提高遠程遙控安全性的IEC 60870-5-104 規約擴展研究

朱海兵，吳 奕，陳 寧，朱志華，劉 翌，熊 浩

(1.江蘇省電力公司，江蘇 南京 210024；2.國電南瑞科技股份有限公司，江蘇 南京 210061)

目前，調度控制中心主站系統與變電站綜自系統的遠動規約主要采用IEC 60870-5-104 規約[1]，它們傳送的遙控命令中只包含遙控信息點號和遙控值，變電站綜自系統接收到遙控命令后，只對遙控命令的遙控點號進行檢驗，只要判斷到該點號存在，就進行遙控，一旦主站系統遙控點關聯出錯或站端系統遙控點出現與主站端系統發生不對應，就會有可能發生誤遙控，這給自動化人員和調度監控人員都帶來了極大的壓力，也會給電網的安全運行帶來威脅。《國家電網公司電力安全工作規程》 對于現場操作防止誤操作有完備的技術和管理措施，但遠程遙控與現場操作和變電站后臺操作具有很大的差異性，許多現場操作的防止誤操作技術措施無法直接應用到遠程遙控中，因此對于“大運行”模式下調度控制中心開展遠程遙控需要因地制宜的研究防誤技術和管理手段。

1 雙重校驗設計思路

目前調度控制中心對變電站斷路器、刀閘等開合設備的遠程遙控通過調度技術支持系統的數據采集與監視控制（SCADA）[2]應用來實現，整個過程包括“選擇”、“返校”和“執行”。“選擇”過程監控人員在SCADA 客戶端上輸入遙控命令后，SCADA 應用根據遙控命令找到遙控對象對應的設備ID，發至前置應用，前置應用服務根據設備ID 和監控信息表找到相應的信息點號，然后使用IEC 60870-5-104 規約將該信息點的遙控值（“0”和“1”）發至變電站綜自系統的總控，傳輸過程只傳輸信息點號和遙控值，“返校”和“執行”過程同樣只檢驗主站系統和變電站端綜自系統信息表點號是否存在和是否可執行，并沒有電氣防止誤操作邏輯。盡管主站系統和站端綜自系統的信息表對應關系都經過運行維護人員的驗收校對，但涉及到變電站局部改造時，并不對全站信息表進行核對，不能排除人為因素導致主站系統和站端綜自系統信息表不對應的情況。如果出現這種情況，現有IEC 60870-5-104規約無法校驗此種錯誤，可能會導致誤遙控的發生。因此，有必要對現有IEC 60870-5-104 規約傳輸校驗機制進行改進研究，提高遠程遙控的安全性。

為了避免上述遠程遙控過程潛在的安全隱患，本文從遙控校驗機理和IEC 60870-5-104 規約擴展性方面開展研究，提出建立遙控命令傳輸過程的雙重校驗機制。在現有IEC 60870-5-104 規約僅傳輸和校驗點號的基礎上，對規約進行擴展，在遙控命令中增加設備編號或名稱，同時對調控中心主站系統的SCADA 和前置應用進行適當改造，對變電站綜合自動化系統進行改造，擴充監控信息表，增加設備編號或名稱，遙控命令傳輸和執行時，同時傳輸遙控點號和設備編號，校驗時同時判斷遙控點號和設備編號對應關系，同時校驗測控裝置的IP 地址。

采用“寧可拒絕執行而減少誤操作可能性”的原則，在命令傳輸和校驗過程增加判斷量，實現雙重化校驗，從而保證遙控命令的準確、可靠執行，大幅降低因主站和變電站綜合自動化系統監控信息表點號不對應帶來誤遙控的可能性。

2 規約擴展實現方法

在現有IEC60870-5-104 規約基礎上擴展遙控預置與執行報文結構，應用層引用DL/T 634.5101—2002[3]，主站系統下發點號時，能夠將設備編號或名稱一起下發。同時，返回錯誤碼能夠明確錯誤原因（點號與名稱不一致、存在重復點號、無法校驗等），并將原因返回給主站系統SCADA的遙控界面顯示并告警。遙控的預置、執行都增加此校驗環節，保證遙控命令的安全可靠執行。帶名稱校驗的單命令類型標識[4]為54，如圖1所示。

圖1 帶名稱校驗的單命令數據單元

校驗信息為字符串，包含結束符。傳輸時校驗信息按照實際的長度發送，校驗信息字符串長度可由報文長度計算得出。IEC 60870-5-104 規約中一幀報文的最大長度為255 字節（包括起始字節和報文長度字節），去除報文的其他部分后，校驗信息的最大長度239 字節，119個漢字。校驗信息一般可采用調度編號或調度命名。“選擇”、“返校”、“執行”等遙控命令的ASDU 信息格式[5，6]具體規定如圖2—7 所示。

圖2 遙控選擇

圖3 遙控選擇返校

遙控開關編號可以是開關刀閘等設備編號，遠動裝置對遙控點號和開關編號進行一致性檢驗。遙控出口編碼為遙控對象的相應變電站間隔裝置的出口繼電器編碼，給遠動和主站系統進行遙控真實出口校驗，內容包含間隔裝置地址和遙控對象序號，全站編碼不重復，其中返校遙控出口編碼必須由間隔裝置返校信息自動生成，上送給調度再次進行核對。

圖5 遙控執行返校

圖6 遙控撤銷

圖7 遙控撤銷返校

間隔裝置如果是網絡通訊方式的，則遙控出口編碼方式為“[網絡介質號：]IP 地址：遙控序號”，其中網絡介質號可選。例如對接在遠動網口“1”的IP 地址為“192.168.1.2”測控裝置上遙控對象“2”進行遙控，則遙控出口編碼為“NET1：192.168.1.2：2”。

間隔裝置如果是以串口、CAN 網等非網絡方式通訊的，則編碼為“[通訊介質號：]裝置地址：遙控序號”，其中通訊介質號可選。例如對接在遠動串口“1”的裝置地址為“2”測控裝置上遙控對象“1”進行遙控，則遙控出口編碼為“COM1：2：1”。

遙控返校出錯碼定義如下：

“0”為返校正確；

“1”為調度下發選擇命令遙控點號和遙控對象編碼不一致，可能是調度遙控數據庫出錯；

“2”為遠動對調度下發遙控出口編碼校核出錯，可能是遠動裝置遙控數據庫出錯；

“3”為間隔裝置超時未返校，可能是遠動和間隔裝置通訊故障；

“4”為間隔裝置返校出錯（就地/ 檢修/ 閉鎖/ 硬件出錯等）。

3 主站系統和站端系統處理流程

3.1 主站系統處理流程

主站系統在遙控操作時，監控人員在廠站接線圖上通過右鍵對設備進行遙控操作，在彈出的遙控操作界面上，監控人員需要再次輸入所遙控設備的設備編號（以設備編號為例），程序會判斷所輸入的設備編號與所操作的設備的編號是否相同，如相同才允許繼續進行遙控預置操作。主站系統的畫面、SCADA 應用、前置應用間傳輸遙控命令時使用的是系統內部的設備ID，前置應用在下發遙控命令時通過設備ID 從數據庫中取出設備遙控點號組裝到遙控命令中，站端系統收到遙控命令后，根據命令中的遙控點號和站端預設的點號和設備的對應關系找到所要操作的設備，并對其進行控制操作。

主站系統在判斷監控人員輸入的設備編號正確后，需要將此編號與原有的ID、狀態等信息一并通過SCADA 應用發給前置應用，前置應用在下發到站端的遙控命令時，需要再通過設備ID 從數據庫中取出設備所在測控裝置的IP 地址和遙控點號，并與遙控狀態和設備編號信息按照新的遙控命令格式組裝報文。站端系統在收到遙控命令后，先判斷命令中的遙控點號、設備編號和測控裝置IP 地址與站端系統設置的是否一致。對應關系一致則繼續，否則就返回出錯信息給主站系統。主站系統在接收處理站端系統上送的遙控返校報文時，需要將站端系統上送的校核結果文本信息返送給畫面，顯示在主站系統的遙控操作界面上。

3.2 站端系統處理流程

傳統遙控過程由站端系統前置通訊軟件接到遙控命令，根據遙控點號從轉發信息表中檢索出相應的數據庫遙控記錄索引號（OID），然后通過OID 檢索出遙控設備對象的記錄信息，根據該設備對象的記錄信息屬性，對測控裝置進行相應的控制操作。在變電站一體化監控系統體系下，所有控制操作都是依據遙控設備對象數據庫數據屬性統一進行相應操作[7]，因此在傳統常規變電站，只要可靠地驗證了該對象庫正確性，基本就能保證站端系統對裝置操作的正確性。在新型智能變電站，站控層網絡是基于IEC 61850 協議體系，由于強大的互操作性及豐富的擴展性能，讓裝置實現對帶編號校核屬性的遙控功能支持是能夠實現的，這樣就在整個遙控過程上的所有環節實現雙重化校驗，從而保證遙控操作的可靠性和惟一性。對于變電站一體化監控系統，可分別由總控對帶編號遙控操作的校核和由總控和裝置對帶編號遙控操作的校核2 種方案。

（1）方案1 實現流程：站端系統從主站系統下發的遙控命令信息中，在獲取遙控點號的同時，也獲取該遙控的校核信息，并將校核信息與該遙控的設備記錄信息終端遙控別名域匹配和裝置IP 地址匹配，如果匹配不成功，返回主站遙控校核錯誤信息，若校核匹配成功即轉為傳統遙控流程操作。

（2）方案2 實現流程：監控系統從主站下發的遙控命令信息中，在獲取遙控號的同時，也獲取該遙控的校核信息，并將校核信息與該遙控的開關記錄信息終端遙控別名域匹配和裝置IP 地址匹配，如果匹配不成功，返回主站遙控校核錯誤信息，校核匹配成功，再根據遙控開關對象將校核信息發送給對應裝置，由裝置根據本設備配置再次校核遙控編號信息是否正確，校核成功進行常規控制操作，否則就取消該控制操作，并將錯誤信息返回給一體化監控系統，再由一體化監控系統返回給主站。

4 結束語

現有IEC 60870-5-104 規約傳輸遙控命令僅僅依據點號，主站系統和站端系統信息表一旦出現點號錯位等不對應情況，很容易導致誤遙控。通過規約擴展，實現點號和設備編號的雙重校驗，同時校驗測控裝置的IP 地址，徹底消除了主站系統和站端系統的點號對應關系錯誤帶來的誤遙控可能性，是一種非常安全可靠的防誤遙控改進技術，對于提高電網安全可靠運行水平具有重要意義。

[1]IEC 60870-5-104 規約（2000 版），采用標準傳輸協議子集IEC 60870-5-101 網絡訪問[S]：50-60.

[2]劉革輝，李 向，秦力軍.IEC 60870-5-104 遠動規約在SCADA系統中的應用[C].北京：2002年全國電力系統自動化學術研討會，2002：2-4.

[3]DL/T 634.5101—2002，基本遠動任務配套標準[S]：30-32.

[4]徐立子.變電站自動化系統IEC 60870-5-103 和IEC 60870-5-104 協議的分析和實施[J].電網技術，2002，26(4)：1-3.

[5]黃云龍，鄭 翔.IEC 60870-5-104 在調度自動化系統中的應用[J].上海電力學院學報，2005，21(4)：326-328.

[6]何 松，李育林.IEC 60870-5-104 規約應用分析[J].山西電力，2007(4)：18-21.

[7]李 曄，朱 江，吳 玲.基于綜合自動化系統的斷路器遙控操作分析[J].江蘇電機工程，2013，32(4)：45-52.