摘要：通過介紹智能變電站對時間同步需求和網(wǎng)絡時間協(xié)議的技術特點、工作原理和組網(wǎng)方式，分析了目前網(wǎng)絡時間同步系統(tǒng)在智能變電站應用中的優(yōu)勢與不足。對于IEC61588網(wǎng)絡時間同步系統(tǒng)在系統(tǒng)管理、產品設計和網(wǎng)絡結構上存在的安全隱患，提出了一種基于智能變電站網(wǎng)絡流量仿真技術的安全測評方法，并利用該方法進行了測評實例分析，保證了IEC61588時間同步系統(tǒng)智能變電站的安全可靠運行。

0引言

目前，隨著中國智能電網(wǎng)的快速推進，傳統(tǒng)變電站正逐步向基于IEC61850標準的智能變電站方向發(fā)展，基于網(wǎng)絡的時間同步系統(tǒng)在智能變電站有了廣闊的應用空間。簡單網(wǎng)絡時間協(xié)議(SNTP)在變電站站控層得到廣泛應用，基于IEC61588的精確時間協(xié)議(PTP)也在智能變電站過程層得到應用。目前，已投運的應用IEC61588技術的智能變電站主要有蘇州500kV玉山智能變電站、延安330kV智能化改造變電站、河南淇縣220kV智能變電站、無錫220kV西徑智能變電站和天津110kV 和暢路變電站。

智能變電站應用IEC61588技術的優(yōu)點主要有：①能夠提供高精度的對時性能，對時精度小于1μs且能夠滿足合并單元、保護裝置、智能終端設備、同步相量測量裝置(PMU)及行波測距裝置、雷電波定位裝置等對時間精度的需求;②IEC61588技術是基于以太網(wǎng)技術發(fā)展而來的，與智能變電站網(wǎng)絡結構完全吻合，利用現(xiàn)有網(wǎng)絡就可以實現(xiàn)時間同步對時功能，不需要單獨布線，從而優(yōu)化了變電站網(wǎng)絡結構;③智能變電站采用IEC61588技術，在系統(tǒng)中只需要保留2臺主時鐘，減少了擴展裝置的投入，從而減少了系統(tǒng)中運行設備的數(shù)量，降低了設備成本;④全站采用網(wǎng)絡時間同步技術，使時間同步系統(tǒng)建模更加方便，有利于變電站二次系統(tǒng)的集中監(jiān)控和管理。

雖然IEC61588技術在智能變電站應用方面有很多優(yōu)點，但現(xiàn)階段仍然存在很多需要解決的問題：①IEC61588技術在智能變電站應用的案例不多，經(jīng)驗少、產品不成熟、系統(tǒng)運行穩(wěn)定性差，存在時間抖動大、抗網(wǎng)絡風暴能力差及長時間對時失效的現(xiàn)象;②由于IEC61588特殊的工作原理，需要在系統(tǒng)研制過程中采取足夠的安全防護措施，降低設備被惡意攻擊的可能性，而這種安全防護在現(xiàn)有系統(tǒng)設計中均沒有得到足夠重視，使得產品設計存在嚴重缺陷，系統(tǒng)運行存在安全隱患;③應用經(jīng)驗較少，系統(tǒng)設計不合理，雖然已有一些試點智能變電站，但系統(tǒng)內深入了解該技術的人員非常少，存在系統(tǒng)設計缺陷(如缺少備用主時鐘、間隔層缺少守時系統(tǒng)等);④支持IEC61588技術的成熟產品不多，造成變電站二次系統(tǒng)總體造價過高，阻礙了該技術在智能變電站中的應用，但隨著技術的成熟和市場的有序競爭，該問題將逐步得到解決。

本文結合工程經(jīng)驗和實驗室測試數(shù)據(jù)，對IEC61588PTP[1]在智能變電站應用中存在的安全問題和安全防護措施進行了探討，并提出了一種基于變電站網(wǎng)絡流量仿真的測試方法，用以評估系統(tǒng)安全性。

1IEC61588PTP

IEC61588標準主要為滿足測量儀器和工業(yè)控制所需要的測量準確度而產生，在2008年形成了IEEE1588V2，并很快被國際電工委員會(IEC)和國家標準采用，形成IEC61588—2009 和GB/T25931—2010標準。

IEC61588標準中定義了10種類型報文，其中4種為事件報文，用于產生和通信中同步普通時鐘(OC)和邊界時鐘(BC)的時間信息，其在發(fā)送和接收時產生精確時間戳;6種為普通報文，用于測量2個時鐘之間的鏈路延時和信息管理。10種報文均需要由CPU 進行處理，并占用CPU 資源，安全防護考慮不全面，將為系統(tǒng)運行帶來隱患。

IEC61588協(xié)議本身支持源地址可信性認證、信息完整性識別和回放攻擊保護機制，已對安全防護進行了充分考慮。IEC61588協(xié)議的安全性通過以下2種安全機制加以實現(xiàn)。

1)回放保護機制：該機制通過使用信息認證碼來確認接收到的信息是由驗證源發(fā)出，在傳輸途中未經(jīng)修改，并且是即時的(即不是某個信息的回放)?；胤疟Ｗo通過使用計數(shù)器來實施。

2)挑戰(zhàn)—響應機制：該機制用來確認新信息源的可靠性和真實性，并對經(jīng)驗證的數(shù)據(jù)關聯(lián)性進行實時更新。

2智能變電站PTP系統(tǒng)

2.1PTP時間同步原理

PTP技術主要應用于智能變電站過程層，同步模式目前選用二步法、IEEE802.3/Ethernet模式、點到點(P2P)模式。圖1為簡化智能變電站PTP時間同步模型。該模型主要由Sync，F(xiàn)ollow_Up，Announce，Pdelay_Req，Pdelay_Resp 和Pdelay_Resp_Follow_Up共6種報文組成，這也是目前已經(jīng)投運智能變電站采用最多的同步模型。

式中：t1為發(fā)送時間;t4為接收時間;tD為路徑延遲時間;tC為駐留時間。

2.2故障現(xiàn)象

雖然IEC61588在智能變電站中已有一些應用，但系統(tǒng)運行狀況并不樂觀，目前已投運設備的故障現(xiàn)象主要集中在以下幾點。

1)協(xié)議理解不統(tǒng)一

系統(tǒng)調試過程中，經(jīng)常會發(fā)現(xiàn)廠家設備不支持IEEE802.3/Ethernet模式、P2P模式或透明時鐘(TC)模式，而此系統(tǒng)設計并沒有提出明確要求;在最佳主時鐘(BMC)算法中，對Announce報文的處理理解不統(tǒng)一，靜默主時鐘是否需要發(fā)送Announce報文沒有規(guī)定;交換機是否需要發(fā)送鏈路延時請求報文，從時鐘是否需要響應交換機發(fā)送的鏈路延時請求等均沒有明確規(guī)定。

2)設計不合理

由于對IEC61588理解不足，系統(tǒng)設計時在每個獨立的物理網(wǎng)絡只設計了一個主時鐘，不能實現(xiàn)主備互用，降低了系統(tǒng)的可靠性。

3)系統(tǒng)穩(wěn)定性差

抗網(wǎng)絡流量影響能力差，每隔一段時間系統(tǒng)就會發(fā)現(xiàn)對時異常信息，甚至發(fā)現(xiàn)長時間對時失效。

附錄A 圖A1 是某智能變電站投運后，IEC61588時鐘在過程層正常運行與故障運行的信息狀況?？梢钥闯?，交換機駐留時間計算出現(xiàn)嚴重錯誤，修正域值達到了億秒并溢出為負值，該現(xiàn)象的長時間出現(xiàn)將導致保護裝置閉鎖。

3智能變電站IEC61588系統(tǒng)風險分析

3.1管理制度安全分析

國內絕大多數(shù)電力生產運行人員和設計人員沒有接觸過IEC61588技術，行業(yè)內缺少相應的技術標準和設計規(guī)范加以指導，已投運系統(tǒng)仍有不同程度的缺陷，尚未形成典型設計方案，加之IEC61588技術可選參數(shù)非常多，不同廠家可能采用不同參數(shù)配置，為系統(tǒng)聯(lián)調帶來很多困難。在IEC61850標準中，未定義時間同步模型，所以目前時間同步系統(tǒng)還不能在監(jiān)控后臺上進行管理和監(jiān)控。這些都為基于IEC61588 技術的時間同步系統(tǒng)管理帶來了困難。

目前正在起草的電力行業(yè)標準《電力系統(tǒng)網(wǎng)絡精確時間同步技術規(guī)范》，將在很大程度上對智能變電站PTP時間同步系統(tǒng)參數(shù)選擇、網(wǎng)絡配置、系統(tǒng)建模進行了約束，明確系統(tǒng)應用，解決系統(tǒng)聯(lián)調帶來的問題。

3.2設備安全分析

IEC61588技術對設備硬件處理能力有較高的要求，它不僅需要設備識別PTP報文，并且將識別的PTP報文打上時間戳，之后CPU 還要對報文進行處理，以獲得準確的時間準確度。下面以boardcom交換芯片為例，介紹PTP 報文的處理過程。

圖2是交換機發(fā)送時間戳報文的處理流程。首先交換機CPU生成Sync報文，并將它發(fā)送給交換芯片，交換芯片識別到Sync報文并優(yōu)先發(fā)送給介質訪問控制層(MAC)，在MAC出口打上報文發(fā)送時間戳，并將發(fā)送時刻信息返回給CPU，CPU 中斷，讀取時間戳信息并插入到Follow_Up報文中再發(fā)送出去。

圖2發(fā)送時間戳報文的處理流程

圖3是交換機接收時間戳報文的處理流程。MAC接收到事件報文并打上時間戳，分析器從大量報文中解析PTP同步報文，并將同步報文優(yōu)先發(fā)送給CPU，CPU根據(jù)接收到的Sync報文和Follow_Up報文，計算本地時鐘。

圖3接收時間戳報文的處理流程

可以看出，在IEC61588技術中，CPU 和MAC起到了非常關鍵的作用，它們承擔了PTP協(xié)議報文生成、時間戳記錄、時間計算的作用，而在整個處理過程中，其恰恰又是硬件處理的瓶頸，也是系統(tǒng)脆弱性所在。如果系統(tǒng)考慮不完善，會同時發(fā)生異?，F(xiàn)象，頻率過快、sequenceId的不連續(xù)、惡意的協(xié)議攻擊或者網(wǎng)絡風暴等現(xiàn)象都將導致設備失效，甚至系統(tǒng)癱瘓。PTP系統(tǒng)在網(wǎng)絡負載為30Mbit/s情況下的對時精度測試結果見附錄A圖A2。

3.3網(wǎng)絡安全分析

智能變電站網(wǎng)絡結構模型如圖4所示。

PTP技術可以應用于過程層采樣值(SV)網(wǎng)絡和面向通用對象的變電站事件(GOOSE)網(wǎng)絡，而目前智能變電站應用IEC61588技術存在的安全隱患主要有以下幾種。

1)網(wǎng)絡隔離不充分

目前，變電站內部的網(wǎng)絡安全通常采用虛擬局域網(wǎng)(VLAN)技術進行安全隔離，這種方法能夠在很大程度上對網(wǎng)絡中的安全隱患進行防護。然而，由于IEC61588報文是一種可以跨越VLAN 的報文，所以VLAN對于IEC61588協(xié)議的攻擊起不到防護作用。網(wǎng)絡中的任何裝置，只要不進行物理隔離，均能夠對網(wǎng)絡中的其他裝置進行攻擊，以占用被攻擊目標的CPU資源，導致裝置癱瘓、時鐘紊亂或者死機。

2)偽造身份

由于共用網(wǎng)絡，而VLAN對于IEC61588協(xié)議起不到隔離作用，變電站中任何一個設備只要具備主時鐘功能，均可以偽造身份，以更高的優(yōu)先級角色扮演主時鐘，使真正的主時鐘處于靜默狀態(tài)，代替主時鐘工作，以達到破壞系統(tǒng)穩(wěn)定的目的。

3)網(wǎng)絡結構設計不合理

圖5是目前大多數(shù)智能變電站PTP系統(tǒng)采用的組網(wǎng)方式，該方式所有交換機工作于TC模式，保護裝置、合并單元、主時鐘等二次設備工作于OC模式下。該組網(wǎng)方式的弱點在于對主時鐘依賴程度過高，各間隔無單獨擴展時鐘源，無法達到守時能力。

圖6、圖7是本文提出的2種PTP系統(tǒng)組網(wǎng)方案。圖6采用傳統(tǒng)對時方案，在總控室至間隔層采用B碼時鐘方式，間隔內部采用PTP對時協(xié)議。圖7采用全網(wǎng)PTP對時方案，與主時鐘連接的交換機采用BC模式，同時要求交換機具有守時功能。2種方案均可以達到簡化網(wǎng)絡設計的目的，同時實現(xiàn)主控室和間隔層時間同步系統(tǒng)守時功能。

4一種基于網(wǎng)絡仿真技術的測評方法

4.1測評指標體系建立

評價智能變電站PTP時鐘系統(tǒng)有效性，建立測評指標非常重要，指標體系的建立主要從以下幾個方面加以考慮。

1)PTP工作原理：協(xié)議一致性、BMC算法正確性、錯誤報文挑戰(zhàn)和報文回放處理正確性。

2)智能變電站應用需求：對時精度小于1μs、守時精度小于1μs/h、時間抖動小于200ns。

3)網(wǎng)絡對PTP影響：幀丟失、幀亂序、幀復制、網(wǎng)絡風暴等均不應對時間精度產生影響。

4.2測評模型

為解決目前智能變電站PTP時鐘系統(tǒng)應用穩(wěn)定性問題，國網(wǎng)電力科學研究院實驗驗證中心研究了一種采用分層控制技術進行模塊化結構設計的仿真系統(tǒng)，用于對智能變電站PTP時鐘系統(tǒng)進行評估。圖8為基于網(wǎng)絡仿真技術的測試評估模型。

圖8測試評估模型

該測試評估模型根據(jù)PTP時間同步原理制定了基本測試項，主要分為正向(肯定)測試與反向(否定)測試：正向測試重點對時間準確度、協(xié)議符合性、BMC算法、鏈路延時的計算能力以及網(wǎng)絡風暴影響進行測評;反向測試重點對幀亂序、幀復制、錯誤報文挑戰(zhàn)以及網(wǎng)絡數(shù)據(jù)回放等網(wǎng)絡異常和惡意攻擊事件進行測評。

4.3合格判定

合格的判斷依據(jù)是滿足IEC61588標準要求和智能變電站應用需求，具體體現(xiàn)在以下幾個方面。

1)協(xié)議和BMC算法正確，能夠正常對時并進行報文交互，在網(wǎng)絡正常情況下，不產生失效等報警信息。

2)時間精度小于1μs，并在各種網(wǎng)絡影響條件下不產生較大抖動，具有很好的穩(wěn)定性。

3)隨著時間精度的劣化，能夠正確輸出時間質量標識信息。

4)在遭遇到惡意攻擊的情況下，能夠正確輸出時間信息。

4.4測評實例

表1和表2是某智能變電站投運前利用上述測評模型進行整改前后的評估數(shù)據(jù)，該智能變電站目前運行正常。

該測試評估模型可以真實地模擬智能變電站的實際網(wǎng)絡環(huán)境，能夠滿足智能變電站時間敏感性和信息安全測試需求，大大提高了智能變電站PTP時間同步系統(tǒng)查找分析問題的能力，更有利于智能變電站網(wǎng)絡優(yōu)化設計實施和PTP時間同步系統(tǒng)在電力系統(tǒng)中的應用。

表1整改前測評數(shù)據(jù)

5結語

IEC61588技術在電力系統(tǒng)中的應用才剛剛起步，雖然已經(jīng)在少數(shù)變電站試點應用，但系統(tǒng)運行還不穩(wěn)定，相關產品還存在缺陷，其安全問題也沒有得到足夠認識。

IEC61588要在智能變電站得到應用，必須解決安全問題和產品質量缺陷，并經(jīng)過嚴格測試，否則安全隱患難以消除。本文提出基于網(wǎng)路仿真系統(tǒng)的試驗方法，能夠有效解決IEC61588產品測試的需求，能夠對IEC61588產品性能、功能和安全性進行全面考核。隨著技術的進步和產品質量的完善，IEC61588技術能夠在電力行業(yè)得到廣泛應用。

參考文獻

[1]IEC61588—2009Precisionclocksynchronizationprotocolfornetworkedmeasurementandcontrolsystems[S].2009.

[2]胡永春，張雪松，許偉國，等.IEEE1588時鐘同步系統(tǒng)誤差分析及其檢測方法[J].電力系統(tǒng)自動化，2010，34(21)：107-111.HUYongchun，ZHANGXuesong，XUWeiguo，etal.ErroranalysisanddetectionmethodforIEEE1588 clocksynchronizationsystem [J].AutomationofElectricPowerSystems，2010，34(21)：107-111.

[3]于鵬飛，喻強，鄧輝，等.IEEE1588精確時間同步協(xié)議的應用方案[J].電力系統(tǒng)自動化，2009，33(13)：99-103.YUPengfei，YUQiang，DENGHui，etal.TheresearchofprecisiontimeprotocolIEEE1588[J].AutomationofElectricPowerSystems，2009，33(13)：99-103.

更多好文：21ic智能電網(wǎng)