智能變電站IEC61588時間同步系統(tǒng)與安全評估

3.1管理制度安全分析

國內(nèi)絕大多數(shù)電力生產(chǎn)運(yùn)行人員和設(shè)計人員沒有接觸過IEC61588技術(shù)，行業(yè)內(nèi)缺少相應(yīng)的技術(shù)標(biāo)準(zhǔn)和設(shè)計規(guī)范加以指導(dǎo)，已投運(yùn)系統(tǒng)仍有不同程度的缺陷，尚未形成典型設(shè)計方案，加之IEC61588技術(shù)可選參數(shù)非常多，不同廠家可能采用不同參數(shù)配置，為系統(tǒng)聯(lián)調(diào)帶來很多困難。在IEC61850標(biāo)準(zhǔn)中，未定義時間同步模型，所以目前時間同步系統(tǒng)還不能在監(jiān)控后臺上進(jìn)行管理和監(jiān)控。這些都為基于IEC61588 技術(shù)的時間同步系統(tǒng)管理帶來了困難。

目前正在起草的電力行業(yè)標(biāo)準(zhǔn)《電力系統(tǒng)網(wǎng)絡(luò)精確時間同步技術(shù)規(guī)范》，將在很大程度上對智能變電站PTP時間同步系統(tǒng)參數(shù)選擇、網(wǎng)絡(luò)配置、系統(tǒng)建模進(jìn)行了約束，明確系統(tǒng)應(yīng)用，解決系統(tǒng)聯(lián)調(diào)帶來的問題。

3.2設(shè)備安全分析

IEC61588技術(shù)對設(shè)備硬件處理能力有較高的要求，它不僅需要設(shè)備識別PTP報文，并且將識別的PTP報文打上時間戳，之后CPU 還要對報文進(jìn)行處理，以獲得準(zhǔn)確的時間準(zhǔn)確度。下面以boardcom交換芯片為例，介紹PTP 報文的處理過程。

圖2是交換機(jī)發(fā)送時間戳報文的處理流程。首先交換機(jī)CPU生成Sync報文，并將它發(fā)送給交換芯片，交換芯片識別到Sync報文并優(yōu)先發(fā)送給介質(zhì)訪問控制層(MAC)，在MAC出口打上報文發(fā)送時間戳，并將發(fā)送時刻信息返回給CPU，CPU 中斷，讀取時間戳信息并插入到Follow_Up報文中再發(fā)送出去。

圖2發(fā)送時間戳報文的處理流程

圖3是交換機(jī)接收時間戳報文的處理流程。MAC接收到事件報文并打上時間戳，分析器從大量報文中解析PTP同步報文，并將同步報文優(yōu)先發(fā)送給CPU，CPU根據(jù)接收到的Sync報文和Follow_Up報文，計算本地時鐘。

圖3接收時間戳報文的處理流程

可以看出，在IEC61588技術(shù)中，CPU 和MAC起到了非常關(guān)鍵的作用，它們承擔(dān)了PTP協(xié)議報文生成、時間戳記錄、時間計算的作用，而在整個處理過程中，其恰恰又是硬件處理的瓶頸，也是系統(tǒng)脆弱性所在。如果系統(tǒng)考慮不完善，會同時發(fā)生異常現(xiàn)象，頻率過快、sequenceId的不連續(xù)、惡意的協(xié)議攻擊或者網(wǎng)絡(luò)風(fēng)暴等現(xiàn)象都將導(dǎo)致設(shè)備失效，甚至系統(tǒng)癱瘓。PTP系統(tǒng)在網(wǎng)絡(luò)負(fù)載為30Mbit/s情況下的對時精度測試結(jié)果見附錄A圖A2。

3.3網(wǎng)絡(luò)安全分析

智能變電站網(wǎng)絡(luò)結(jié)構(gòu)模型如圖4所示。

PTP技術(shù)可以應(yīng)用于過程層采樣值(SV)網(wǎng)絡(luò)和面向通用對象的變電站事件(GOOSE)網(wǎng)絡(luò)，而目前智能變電站應(yīng)用IEC61588技術(shù)存在的安全隱患主要有以下幾種。

1)網(wǎng)絡(luò)隔離不充分

目前，變電站內(nèi)部的網(wǎng)絡(luò)安全通常采用虛擬局域網(wǎng)(VLAN)技術(shù)進(jìn)行安全隔離，這種方法能夠在很大程度上對網(wǎng)絡(luò)中的安全隱患進(jìn)行防護(hù)。然而，由于IEC61588報文是一種可以跨越VLAN 的報文，所以VLAN對于IEC61588協(xié)議的攻擊起不到防護(hù)作用。網(wǎng)絡(luò)中的任何裝置，只要不進(jìn)行物理隔離，均能夠?qū)W(wǎng)絡(luò)中的其他裝置進(jìn)行攻擊，以占用被攻擊目標(biāo)的CPU資源，導(dǎo)致裝置癱瘓、時鐘紊亂或者死機(jī)。

2)偽造身份

由于共用網(wǎng)絡(luò)，而VLAN對于IEC61588協(xié)議起不到隔離作用，變電站中任何一個設(shè)備只要具備主時鐘功能，均可以偽造身份，以更高的優(yōu)先級角色扮演主時鐘，使真正的主時鐘處于靜默狀態(tài)，代替主時鐘工作，以達(dá)到破壞系統(tǒng)穩(wěn)定的目的。

3)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計不合理

圖5是目前大多數(shù)智能變電站PTP系統(tǒng)采用的組網(wǎng)方式，該方式所有交換機(jī)工作于TC模式，保護(hù)裝置、合并單元、主時鐘等二次設(shè)備工作于OC模式下。該組網(wǎng)方式的弱點(diǎn)在于對主時鐘依賴程度過高，各間隔無單獨(dú)擴(kuò)展時鐘源，無法達(dá)到守時能力。

圖6、圖7是本文提出的2種PTP系統(tǒng)組網(wǎng)方案。圖6采用傳統(tǒng)對時方案，在總控室至間隔層采用B碼時鐘方式，間隔內(nèi)部采用PTP對時協(xié)議。圖7采用全網(wǎng)PTP對時方案，與主時鐘連接的交換機(jī)采用BC模式，同時要求交換機(jī)具有守時功能。2種方案均可以達(dá)到簡化網(wǎng)絡(luò)設(shè)計的目的，同時實(shí)現(xiàn)主控室和間隔層時間同步系統(tǒng)守時功能。

4一種基于網(wǎng)絡(luò)仿真技術(shù)的測評方法

4.1測評指標(biāo)體系建立

評價智能變電站PTP時鐘系統(tǒng)有效性，建立測評指標(biāo)非常重要，指標(biāo)體系的建立主要從以下幾個方面加以考慮。

1)PTP工作原理：協(xié)議一致性、BMC算法正確性、錯誤報文挑戰(zhàn)和報文回放處理正確性。

2)智能變電站應(yīng)用需求：對時精度小于1μs、守時精度小于1μs/h、時間抖動小于200ns。

3)網(wǎng)絡(luò)對PTP影響：幀丟失、幀亂序、幀復(fù)制、網(wǎng)絡(luò)風(fēng)暴等均不應(yīng)對時間精度產(chǎn)生影響。

4.2測評模型

為解決目前智能變電站PTP時鐘系統(tǒng)應(yīng)用穩(wěn)定性問題，國網(wǎng)電力科學(xué)研究院實(shí)驗(yàn)驗(yàn)證中心研究了一種采用分層控制技術(shù)進(jìn)行模塊化結(jié)構(gòu)設(shè)計的仿真系統(tǒng)，用于對智能變電站PTP時鐘系統(tǒng)進(jìn)行評估。圖8為基于網(wǎng)絡(luò)仿真技術(shù)的測試評估模型。

圖8測試評估模型