智能變電站IEC61588時間同步系統與安全評估

摘要：通過介紹智能變電站對時間同步需求和網絡時間協議的技術特點、工作原理和組網方式，分析了目前網絡時間同步系統在智能變電站應用中的優勢與不足。對于IEC61588網絡時間同步系統在系統管理、產品設計和網絡結構上存在的安全隱患，提出了一種基于智能變電站網絡流量仿真技術的安全測評方法，并利用該方法進行了測評實例分析，保證了IEC61588時間同步系統智能變電站的安全可靠運行。

0引言

目前，隨著中國智能電網的快速推進，傳統變電站正逐步向基于IEC61850標準的智能變電站方向發展，基于網絡的時間同步系統在智能變電站有了廣闊的應用空間。簡單網絡時間協議(SNTP)在變電站站控層得到廣泛應用，基于IEC61588的精確時間協議(PTP)也在智能變電站過程層得到應用。目前，已投運的應用IEC61588技術的智能變電站主要有蘇州500kV玉山智能變電站、延安330kV智能化改造變電站、河南淇縣220kV智能變電站、無錫220kV西徑智能變電站和天津110kV 和暢路變電站。

智能變電站應用IEC61588技術的優點主要有：①能夠提供高精度的對時性能，對時精度小于1μs且能夠滿足合并單元、保護裝置、智能終端設備、同步相量測量裝置(PMU)及行波測距裝置、雷電波定位裝置等對時間精度的需求;②IEC61588技術是基于以太網技術發展而來的，與智能變電站網絡結構完全吻合，利用現有網絡就可以實現時間同步對時功能，不需要單獨布線，從而優化了變電站網絡結構;③智能變電站采用IEC61588技術，在系統中只需要保留2臺主時鐘，減少了擴展裝置的投入，從而減少了系統中運行設備的數量，降低了設備成本;④全站采用網絡時間同步技術，使時間同步系統建模更加方便，有利于變電站二次系統的集中監控和管理。

雖然IEC61588技術在智能變電站應用方面有很多優點，但現階段仍然存在很多需要解決的問題：①IEC61588技術在智能變電站應用的案例不多，經驗少、產品不成熟、系統運行穩定性差，存在時間抖動大、抗網絡風暴能力差及長時間對時失效的現象;②由于IEC61588特殊的工作原理，需要在系統研制過程中采取足夠的安全防護措施，降低設備被惡意攻擊的可能性，而這種安全防護在現有系統設計中均沒有得到足夠重視，使得產品設計存在嚴重缺陷，系統運行存在安全隱患;③應用經驗較少，系統設計不合理，雖然已有一些試點智能變電站，但系統內深入了解該技術的人員非常少，存在系統設計缺陷(如缺少備用主時鐘、間隔層缺少守時系統等);④支持IEC61588技術的成熟產品不多，造成變電站二次系統總體造價過高，阻礙了該技術在智能變電站中的應用，但隨著技術的成熟和市場的有序競爭，該問題將逐步得到解決。

本文結合工程經驗和實驗室測試數據，對IEC61588PTP[1]在智能變電站應用中存在的安全問題和安全防護措施進行了探討，并提出了一種基于變電站網絡流量仿真的測試方法，用以評估系統安全性。

1IEC61588PTP

IEC61588標準主要為滿足測量儀器和工業控制所需要的測量準確度而產生，在2008年形成了IEEE1588V2，并很快被國際電工委員會(IEC)和國家標準采用，形成IEC61588—2009 和GB/T25931—2010標準。

IEC61588標準中定義了10種類型報文，其中4種為事件報文，用于產生和通信中同步普通時鐘(OC)和邊界時鐘(BC)的時間信息，其在發送和接收時產生精確時間戳;6種為普通報文，用于測量2個時鐘之間的鏈路延時和信息管理。10種報文均需要由CPU 進行處理，并占用CPU 資源，安全防護考慮不全面，將為系統運行帶來隱患。

IEC61588協議本身支持源地址可信性認證、信息完整性識別和回放攻擊保護機制，已對安全防護進行了充分考慮。IEC61588協議的安全性通過以下2種安全機制加以實現。

1)回放保護機制：該機制通過使用信息認證碼來確認接收到的信息是由驗證源發出，在傳輸途中未經修改，并且是即時的(即不是某個信息的回放)。回放保護通過使用計數器來實施。

2)挑戰—響應機制：該機制用來確認新信息源的可靠性和真實性，并對經驗證的數據關聯性進行實時更新。

2智能變電站PTP系統

2.1PTP時間同步原理

PTP技術主要應用于智能變電站過程層，同步模式目前選用二步法、IEEE802.3/Ethernet模式、點到點(P2P)模式。圖1為簡化智能變電站PTP時間同步模型。該模型主要由Sync，Follow_Up，Announce，Pdelay_Req，Pdelay_Resp 和Pdelay_Resp_Follow_Up共6種報文組成，這也是目前已經投運智能變電站采用最多的同步模型。

式中：t1為發送時間;t4為接收時間;tD為路徑延遲時間;tC為駐留時間。

2.2故障現象

雖然IEC61588在智能變電站中已有一些應用，但系統運行狀況并不樂觀，目前已投運設備的故障現象主要集中在以下幾點。

1)協議理解不統一

系統調試過程中，經常會發現廠家設備不支持IEEE802.3/Ethernet模式、P2P模式或透明時鐘(TC)模式，而此系統設計并沒有提出明確要求;在最佳主時鐘(BMC)算法中，對Announce報文的處理理解不統一，靜默主時鐘是否需要發送Announce報文沒有規定;交換機是否需要發送鏈路延時請求報文，從時鐘是否需要響應交換機發送的鏈路延時請求等均沒有明確規定。

2)設計不合理

由于對IEC61588理解不足，系統設計時在每個獨立的物理網絡只設計了一個主時鐘，不能實現主備互用，降低了系統的可靠性。

3)系統穩定性差

抗網絡流量影響能力差，每隔一段時間系統就會發現對時異常信息，甚至發現長時間對時失效。

附錄A 圖A1 是某智能變電站投運后，IEC61588時鐘在過程層正常運行與故障運行的信息狀況。可以看出，交換機駐留時間計算出現嚴重錯誤，修正域值達到了億秒并溢出為負值，該現象的長時間出現將導致保護裝置閉鎖。

3智能變電站IEC61588系統風險分析