變電站序列控制遠方操作安全風險防治與管控

鄒沛恒，代宇涵，郭 果，鄭永康

(1.國網樂山供電公司，四川 樂山 614000；2.國網四川省電力公司電力科學研究院，四川 成都 610041；3.國網四川省電力公司，四川 成都 610041)

0 引 言

近年來隨著調控一體化和變電站無人值守的推進，傳統電網自動化、智能化程度的逐步提高，需要在調度主站、監控中心、變電站實現運行狀態的快速轉換。序列控制作為系統控制指令的序列處理方式，以一定時序及閉鎖邏輯逐條發出校驗指令，自動執行完成全部控制指令。將該技術運用在變電站設備倒閘操作中，可實現操作任務一鍵啟動、操作步驟順序執行、防誤聯鎖智能校核、設備狀態自動判別，從而實現變電站狀態的一鍵轉換。變電站序列控制(或稱為變電站順序控制或一鍵順控)對于減少人工手動操作量，降低人員誤操作概率，防止電網大面積停電事故，保障堅強智能電網的穩定運行有著重大意義。

依據國家電網公司運檢部關于印發變電站一鍵順控改造技術規范(試行)的通知，部分省份進行了變電站順序控制試點，形成了一定的成功應用經驗[3-5]。上述成功經驗，大多是陳述順序控制操作的具體實施方案和實際應用效果，少有涉及順序控制遠方操作全過程風險分析防治與管控的專項研究。

下面從順序控制遠方操作具體過程入手，對各個環節進行對應的安全分析，以調端與站端通訊主流的IEC104通信規約為研究對象[6-8]，分析了目前順序控制遠方操作主要面臨的安全風險和應對措施。其中操作環節安全風險，主要包括以下3方面：1)調控主站與順控場站在順序控制遠方操作交互過程中順控配合失調，造成的操作失效甚至操作錯誤的風險；2)主站在對單條線路連接的多端場站進行綜合順序控制時，命令有序執行的配合風險；3)順控場站遇到多個調控主站并發順序控制遠方命令時不當處理，造成操作異常中斷甚至誤操作的風險。針對上述遠方操作安全風險，提出基于順序控制操作命令展寬時間配合設定方法和調控主站命令并發預防與閉鎖防范機制。

1 順序控制技術架構簡介及操作流程分析

智能電網調度控制系統順序控制功能涉及調控主站、變電站監控系統以及數據傳輸等，技術架構如圖1所示。

圖1 智能電網調度控制系統順序控制功能技術架構

調控主站基于智能電網調度控制系統基礎平臺，實現SCADA順序控制功能，主要包括權限管理、操作任務編輯解析、拓撲防誤、操作票調閱、模擬預演、操作執行等功能。在操作員工作站或經過縱向加密網絡延伸的遠程終端上，發起順序控制操作。操作命令在調控主站和變電站監控系統間進行交互，途經主站服務器、變電站通信網關機、變電站監控后臺、智能五防系統等。借由變電站監控系統中的一鍵順控功能模塊，與獨立五防系統、間隔測控裝置配合完成順序控制的預演、校驗與執行。

1)系統通訊方式

調度主站SCADA系統有OPEN3000系統與D5000系統2種，在此以OPEN3000系統為例進行分析。一鍵順控在啟動、調票、預演、校驗、執行各階段皆需要調度主站OPEN3000系統、智能五防系統及變電站后臺監控進行信息交互?？紤]到工程實施的規范性與通用性，建議與調度自動化OPEN3000系統之間接口可采用擴展了轉發遙控功能的DL/T 634.5104規約通信，與智能五防主機建議使用DL/T 634.5104規約通信，若廠家相同可使用私有協議。

2)一鍵順控流程

一鍵順控功能實現需要OPEN3000系統、變電站后臺監控系統以及智能五防主機之間的順控數據交互，從而實現OPEN3000系統與變電站順控命令的傳送與防誤校驗。順控遠動信號、遙控命令、防誤校驗信息交互流程如圖2所示。

圖2 順控信息交互流程

一鍵順控功能包括順控票管理和一鍵順控操作執行兩大部分，順控操作先進行操作票固化，后開展操作對象的一鍵順控操作。正常情況下，順控過程中操作序列如果發生控制順序錯誤，智能五防在校驗后閉鎖并否定返校。若遇到變電站端返回超時、通道短時間中斷恢復等情況時，則啟用操作指令的重發機制。重發次數可人工設置，若重發次數超出閾值且仍未收到變電站返回信息時，應終止操作流程并主動提示。調控主站、變電站監控系統均應配置上述重發、終止機制，保證順序控制中的超時、中斷情況的正確處置，及時重新發送操作指令或中止發送自動返回到正確狀態，保證順序控制全過程安全穩定。

2 順序控制遠方操作安全風險及防控分析

根據網絡安全風險評估辦法并結合國家電網公司運檢部關于印發變電站一鍵順控改造技術規范(試行)的通知與國家電網調度中心關于印發智能電網調度控制系統順序控制功能規范的通知，具體對順序控制功能遠方操作系統構架與流程來進行風險辨識及評估，順序控制遠方操作主要考慮以下三大類安全需求，即網絡信息安全、管理安全及操作流程安全。如表1所示。

表1 順序控制遠方操作安全需求

2.1 網絡信息安全

從網絡通訊信息安全理論分析[9]可知，網絡環境中的安全攻擊分為主動攻擊與被動攻擊兩種。主動攻擊主要是通過篡改信息、偽造或采用DOS攻擊達到欺騙用戶、破壞網絡、違規獲取特權達到破壞目的。被動攻擊相比于主動攻擊不對數據信息做任何修改，主要是通過截取/竊聽、破解數據流的方式在未經用戶同意和認可的情況下獲得相關信息與數據。通常情況下，可能同時遭受主動與被動方式相結合的混合攻擊。

網絡環境下主要通過網絡隔離、防火墻加固、數據加密、雙因子認證、強制訪問控制及三權分立等措施防御攻擊。國家電網公司規定電力網絡中的信息按照安全需求應采用業務網絡分區與信息多維防護等措施來提升網絡安全水平。結合順序控制遠方操作信息傳輸環節，主要應在橫向隔離、縱向加密、發起控制等方面采取針對性的安全措施，具體措施如下：

1)縱向加密運用非對稱加密算法對在生產大區中傳輸的主子站順序控制交互信息進行非對稱算法加密與解密，在通信通道上完成信息的密文傳輸，保證信息的安全性與保密性，預防信息被截取或竊聽后惡意利用；

2)橫向隔離運用在順序控制信息涉及的不同網絡區域間，通過隔離裝置的橫向阻隔作用，保證網絡中跨區域的信息交互和數據訪問都經過了授權與管控，避免出現非法的流程連接與訪問；

3)發起控制在調度主站和場站監控上進行功能部署，只允許具備權限的用戶調用符合既定規則的順序操作票，不符合上述規則的請求不允許發起命令與執行。發起控制從命令發起源上避免了無權限的用戶的非法控制和有權用戶的違規操作。

2.2 管理安全

針對管理風險，通過對此類風險進行風險識別，防范非法用戶登錄操作或操作流程不規范等風險。主要采用人員多重認證、權限管理機制、雙人雙機監護等措施。其中：

1)人員多重認證。提供基于調度數字證書、用戶和密碼、指紋、人臉識別等鑒別技術的兩種或兩種以上組合方式對用戶身份進行鑒定。通過對操作人員的多重認證，保證實際操作人員操作權限的合法性。

2)權限管理機制。支持完善的權限管理機制，按照省地縣操作權限，只允許各層級單位授權用戶登錄維護操作。并對操作用戶進行雙重鑒別與細化管理，確保操作的安全可靠。

3)雙人雙機監護。按照雙重監護、多重驗證的要求，人員必須經過可靠驗證后才可執行操作。操作發起前應核對監護信息涵蓋的操作場站、操作設備、設備源態和目標態等信息，并落實操作、監護分離核實制度，避免單獨操作導致的誤操作。建設系統監護信息場站、設備、源態、目標態的核實糾錯功能，讓系統記錄每一項操作工作對應的操作、監護人員，保證順控操作具有可追溯與逆向分析功能。

2.3 操作流程安全

順序控制遠方操作包括設備“運行”、“熱備用”、“冷備用”3種狀態轉換，由于受到網絡攻擊后可能產生狀態的錯誤轉換或非完全轉換，對于運行的電力系統是非常嚴重的事故，嚴重威脅電網整體的穩定安全。分別從調控主站發起的順序控制操作包含的兩種不同模式(綜合控制和分步控制模式)進行操作流程安全分析。綜合控制模式下，站端會對調度綜合控制指令進行解析，利用下發的預置指令包含原始調度操作指令這一特點，采用操作執行或撤銷復驗操作預置返校信息的方式確保流程安全。分步控制模式下對操作過程環節關鍵信息進行校驗，并加入人工確認與執行步驟，采用主動校驗調度下令信息與變電站端反饋信息一致性的方式確保流程安全，并增加異常操作終止與錯誤主動提示機制。

3 順控操作流程風險分析及應對措施

順控操作流程風險主要是主子站順控配合、單主站多場站操作并發、多主站單場站操作存在的風險。

1)主子站順控配合失調風險

分析順序操作流程，錯誤的操作序列可通過操作預演與五防閉鎖進行識別和中止。操作異常延時或響應可通過操作命令重發或重發次數閾值機制以降低網絡延時影響與操作中斷復啟動。在這樣的操作模式下，調控主站的命令重發總時長與子站網關機、順序主機設置的命令接收展寬時長的配合尤其重要。

當調控主站設置的命令重發總時長與子站網關機、順控主機設置的命令接收展寬不匹配時，遠方操作就有可能發生誤動作，如圖3所示。

圖3 主子站順控配合失調導致誤操作風險分析

①預置命令：主站按照實際順控操作情況需要對變電站內某間隔進行狀態轉換操作，在t1時刻啟動正常流程的順控命令，子站網關機在t2時刻接受命令，順控主機t3時刻正確接收命令經過模擬預演后上送操作預置返校結果，等待主站下發執行命令。

②執行超時：在網絡異常情況下，調控主站程序未正常下發執行命令或者網絡原因導致命令未如期到達，按照正常流程全啟動操作指令的重發機制。若重發次數超出閾值仍未收到返回信息，調控主站的遠方操作應在在t4時刻超時退出，所以正常情況下子站網關機接收展寬(t2-t6)與順控主機的執行展寬(t3-t7)只應略大于調控主站的命令啟動、重發時長(t1-t4)，從而達到執行超時情況下自動終止命令執行。

③誤操作：若子站網關機命令接收展寬與順控主機命令執行展寬設置過長，由于網絡擁堵造成在t5-t8時段順控命令重發或因受到攻擊造成非法的執行命令發送，同時子站網關機接收展寬(t2-t6)與順控主機執行命令展寬(t3-t7)設置過長，導致本該中止的命令被順控主機下發執行，此時就產生了誤操作。

同理，如果子站接受、執行命令展寬設置比主站發送命令展寬短，有可能產生正常順控命令無法執行或執行成功率低的情況。因此針對主子站順控配合失調的問題，調控主站、子站網關機、順序主機三者設置的命令展寬應該是合理的逐級遞增。

2)單主站多場站操作并發風險

某些特殊情況下，線路運行狀態的轉換涉及電能收發兩端的場站的順序控制配合，當線路存在T接時還會有更多場站的配合。針對多場站協調順序操作風險，應按照順序控制操作規則檢驗多站順控票的安全性、合理性，預先向涉及場站下發順控預置鎖定命令，避免相關變電站接收其他主站順控命令或同主站的其他順控命令。同時嚴格預演、校驗、執行、回復機制，每執行下一步操作時都應校驗先前執行步驟是否已到位，利用全步驟、全流程校驗機制保證順控命令執行的安全性、可靠性。

3)多主站單場站操作風險

場站應設置多主站順序控制防范機制，同一時刻只允許單個調控主站進行順序操作，其他調控主站的操作指令應被閉鎖或進入排隊機制。為進一步防范多主站操作風險，變電站在接收到主站的順序操作啟動命令后，應鎖定命令接收方，若中途接收到其他主站的順序控制信號應丟棄錯誤操作指令，繼續鎖定、執行原主站操作流程。

4 工程試點情況

針對上述流程安全分析情況，為了驗證相關技術安全措施的有效性，理順順控研發思路，檢驗操作校驗原則，在四川攀枝花220 kV禹王宮變電站、110 kV平地變電站與眉山110 kV龍亭變電站、110 kV鋁城變電站進行順控試點工程實踐，以220 kV禹王宮變電站(該站為智能變電站，監控系統為南瑞科技NS3000，全站2臺主變壓器、4把中性點接地開關、220 kV側為雙母單分段運行、4個出線間隔，110 kV側為雙母運行、6個出線間隔，35 kV側為雙母運行、10組電容器，2個站用變壓器為例，對該站110 kV母聯112斷路器進行現場順控操作實驗。

1)網絡信息安全情況

根據順控網絡安全要求，發起控制命令前需預先檢查命令發起者身份，同時兼具密碼、調度證書雙重認證。為了驗證順控系統是否符合網絡信息安全要求，我們用不具有控制權的用戶發起220 kV禹王宮站110 kV母聯112開關冷備用轉熱備用順控命令，系統提示“收到的系統報錯-命令-條件-不滿足”，命令中止。接著我們在未安裝證書的主站端發起同樣的順控命令，系統提示“收到的系統報錯-命令-條件-不滿足”，命令中止。

2)管理安全情況

根據順序控制遠方操作流程，結合現場實際情況，制定了《智能電網調度控制系統順序控制遠方操作業務指導書》《智能電網調度控制系統順序控制遠方操作流程規范》《智能電網調度控制系統順序控制遠方操作監護管理規則》等規則、規范，強化變電站序列控制遠方操作流程的規范性與安全性。

3)操作流程風險管控

順控操作利用操作票預置、校驗以及多主站操作互斥等安全技術手段保護遠方操作流程規范性和安全性。以檢驗順序操作票預置與校驗機制為例，在220 kV禹王宮變電站110 kV母聯112斷路器Ⅰ母隔離開關合、Ⅱ母隔離開關分的狀態下，順控主站端發起錯誤的110 kV母聯112斷路器冷備用轉熱備用操作命令，提示“收到的防誤系統報錯-第2步-條件-不滿足”，命令中止。以檢驗多主站操作互斥為例，在主調與備調以1 s的時差發起220 kV禹王宮變電站110 kV母聯112斷路器冷備用轉熱備用，備調提示“收到的系統報錯-命令-條件-不滿足”，備調操作中止，主調順控操作正常執行?？梢宰C明順控命令發送至監控系統順控模塊后命令讀寫、執行流程可有效預防操作流程風險，具體流程如圖4所示。

四川主子站順序控制試點期間，上述變電站現場運行穩定，順序控制命令發起、操作票調閱、操作預演、五防校驗、命令執行等功能正常，相關風險防控措施經測試驗證安全有效。表明所提相關安全分析與風險防控措施正確、合理、有效、可推廣，為遠方順序控制操作安全風險防控提供了部分理論基礎和實踐經驗。

圖4 監控系統順控模塊讀寫順控命令流程圖

5 結 語

目前變電站序列控制改造正在全國大規模的推廣，順序控制的遠方操作與安全風險防控值得深入研究。通過對順序控制遠方操作重要環節進行多維度分析，多角度闡述面臨的流程、管理、操作風險并逐一提出對應的安全防控措施。保證順序控制遠方操作實際應用的安全與穩定，對實現變電站系統運行狀態的快速轉換，全面提升運行操作效率有著非常重要的意義。所研究成果應用在攀枝花220 kV禹王宮變電站、110 kV平地變電站與眉山110 kV龍亭變電站、110 kV鋁城變電站順序控制改造工程中，試點結果滿足試點工作技術路線各項要求，變電站系統狀態轉換安全穩定。