置內(nèi)部。如果由于不恰當(dāng)?shù)牟僮髁鞒?，?dǎo)致數(shù)據(jù)網(wǎng)關(guān)機(jī)對(duì)繼電保護(hù)裝置進(jìn)行了錯(cuò)誤的遠(yuǎn)方操作，可能會(huì)對(duì)整個(gè)電力系統(tǒng)造成非常嚴(yán)重的影響，威脅電網(wǎng)的安全穩(wěn)定運(yùn)行。

3 操作流程風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施

操作流程風(fēng)險(xiǎn)是指由于主子站配合失調(diào)、多主站操作等導(dǎo)致的風(fēng)險(xiǎn)。

（1）主子站配合失調(diào)風(fēng)險(xiǎn)

從上述的流程分析中，可以看出，對(duì)于錯(cuò)誤的操作序列，可以通過邏輯分析控制進(jìn)行識(shí)別和處理；在操作無響應(yīng)的情況下通過超時(shí)控制恢復(fù)正常狀態(tài)以便能夠進(jìn)行下一次操作。在這樣的控制處理體系下，調(diào)控主站、通信子站、繼電保護(hù)裝置三者所設(shè)置的超時(shí)時(shí)間不同可能會(huì)發(fā)生不同的情況。

當(dāng)主站設(shè)置的超時(shí)時(shí)間比子站或裝置短時(shí)，即主站、子站、裝置設(shè)置的時(shí)間不匹配時(shí)，遠(yuǎn)方操作就有可能發(fā)生誤操作，如圖2所示。

第一步：主站根據(jù)運(yùn)行情況需要對(duì)站內(nèi)保護(hù)裝置的某軟壓板進(jìn)行退出操作，并在t1時(shí)刻下發(fā)了正常流程的選擇命令，子站和保護(hù)裝置也在t2和t3時(shí)刻正確執(zhí)行了選擇命令進(jìn)入了執(zhí)行狀態(tài)；

第二步：由于某些情況，主站沒有接著下發(fā)執(zhí)行命令或者是網(wǎng)絡(luò)原因命令未到達(dá)等。當(dāng)主站的遠(yuǎn)方操作在t4時(shí)刻超時(shí)退出，由于子站和保護(hù)裝置的超時(shí)時(shí)間比主站的長(zhǎng)，此時(shí)子站和保護(hù)裝置都處理正常的執(zhí)行狀態(tài)；

第三步：在t5時(shí)刻，主站由于受到攻擊或誤操作等原因下發(fā)了非法的執(zhí)行命令，子站和裝置收到執(zhí)行命令后在t6和t7時(shí)刻執(zhí)行了某軟壓板退出命令，此時(shí)就產(chǎn)生了誤操作。

圖2 主子站超時(shí)時(shí)間失調(diào)導(dǎo)致誤操作風(fēng)險(xiǎn)分析Fig.2 Risk analysis of timeout between substation and master station in remote operating

同理，如果子站的超時(shí)時(shí)間設(shè)置比保護(hù)裝置短時(shí)，也有可能產(chǎn)生類似的誤操作問題。因此針對(duì)主子站配合失調(diào)風(fēng)險(xiǎn)，調(diào)控主站、通信子站、繼電保護(hù)裝置三者設(shè)置的超時(shí)時(shí)間應(yīng)該是調(diào)控主站不小于通信子站不小于繼電保護(hù)裝置。

（2）多主站操作風(fēng)險(xiǎn)

由于軟壓板操作過程采用“選擇-執(zhí)行”模式，當(dāng)同時(shí)有多個(gè)主站進(jìn)行遙控選擇時(shí)，不允許多個(gè)主站同時(shí)進(jìn)行遙控操作過程；只允許其中一個(gè)調(diào)控主站進(jìn)行遠(yuǎn)方操作過程，而其他調(diào)控主站的操作指令則被否定終止。

定值操作在通信子站上要進(jìn)行通信過程轉(zhuǎn)換拆分轉(zhuǎn)換，讀取非當(dāng)前區(qū)定值和修改定值都涉及到編輯定值區(qū)的操作，多主站情況下某個(gè)主站的編輯定值區(qū)命令可能會(huì)被其他主站的編輯定值區(qū)命令覆蓋；如果選擇的編輯定值區(qū)不是預(yù)期的定值區(qū)，讀定值時(shí)則會(huì)讀到非對(duì)應(yīng)區(qū)的定值，會(huì)造成調(diào)控主站定值基準(zhǔn)入庫時(shí)錯(cuò)誤或者召喚的定值與基準(zhǔn)定值不匹配；修改定值時(shí)則會(huì)修改成非對(duì)應(yīng)區(qū)的定值，可能導(dǎo)致實(shí)際運(yùn)行定值錯(cuò)誤。

針對(duì)多主站操作風(fēng)險(xiǎn)，子站在接收到調(diào)控主站的遠(yuǎn)方操作命令時(shí)，需要檢查是否有其他調(diào)控主站正在進(jìn)行操作，如果已有調(diào)控主站正在進(jìn)行操作，則閉鎖最新收取到的操作指令。

4 工程實(shí)踐

針對(duì)上述分析，為了驗(yàn)證相關(guān)措施的有效，開發(fā)了相關(guān)產(chǎn)品和制定操作規(guī)范并在四川多個(gè)工程投入工程實(shí)踐。

（1）網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)

以縱向加密為例，報(bào)文在主子站以密文的方式傳輸。IEC 104報(bào)文規(guī)約的激活傳輸報(bào)文經(jīng)過DES加密算法后得到是無規(guī)則數(shù)據(jù)，結(jié)果如下：

加密前：680407000000

加密后：WoExxDKC7ywqBUHmnDXXrgEgvKH0vUSH

數(shù)據(jù)經(jīng)過加密后，即使攻擊者截獲了相關(guān)數(shù)據(jù)，但是沒有相關(guān)密鑰的話仍然無法獲取對(duì)應(yīng)的數(shù)據(jù)。

（2）管理風(fēng)險(xiǎn)

根據(jù)繼電保護(hù)遠(yuǎn)方操作流程，結(jié)合現(xiàn)場(chǎng)實(shí)際情況，制定了《繼電保護(hù)遠(yuǎn)方操作業(yè)務(wù)指導(dǎo)書》、《繼電保護(hù)遠(yuǎn)方操作流程規(guī)范》、《繼電保護(hù)遠(yuǎn)方操作考核方案》、《繼電保護(hù)遠(yuǎn)方操作業(yè)表單》、《繼電保護(hù)遠(yuǎn)方操監(jiān)護(hù)規(guī)則》等規(guī)范文檔用于培訓(xùn)操作人員和規(guī)范化遠(yuǎn)方操作流程。

（3）操作流程風(fēng)險(xiǎn)

利用操作序列、PV互斥等計(jì)算機(jī)技術(shù)實(shí)現(xiàn)了遠(yuǎn)方操作序列化和多主站的互斥性，網(wǎng)關(guān)機(jī)讀寫定值的流程如圖3所示。

圖3 網(wǎng)關(guān)機(jī)讀寫定值流程圖Fig.3 Flow chart of setting operator in data gateway

網(wǎng)關(guān)機(jī)遙控的執(zhí)行流程如圖4所示。工程實(shí)踐期間，現(xiàn)場(chǎng)程序運(yùn)行穩(wěn)定，定值、軟壓板等遠(yuǎn)方操作功能正常，相關(guān)風(fēng)險(xiǎn)措施測(cè)試驗(yàn)證有效。證明了所分析的正確性和風(fēng)險(xiǎn)措施的有效性，同時(shí)也為遠(yuǎn)方操作進(jìn)一步風(fēng)險(xiǎn)防護(hù)研究奠定了理論和實(shí)踐基礎(chǔ)。

圖4 網(wǎng)關(guān)機(jī)執(zhí)行遙控流程圖Fig.4 Flow chart of remote control in data gateway

5 結(jié)束語

目前遠(yuǎn)方操作已經(jīng)具備技術(shù)實(shí)施的條件，但是遠(yuǎn)方操作的分險(xiǎn)防控還有待進(jìn)一步研究。通過對(duì)繼電保護(hù)遠(yuǎn)方操作完整過程進(jìn)行研究，分析其面臨的風(fēng)險(xiǎn)并提出對(duì)應(yīng)的防控措施，保證遠(yuǎn)方操作能夠安全穩(wěn)定進(jìn)行，對(duì)保障變電站安全穩(wěn)定運(yùn)行，推進(jìn)調(diào)控一體化的建設(shè)有著非常重要的意義。本研究成果通信穩(wěn)定，得到用戶的認(rèn)可。