王 鑫，韓 兵，卓四明

(國電南京自動(dòng)化股份有限公司，江蘇 南京 210003)

0 前 言

隨著計(jì)算機(jī)、網(wǎng)絡(luò)、通信技術(shù)的發(fā)展，以及水電站自動(dòng)化水平和監(jiān)控水平的不斷提高，發(fā)電廠形成了結(jié)構(gòu)分層、功能分散、信息共享的計(jì)算機(jī)監(jiān)控系統(tǒng)[1]。計(jì)算機(jī)監(jiān)控系統(tǒng)的發(fā)展實(shí)現(xiàn)了發(fā)電廠發(fā)電生產(chǎn)流程的監(jiān)視，極大地提高了控制效率，但伴隨著無人值班、少人值守、集中控制要求的不斷提高，遙控遙調(diào)操作任務(wù)不斷增加，水電站自動(dòng)化設(shè)備的控制操作復(fù)雜度也在日益攀升，這對水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的穩(wěn)定可靠安全運(yùn)行提出了越來越高的要求[2]。

水電站計(jì)算機(jī)監(jiān)控系統(tǒng)中的常用功能之一就是控制調(diào)節(jié)操作，但是由于一些誤操作的存在，缺乏有效的安全機(jī)制，給電網(wǎng)的運(yùn)行帶來很大的危害，甚至直接威脅人身安全、設(shè)備安全，嚴(yán)重影響電力系統(tǒng)的可靠運(yùn)行[3]。通過技術(shù)上的安全控制策略設(shè)置能夠在很大程度上提高控制調(diào)節(jié)操作的可靠性，防范電網(wǎng)運(yùn)行中的一些風(fēng)險(xiǎn)，保障工作人員的安全以及用戶用電環(huán)境的安全[4]。

1 監(jiān)控系統(tǒng)控制安全現(xiàn)狀分析

現(xiàn)有國內(nèi)外水電計(jì)算機(jī)監(jiān)控系統(tǒng)，在遠(yuǎn)程控制操作指令交互方面，操作人員在監(jiān)控系統(tǒng)發(fā)送指令控制調(diào)節(jié)后，通過消息總線、數(shù)據(jù)總線、計(jì)算引擎、驅(qū)動(dòng)程序?qū)⒖刂普{(diào)節(jié)指令直接下發(fā)至終端執(zhí)行單元(如圖1所示)，該指令未經(jīng)過安全校核機(jī)制校驗(yàn)，這種控制方式存在一定的不安全性，在控制設(shè)備較多的廠站或集控中心尤為突出。

常見的誤操作類型主要包含：非專業(yè)人員誤操作、誤入操作畫面[5]、選錯(cuò)機(jī)組、選錯(cuò)設(shè)備、誤調(diào)負(fù)荷等，嚴(yán)重影響電網(wǎng)安全穩(wěn)定運(yùn)行，此外，在計(jì)算機(jī)監(jiān)控系統(tǒng)進(jìn)行維護(hù)或數(shù)據(jù)庫升級過程中，難免需要連接外部設(shè)備，當(dāng)前未經(jīng)授權(quán)、校驗(yàn)的控制方式，無法防止網(wǎng)絡(luò)黑客的攻擊，對電廠的運(yùn)營生產(chǎn)存在一定的安全隱患。

圖1 傳統(tǒng)遠(yuǎn)控操作交互流程

因此，如何在監(jiān)控系統(tǒng)控制調(diào)節(jié)操作中防止誤控、誤調(diào)和減少網(wǎng)絡(luò)攻擊事件的發(fā)生成為亟待解決的問題。目前，行業(yè)內(nèi)解決方法標(biāo)準(zhǔn)不一，主要的解決方法為加強(qiáng)員工培訓(xùn)工作，提高員工素質(zhì)，禁止使用未經(jīng)殺毒的非專業(yè)U盤插入計(jì)算機(jī)監(jiān)控系統(tǒng)。提高運(yùn)行、檢修人員對防誤閉鎖裝置的“四懂三會(huì)”(即懂裝置的原理、性能、結(jié)構(gòu)和操作程序；會(huì)操作、安裝、維護(hù))，培養(yǎng)事故處理的應(yīng)變能力，避免事故范圍擴(kuò)大。加強(qiáng)安全思想教育，提高員工安全責(zé)任心。狠抓安全生產(chǎn)管理工作，落實(shí)電氣防誤操作安全措施，嚴(yán)格按“兩票三制”要求執(zhí)行，監(jiān)控系統(tǒng)操作至少保證1人發(fā)令、1人監(jiān)護(hù)。加強(qiáng)違規(guī)考核力度，大量的誤操作事故證實(shí)，發(fā)生誤操作事故的根本原因是員工違規(guī)操作。這些方法大部分從管理和人員素質(zhì)角度出發(fā)，防誤措施具有一定的效果，但不能系統(tǒng)地從技術(shù)措施上解決因遠(yuǎn)控誤操作而帶來的水電機(jī)組安全運(yùn)行風(fēng)險(xiǎn)。

2 監(jiān)控系統(tǒng)控制安全策略

為適應(yīng)水電站“無人值班、少人值守”管理模式，確保遠(yuǎn)程控制及網(wǎng)絡(luò)信息安全，杜絕誤調(diào)、誤控事件的發(fā)生，本文提出誤控防范、數(shù)據(jù)安全、控制審計(jì)等安全策略，有效解決了水電計(jì)算機(jī)監(jiān)控系統(tǒng)不安全控制問題，策略總覽如圖2所示。

圖2 控制安全策略總覽

誤控防范基于人機(jī)界面的控制閉鎖，在傳統(tǒng)的使用人員身份進(jìn)行鑒別、禁止非授權(quán)帳戶進(jìn)行控制操作基礎(chǔ)上，增加控制條件及控制校驗(yàn)碼等安全措施，當(dāng)控制條件不滿足或控制校驗(yàn)碼不匹配時(shí)，操作界面提示禁止操作，閉鎖控制指令下發(fā)。

數(shù)據(jù)安全基于運(yùn)算安全、傳輸安全和服務(wù)安全3方面考慮，有效防止數(shù)據(jù)在采集、運(yùn)算、傳輸中由于硬件故障、斷電、死機(jī)、程序缺陷、病毒或黑客等造成的數(shù)據(jù)損壞、數(shù)據(jù)失真或數(shù)據(jù)丟失現(xiàn)象，而造成發(fā)送控制令前無法準(zhǔn)確判斷設(shè)備運(yùn)行工況，引起誤控、誤調(diào)等后果。

控制審計(jì)基于控制授權(quán)和控制校驗(yàn)兩種認(rèn)證方式，對操作人員發(fā)送的控制指令進(jìn)行授權(quán)、校驗(yàn)多級認(rèn)證，若認(rèn)證失敗，禁止控制指令下發(fā)并銷毀控制指令。支持對操作進(jìn)行審計(jì)記錄，包括操作日志以及操作過程記錄，確保事后能夠進(jìn)行全過程的追溯。

2.1 誤控防范

誤控防范通過用戶角色、控制畫面、控制條件、控制分組、控制校驗(yàn)、調(diào)節(jié)限值多種措施實(shí)現(xiàn)。

用戶角色管理。通過控制權(quán)限、畫面訪問權(quán)限、節(jié)點(diǎn)登錄權(quán)限等配置，限定操作權(quán)限，具備操作權(quán)限的人員和設(shè)備可進(jìn)行操作，否則禁止操作；

控制畫面。操作人員進(jìn)入控制畫面提供彈窗提示，提示運(yùn)行人員該畫面存在設(shè)備控制點(diǎn)；

控制條件。被控設(shè)備設(shè)置條件閉鎖，當(dāng)條件滿足時(shí)，可對該設(shè)備操作，否則禁止操作；

控制分組。被控設(shè)備分組隔離，如機(jī)組操作分為正常操作(含空轉(zhuǎn)、空載、發(fā)電、停機(jī)等)及緊急操作(機(jī)械事故停機(jī)、電氣事故停機(jī)、緊急事故停機(jī)等)，避免誤操作；

控制校驗(yàn)。被控設(shè)備操作“確認(rèn)”前，提供操作校驗(yàn)，校驗(yàn)成功后指令方可下發(fā)，否則禁止控制操作；

調(diào)節(jié)限值。增加調(diào)節(jié)設(shè)置限值，當(dāng)新調(diào)節(jié)設(shè)值與實(shí)發(fā)值或上次設(shè)值超過限值時(shí)，彈出禁止設(shè)值窗口，提醒運(yùn)行人員重新設(shè)值。

2.2 數(shù)據(jù)安全

操作控制指令下發(fā)過程中，對控制令相關(guān)數(shù)據(jù)源追蹤，檢測數(shù)據(jù)源相應(yīng)服務(wù)運(yùn)行狀態(tài)，保證數(shù)據(jù)的運(yùn)算安全、傳輸安全和服務(wù)安全，確保數(shù)據(jù)的完整性、正確性和有效性，防止數(shù)據(jù)損壞、數(shù)據(jù)失真或數(shù)據(jù)丟失造成的誤控、誤調(diào)操作。

操作控制指令下發(fā)過程中的數(shù)據(jù)安全由數(shù)據(jù)源服務(wù)、控制操作接口、計(jì)算引擎和消息總線共同完成，數(shù)據(jù)安全邏輯示意見圖3。

數(shù)據(jù)源服務(wù)。實(shí)時(shí)檢測數(shù)據(jù)庫中數(shù)據(jù)源測點(diǎn)，設(shè)置數(shù)據(jù)源狀態(tài)標(biāo)志，數(shù)據(jù)源狀態(tài)標(biāo)志分為正常、異常，正常時(shí)數(shù)據(jù)源有效，否則數(shù)據(jù)源無效。

控制操作接口數(shù)據(jù)安全。操作人員下發(fā)指令時(shí)，控制操作接口程序，自動(dòng)定位相關(guān)數(shù)據(jù)源，讀取并檢測數(shù)據(jù)源測點(diǎn)狀態(tài)標(biāo)志，當(dāng)數(shù)據(jù)源狀態(tài)標(biāo)志異常時(shí)，直接關(guān)閉控制指令，退出控制操作；當(dāng)數(shù)據(jù)源標(biāo)志正常時(shí)，為確保數(shù)據(jù)源有效性，進(jìn)行數(shù)據(jù)源服務(wù)狀態(tài)校驗(yàn)，若數(shù)據(jù)源服務(wù)正常，則表明數(shù)據(jù)源有效，可繼續(xù)向下一級目標(biāo)程序發(fā)送控制指令，否則表明數(shù)據(jù)源標(biāo)志并非實(shí)時(shí)狀態(tài)，數(shù)據(jù)源無效，關(guān)閉控制指令，退出控制操作。

計(jì)算引擎數(shù)據(jù)安全。計(jì)算引擎對接收的控制指令進(jìn)行加工運(yùn)算，接收控制指令后，定位控制指令相關(guān)數(shù)據(jù)源，讀取并檢測數(shù)據(jù)源測點(diǎn)狀態(tài)標(biāo)志，當(dāng)數(shù)據(jù)源狀態(tài)標(biāo)志異常時(shí)，直接關(guān)閉控制指令，退出控制操作；當(dāng)數(shù)據(jù)源標(biāo)志正常時(shí)，為確保數(shù)據(jù)源有效性，進(jìn)行數(shù)據(jù)源服務(wù)狀態(tài)校驗(yàn)，若數(shù)據(jù)源服務(wù)正常，則表明數(shù)據(jù)源有效，可繼續(xù)向下一級目標(biāo)程序發(fā)送控制指令，否則表明數(shù)據(jù)源標(biāo)志并非實(shí)時(shí)狀態(tài)，數(shù)據(jù)源無效，關(guān)閉控制指令，退出控制操作。

消息總線數(shù)據(jù)安全。消息總線傳輸控制指令，接收控制指令后，定位控制指令相關(guān)數(shù)據(jù)源，讀取并檢測數(shù)據(jù)源測點(diǎn)狀態(tài)標(biāo)志，當(dāng)數(shù)據(jù)源狀態(tài)標(biāo)志異常時(shí)，直接關(guān)閉控制指令，退出控制操作；當(dāng)數(shù)據(jù)源標(biāo)志正常時(shí)，為確保數(shù)據(jù)源有效性，進(jìn)行數(shù)據(jù)源服務(wù)狀態(tài)校驗(yàn)，若數(shù)據(jù)源服務(wù)正常，則表明數(shù)據(jù)源有效，可繼續(xù)向下一級目標(biāo)程序發(fā)送控制指令，否則表明數(shù)據(jù)源標(biāo)志并非實(shí)時(shí)狀態(tài)，數(shù)據(jù)源無效，關(guān)閉控制指令，退出控制操作。

圖3 數(shù)據(jù)安全邏輯示意

2.3 控制審計(jì)

通過誤控防范下達(dá)的操作控制指令，需進(jìn)行授權(quán)、校驗(yàn)多級認(rèn)證，為保證網(wǎng)絡(luò)信息安全，防止授權(quán)碼泄露，每進(jìn)行控制審計(jì)，均需進(jìn)行控制授權(quán)碼校驗(yàn)，校驗(yàn)成功后，申請新的控制授權(quán)碼，供下一步控制審計(jì)，逐級認(rèn)證成功后，方可將指令下發(fā)至目標(biāo)控制對象；若認(rèn)證失敗，禁止控制指令下發(fā)，并將控制指令銷毀，具體控制審計(jì)時(shí)序示意如圖4所示。

(1)控制操作接口控制審計(jì)。通過誤控防范下發(fā)的操作控制指令發(fā)送至控制操作接口程序，控制操作接口程序接收到該指令后，向控制審計(jì)模塊申請控制授權(quán)碼，進(jìn)行授權(quán)碼注冊，控制審計(jì)返回授權(quán)碼，控制操作接口程序?qū)⒖刂浦噶罴笆跈?quán)碼發(fā)送至消息總線。

(2)消息總線控制審計(jì)。對于功率調(diào)節(jié)等無需經(jīng)過計(jì)算引擎的控制指令，消息總線將接收到的控制指令及授權(quán)碼，向控制審計(jì)模塊提交校驗(yàn)申請，校驗(yàn)通過后，重新向控制審計(jì)模塊申請新的授權(quán)碼，并將授權(quán)碼及控制指令發(fā)送至驅(qū)動(dòng)程序。

(3)計(jì)算引擎控制審計(jì)。對于功率調(diào)節(jié)等經(jīng)過計(jì)算引擎的控制調(diào)節(jié)指令，消息總線將收到的控制指令及校驗(yàn)碼發(fā)送至數(shù)據(jù)總線，由計(jì)算引擎對控制調(diào)節(jié)指令進(jìn)行計(jì)算，向控制審計(jì)模塊提交校驗(yàn)申請，校驗(yàn)通過后，重新向控制審計(jì)模塊申請新的授權(quán)碼，并將授權(quán)碼及控制指令發(fā)送至消息總線，由消息總線發(fā)送至驅(qū)動(dòng)程序。

圖4 控制審計(jì)時(shí)序

(4)驅(qū)動(dòng)程序控制審計(jì)。驅(qū)動(dòng)程序在接收消息總線發(fā)來控制指令及授權(quán)碼后，向控制審計(jì)模塊申請授權(quán)碼校驗(yàn)，校驗(yàn)成功后，將控制令下發(fā)至控制設(shè)備。

3 監(jiān)控系統(tǒng)控制安全策略應(yīng)用

通過上述控制安全策略分析與研究，將其應(yīng)用于水電計(jì)算機(jī)監(jiān)控系統(tǒng)中，有效避免非專業(yè)人員誤操作、誤入操作畫面、誤控運(yùn)行設(shè)備、選錯(cuò)機(jī)組、選錯(cuò)設(shè)備、誤調(diào)負(fù)荷等誤操作范圍，大大提高電廠運(yùn)行的安全性可靠性。

通過設(shè)置用戶角色，禁止非專業(yè)人員操作。非專業(yè)人士操作時(shí)，提示操作權(quán)限不夠(見圖5)，此外用戶管理可設(shè)置用戶監(jiān)控的設(shè)備或廠站，達(dá)到優(yōu)化資源分配，提高工作效率，節(jié)約生產(chǎn)成本。

圖5 控制權(quán)限閉鎖

對于具備控制操作點(diǎn)的畫面，設(shè)置打開前確認(rèn)，提示工作人員是否打開該畫面，選擇確認(rèn)可進(jìn)入該控制操作畫面，否則保持在當(dāng)前畫面，防止誤入操作畫面(見圖6)。

圖6 控制畫面提示框

設(shè)置控制條件和控制分組，控制條件滿足時(shí)允許下發(fā)控制令，否則禁止下發(fā)，對機(jī)組等控制對象進(jìn)行正常和緊急分組操作，避免誤控運(yùn)行設(shè)備(見圖7)。

圖7 控制條件與控制分組

對于操作、控制、調(diào)節(jié)等設(shè)備，對每個(gè)控制點(diǎn)設(shè)置操作校驗(yàn)碼，校驗(yàn)碼設(shè)置格式一般采用廠站名和機(jī)組號(如1號機(jī)組，設(shè)定校驗(yàn)碼為lcu1f)，當(dāng)校驗(yàn)碼正確無誤時(shí)允許操作，否則禁止操作，避免選錯(cuò)廠站、選錯(cuò)機(jī)組、選錯(cuò)設(shè)備(見圖8)。

圖8 控制校驗(yàn)

對于機(jī)組有功、無功等遙調(diào)操作，每個(gè)遙調(diào)點(diǎn)設(shè)置調(diào)節(jié)限值，超過調(diào)節(jié)限值時(shí)，彈出2次確認(rèn)窗口，若新調(diào)節(jié)設(shè)值與實(shí)發(fā)值或上次設(shè)值超過限值時(shí)，提示設(shè)置非法，避免誤調(diào)負(fù)荷(見圖9)。

圖9 遙調(diào)限值

4 結(jié) 論

對水電站計(jì)算機(jī)監(jiān)控系統(tǒng)誤控防范、數(shù)據(jù)安全、控制審計(jì)等控制安全策略的研究與應(yīng)用，從根本解決了由非專業(yè)人員誤操作、誤入操作畫面、誤控運(yùn)行設(shè)備、選錯(cuò)機(jī)組、選錯(cuò)設(shè)備、誤調(diào)負(fù)荷等誤操作及網(wǎng)絡(luò)安全方面引起的不安全控制問題，提高電廠運(yùn)行的安全生產(chǎn)水平，減少事故發(fā)生，保障人身和設(shè)備安全，為電力系統(tǒng)安全生產(chǎn)工作作出了有力的保障。