某火電廠機組AGC負荷指令異常歸零異常分析及網絡安全風險防范

佛山恒益熱電有限公司 王 超

1 引言

自動發電控制（Automatic Generation Control）系統是并網發電廠提供重要的有償輔助服務之一，發電機組在規定的出力調整范圍內，跟蹤電力調度交機構下發的負荷指令，按照一定調節速率實時調整發電出力，以滿足電力系統頻率和聯絡線功率控制要求的服務。保證發電出力與負荷平衡，維穩系統頻率，在滿足系統安全性約束條件下，對發電量實行經濟調度控制，進而確保電網及發電機組的經濟、可靠運行。

2 概述

某總裝機容量為2＊600MW火力發電廠（以下簡稱“某電廠”），通過220kV電壓等級接入電網。目前，兩臺機組均采用單機AGC直調方式，即調度端直接下發單機AGC指令調控每臺機組及儲能系統負荷。在兩臺機組正常運行期間，多次出現#1機組AGC負荷指令值歸零的異常現象，經現場檢查發現#1發電機測控裝置報警指示紅燈亮，測控裝置遙信狀態界面顯示“GPS失步”信號由0→1，“裝置閉鎖”信號由0→1，同時NCS系統監控后臺發“#1發電機測控裝置GPS失步”“NCS系統#1發電機測控裝置閉鎖”告警報文。造成#1機組AGC功能自動退出并閉鎖AGC自動調節，同時給電廠的穩定運行造成了較大威脅。

3 運行情況檢查及分析

3.1 NCS系統結構簡介

某電廠NCS系統使用南京南瑞繼保電氣有限公司RCS-9700系列變電站綜合自動化系統，發電機測控裝置型號為RCS-9708C，此系列變電站綜合自動化系統采用開放性分層分布式網絡結構，雙網雙主機冗余配置，系統從整體上分為站控層、網絡層和間隔層。實現了對整個系統的監控功能。

站控層設備包括遠動RTU主機、操作員工作站、遠程通信設備、工程師工作站、值長工作站、遠動運維后臺以及公用接口設備等。

網絡層采用雙網配置，支持100M高速工業級以太網。雙網采用雙發單收，有效保證了網絡傳輸的實時性和可靠性。

間隔層由計算機網絡連接若干個測控裝置，完成數據采集、就地監控、同期及電氣防誤操作閉鎖（五防系統）等功能，即使在站控層及網絡失效的情況下，仍能完成間隔設備的就地監控功能。

3.2 五防系統簡介

微機五防是一種采用計算機技術，用于高壓開關設備防止電氣誤操作的裝置，其通過網線接入NCS監控系統網絡層交換機實時與NCS系統通信，實現與監控系統的遙信互傳及對遙控操作進行閉鎖。

3.3 AGC調控流程簡述及異常情況的分析

AGC機組負荷目標值由中調EMS主站下發至電廠RTU遠動主機（碼值下發），再經發電機測控裝置完成碼值/模擬量的轉化后，通過硬接線方式送至機組DCS系統，實現對機組有功的實時調節。五防系統通過網線接入NCS監控系統網絡層交換機與NCS系統進行實時數據通信。

針對#1機組AGC負荷目標歸零的異常情況，首先結合測控裝置的特點及調度側下發的AGC定值單（詳見表1）綜合分析，因有“遠方有功設值下限”“AGC投入時給定值與實發值允許偏差”兩項定值的約束，在機組正常運行且AGC功能投入時，調度側不可能直接下發0MW的無效負荷指令值。隨后在NCS系統#1機組測控柜內拆除#1機組AGC負荷指令信號接線（送至#1機組DCS系統#1機組有功負荷指令），并使用模擬量信號發生器對AGC負荷指令（模擬輸出4-20MA遙調信號）進行收發測試。

表1 某2＊600MW火電廠AGC定值單

測試結果：#1機組DCS系統能夠正確接收所施加的有功負荷指令值，NCS系統也可接收到AGC目標返回值，由此判斷測控裝置對DCS系統信道正常。故有極大可能性為測控裝置本身原因造成負荷指令值異常歸零。再進一步分析，只有在裝置電源異常或網絡流量突發增大兩種情況才會致使機組測控裝置重啟，測控裝置重啟的瞬間AGC負荷指令值歸零，根據現場設備的運行情況，現場無開關跳閘，直流系統也無相關失電的故障及報警記錄，再對測控裝置電源的供電電壓及裝置電源板工作狀況進行進一步檢查未見異常，由此綜合判斷因電源部異常導致負荷指令值歸零的可能性極小，故需重點對網絡流量及通信鏈路進行排查。

3.4 數據流量檢查

3.4.1 scada服務器工作站ARP綁定情況檢查

某電廠NCS系統現共配置三臺scada服務器工作站及一臺運維后臺，sacada服務器使用Solaris系統，現場檢查scada1服務器ARP數據定時綁定情況良好，所有198.120/121.XX網段業務IP未出現松綁情況，而scada2、scada3服務器均未開啟數據定時綁定功能，隨即現場對兩臺服務器進行數據綁定設置操作（將數據綁定指令執行文件“arp_mac.sh”，放置在/deployment/bin文件夾下，再將此sh文件賦予可執行權限），重啟服務器后，通過手動解綁單一業務IP的方式來驗證scada1、scada2、scada3三臺服務器每5min執行一次arp自動定時綁定任務功能執行正確，最后輸入“arp-a”指令查詢系統中緩存的“arp表”指令，再次確認所有業務IP地址數據綁定成功，首先保證各測控裝置與scada服務器之間數據傳輸流量的穩定正常，不會造成因服務器承載的數據流量大導致系統異常運行的情況。

3.4.2 數據網絡流量情況檢查

在確定scada服務器ARP綁定功能正常后，使用遠動運維后臺電腦內抓包軟件對NCS監控系統進行數據報文抓包，經過一段時間的數據流量及報文監測發現五防主機存在對NCS系統內所有業務IP進行廣播的非法行為，且五防后臺主機也在不間斷地對NCS通信，所以導致了NCS系統網絡中產生大量arp異常報文，覆蓋范圍大且流量占比較高。（五防系統通過NCS監控系統A/B網交換機接入NCS系統并與NCS系統存在網絡連接及數據通信）。隨后利用抓包軟件抓取NCS B網段報文，同樣發現五防系統電腦主機198.121.255.251地址也發出大量的ARP報文。嘗試將五防系統后臺軟件及五防后臺主機安裝的360等相關軟件退出運行，異常報文沒有消失，問題未能解決。同時，通過對抓取的報文進行分析發現五防主機和遠動運維后臺產生了大量NBNS協議報文，如圖1所示。

圖1 遠動運維后臺主機198.120.0.244發出NBNS報文截圖

隨即對遠動運維后臺數據流量情況進行監測，根據圖2中訪問域名情況，可以判斷發送以上大量的NBNS報文與遠動運維后臺主機中運行的360相關軟件有關，手動將NCS運維后臺上的360相關軟件退出后，運維后臺主機運行情況雖有所改善，但五防系統后臺主機（IP地址：198.120.0.250）仍在發送NBNS報文。

3.5 通信鏈路檢查

現場對五防系統主機通信鏈路檢查發現，五防主機不僅會與不相關測控裝置產生TCP連接，而且還會與遠動運維后臺主機產生TCP連接，其兩者之間無任何業務聯系，不應建立TCP連接，經進一步檢查，發現五防系統后臺主機以廣播報文詢問方式，主動問詢NCS系統網絡內所有裝置并建立了非法通信，數據傳輸流量大且持續時間長。

4 原因分析

4.1 客觀原因

五防系統后臺主機行為異常，非法與NCS監控系統測控裝置及遠動運維后臺等設備建立TCP連接，且產生了大量的異常報文（包括ARP報文、NBNS協議報文，異常的TCP連接報文、360軟件運行異常報文），造成NCS監控系統突增了大量不必要的網絡開銷，測控裝置傳輸數據流量異常變化，直接導致測控裝置重啟且AGC負荷目標指令歸零，機組AGC功能自動退出并閉鎖AGC自動調節。

4.2 根本原因

五防系統后臺主機確定為中毒，因五防后臺主機禁止連接互聯網，導致所安裝360殺毒軟件的病毒庫也無法及時更新，病毒庫版本過于老舊，早已失去了殺毒及防范攻擊的功能。

5 處理方法及防范措施

一是重裝五防系統后臺主機的操作系統后再進行數據流量監測，發現異常的網絡報文及非法連接情況基本消失，大大減輕了機組測控裝置的負擔。后續觀察測控裝置及NCS系統的運行情況，已將五防系統后臺主機現使用的Windows XP系統升級為銀河麒麟kylin4.0.2國產操作系統以提高系統運行的安全性能。

二是啟用NCS監控系統scada服務器arp定期數據綁定功能，縮減不必要的網絡開銷，測控裝置重啟現象明顯減少，并已編制相應的定期NCS系統作業表單定期對scada服務器的arp數據綁定功能進行檢查。

三是落實五防后臺主機防病毒措施的后續完成情況，安裝殺毒軟件，及時更新病毒庫（手動更新）、打補丁并定期開展查殺，確保病毒查殺徹底。按網絡安全要求在日常的維護工作中配備殺毒U盤、專用殺毒電腦、專用調試電腦等專用維護設備。

四是對五防系統后臺主機及NCS系統scada服務器主機均進行了主機安全加固。已集中排查各類系統是否存在缺省用戶、多余賬戶、弱口令、權限設置不合理等情況，并已關閉生產控制大區禁用的通用網絡服務和主機不必要的服務、關閉已通報的高危端口、安裝高中危漏洞安全補丁、封閉各類電力監控系統USB等接口以及多余網口和調試口。按規定嚴格實施移動介質、終端接入作業管控。

五是現場NCS系統測控裝置運行年限久，一般來說測控裝置運行超過10年（規程規定運行不宜超過12年），硬件趨于老化，數據處理及抵抗大量網絡報文沖擊的能力均有所降低，后續可結合實際情況對測控裝置進行升級改造。

六是將NCS服務器、五防系統后臺等電力監控系統設備接入態勢感知裝置進行統一的數據流量監測，確保在第一時間發現各設備及系統內數據流量異常并及時進行處理，最終達到網絡安全風險可發現、可控制、可溯源的目標。

隨著電網規模的日益擴大，電力系統的經濟運行顯得尤為突出和重要，合理安排火電機組出力，能夠在一定程度上提高火電機組的經濟運行指標。AGC功能作為目前調度機構對電廠機組有功負荷的最主要調節手段，其重要性不言而喻。且NCS系統作為AGC調節功能中最主要調節環節，其正常運行與否對直接影響了機組有功負荷的調節質量。此異常事件中，NCS監控系統內產生的大量異常報文，增加了大量不必要的網絡開銷，導致測控裝置數據異常，進而造成測控裝置重啟AGC負荷目標指令歸零。故需利用合理的技術手段抑制數據流量突增，同時做好各系統網絡數據流量監控，加強各系統主機、服務器病毒防護工作，堅決杜絕非法互聯、社工等違規現象，皆為現階段發電廠各自動控制系統正常運行的先決條件，逐步加強涉網自動化設備管控，進而保障發電廠的安全、可靠、經濟運行。