王 鑫，韓 兵，卓四明

(國電南京自動化股份有限公司，江蘇 南京 210003)

0 前 言

隨著計算機、網(wǎng)絡、通信技術(shù)的發(fā)展，以及水電站自動化水平和監(jiān)控水平的不斷提高，發(fā)電廠形成了結(jié)構(gòu)分層、功能分散、信息共享的計算機監(jiān)控系統(tǒng)[1]。計算機監(jiān)控系統(tǒng)的發(fā)展實現(xiàn)了發(fā)電廠發(fā)電生產(chǎn)流程的監(jiān)視，極大地提高了控制效率，但伴隨著無人值班、少人值守、集中控制要求的不斷提高，遙控遙調(diào)操作任務不斷增加，水電站自動化設(shè)備的控制操作復雜度也在日益攀升，這對水電站計算機監(jiān)控系統(tǒng)的穩(wěn)定可靠安全運行提出了越來越高的要求[2]。

水電站計算機監(jiān)控系統(tǒng)中的常用功能之一就是控制調(diào)節(jié)操作，但是由于一些誤操作的存在，缺乏有效的安全機制，給電網(wǎng)的運行帶來很大的危害，甚至直接威脅人身安全、設(shè)備安全，嚴重影響電力系統(tǒng)的可靠運行[3]。通過技術(shù)上的安全控制策略設(shè)置能夠在很大程度上提高控制調(diào)節(jié)操作的可靠性，防范電網(wǎng)運行中的一些風險，保障工作人員的安全以及用戶用電環(huán)境的安全[4]。

1 監(jiān)控系統(tǒng)控制安全現(xiàn)狀分析

現(xiàn)有國內(nèi)外水電計算機監(jiān)控系統(tǒng)，在遠程控制操作指令交互方面，操作人員在監(jiān)控系統(tǒng)發(fā)送指令控制調(diào)節(jié)后，通過消息總線、數(shù)據(jù)總線、計算引擎、驅(qū)動程序?qū)⒖刂普{(diào)節(jié)指令直接下發(fā)至終端執(zhí)行單元(如圖1所示)，該指令未經(jīng)過安全校核機制校驗，這種控制方式存在一定的不安全性，在控制設(shè)備較多的廠站或集控中心尤為突出。

常見的誤操作類型主要包含：非專業(yè)人員誤操作、誤入操作畫面[5]、選錯機組、選錯設(shè)備、誤調(diào)負荷等，嚴重影響電網(wǎng)安全穩(wěn)定運行，此外，在計算機監(jiān)控系統(tǒng)進行維護或數(shù)據(jù)庫升級過程中，難免需要連接外部設(shè)備，當前未經(jīng)授權(quán)、校驗的控制方式，無法防止網(wǎng)絡黑客的攻擊，對電廠的運營生產(chǎn)存在一定的安全隱患。

圖1 傳統(tǒng)遠控操作交互流程

因此，如何在監(jiān)控系統(tǒng)控制調(diào)節(jié)操作中防止誤控、誤調(diào)和減少網(wǎng)絡攻擊事件的發(fā)生成為亟待解決的問題。目前，行業(yè)內(nèi)解決方法標準不一，主要的解決方法為加強員工培訓工作，提高員工素質(zhì)，禁止使用未經(jīng)殺毒的非專業(yè)U盤插入計算機監(jiān)控系統(tǒng)。提高運行、檢修人員對防誤閉鎖裝置的“四懂三會”(即懂裝置的原理、性能、結(jié)構(gòu)和操作程序；會操作、安裝、維護)，培養(yǎng)事故處理的應變能力，避免事故范圍擴大。加強安全思想教育，提高員工安全責任心。狠抓安全生產(chǎn)管理工作，落實電氣防誤操作安全措施，嚴格按“兩票三制”要求執(zhí)行，監(jiān)控系統(tǒng)操作至少保證1人發(fā)令、1人監(jiān)護。加強違規(guī)考核力度，大量的誤操作事故證實，發(fā)生誤操作事故的根本原因是員工違規(guī)操作。這些方法大部分從管理和人員素質(zhì)角度出發(fā)，防誤措施具有一定的效果，但不能系統(tǒng)地從技術(shù)措施上解決因遠控誤操作而帶來的水電機組安全運行風險。

2 監(jiān)控系統(tǒng)控制安全策略

為適應水電站“無人值班、少人值守”管理模式，確保遠程控制及網(wǎng)絡信息安全，杜絕誤調(diào)、誤控事件的發(fā)生，本文提出誤控防范、數(shù)據(jù)安全、控制審計等安全策略，有效解決了水電計算機監(jiān)控系統(tǒng)不安全控制問題，策略總覽如圖2所示。

圖2 控制安全策略總覽

誤控防范基于人機界面的控制閉鎖，在傳統(tǒng)的使用人員身份進行鑒別、禁止非授權(quán)帳戶進行控制操作基礎(chǔ)上，增加控制條件及控制校驗碼等安全措施，當控制條件不滿足或控制校驗碼不匹配時，操作界面提示禁止操作，閉鎖控制指令下發(fā)。

數(shù)據(jù)安全基于運算安全、傳輸安全和服務安全3方面考慮，有效防止數(shù)據(jù)在采集、運算、傳輸中由于硬件故障、斷電、死機、程序缺陷、病毒或黑客等造成的數(shù)據(jù)損壞、數(shù)據(jù)失真或數(shù)據(jù)丟失現(xiàn)象，而造成發(fā)送控制令前無法準確判斷設(shè)備運行工況，引起誤控、誤調(diào)等后果。

控制審計基于控制授權(quán)和控制校驗兩種認證方式，對操作人員發(fā)送的控制指令進行授權(quán)、校驗多級認證，若認證失敗，禁止控制指令下發(fā)并銷毀控制指令。支持對操作進行審計記錄，包括操作日志以及操作過程記錄，確保事后能夠進行全過程的追溯。

2.1 誤控防范

誤控防范通過用戶角色、控制畫面、控制條件、控制分組、控制校驗、調(diào)節(jié)限值多種措施實現(xiàn)。

用戶角色管理。通過控制權(quán)限、畫面訪問權(quán)限、節(jié)點登錄權(quán)限等配置，限定操作權(quán)限，具備操作權(quán)限的人員和設(shè)備可進行操作，否則禁止操作；

控制畫面。操作人員進入控制畫面提供彈窗提示，提示運行人員該畫面存在設(shè)備控制點；

控制條件。被控設(shè)備設(shè)置條件閉鎖，當條件滿足時，可對該設(shè)備操作，否則禁止操作；

控制分組。被控設(shè)備分組隔離，如機組操作分為正常操作(含空轉(zhuǎn)、空載、發(fā)電、停機等)及緊急操作(機械事故停機、電氣事故停機、緊急事故停機等)，避免誤操作；

控制校驗。被控設(shè)備操作“確認”前，提供操作校驗，校驗成功后指令方可下發(fā)，否則禁止控制操作；

調(diào)節(jié)限值。增加調(diào)節(jié)設(shè)置限值，當新調(diào)節(jié)設(shè)值與實發(fā)值或上次設(shè)值超過限值時，彈出禁止設(shè)值窗口，提醒運行人員重新設(shè)值。

2.2 數(shù)據(jù)安全

操作控制指令下發(fā)過程中，對控制令相關(guān)數(shù)據(jù)源追蹤，檢測數(shù)據(jù)源相應服務運行狀態(tài)，保證數(shù)據(jù)的運算安全、傳輸安全和服務安全，確保數(shù)據(jù)的完整性、正確性和有效性，防止數(shù)據(jù)損壞、數(shù)據(jù)失真或數(shù)據(jù)丟失造成的誤控、誤調(diào)操作。

操作控制指令下發(fā)過程中的數(shù)據(jù)安全由數(shù)據(jù)源服務、控制操作接口、計算引擎和消息總線共同完成，數(shù)據(jù)安全邏輯示意見圖3。

數(shù)據(jù)源服務。實時檢測數(shù)據(jù)庫中數(shù)據(jù)源測點，設(shè)置數(shù)據(jù)源狀態(tài)標志，數(shù)據(jù)源狀態(tài)標志分為正常、異常，正常時數(shù)據(jù)源有效，否則數(shù)據(jù)源無效。

控制操作接口數(shù)據(jù)安全。操作人員下發(fā)指令時，控制操作接口程序，自動定位相關(guān)數(shù)據(jù)源，讀取并檢測數(shù)據(jù)源測點狀態(tài)標志，當數(shù)據(jù)源狀態(tài)標志異常時，直接關(guān)閉控制指令，退出控制操作；當數(shù)據(jù)源標志正常時，為確保數(shù)據(jù)源有效性，進行數(shù)據(jù)源服務狀態(tài)校驗，若數(shù)據(jù)源服務正常，則表明數(shù)據(jù)源有效，可繼續(xù)向下一級目標程序發(fā)送控制指令，否則表明數(shù)據(jù)源標志并非實時狀態(tài)，數(shù)據(jù)源無效，關(guān)閉控制指令，退出控制操作。

計算引擎數(shù)據(jù)安全。計算引擎對接收的控制指令進行加工運算，接收控制指令后，定位控制指令相關(guān)數(shù)據(jù)源，讀取并檢測數(shù)據(jù)源測點狀態(tài)標志，當數(shù)據(jù)源狀態(tài)標志異常時，直接關(guān)閉控制指令，退出控制操作；當數(shù)據(jù)源標志正常時，為確保數(shù)據(jù)源有效性，進行數(shù)據(jù)源服務狀態(tài)校驗，若數(shù)據(jù)源服務正常，則表明數(shù)據(jù)源有效，可繼續(xù)向下一級目標程序發(fā)送控制指令，否則表明數(shù)據(jù)源標志并非實時狀態(tài)，數(shù)據(jù)源無效，關(guān)閉控制指令，退出控制操作。

消息總線數(shù)據(jù)安全。消息總線傳輸控制指令，接收控制指令后，定位控制指令相關(guān)數(shù)據(jù)源，讀取并檢測數(shù)據(jù)源測點狀態(tài)標志，當數(shù)據(jù)源狀態(tài)標志異常時，直接關(guān)閉控制指令，退出控制操作；當數(shù)據(jù)源標志正常時，為確保數(shù)據(jù)源有效性，進行數(shù)據(jù)源服務狀態(tài)校驗，若數(shù)據(jù)源服務正常，則表明數(shù)據(jù)源有效，可繼續(xù)向下一級目標程序發(fā)送控制指令，否則表明數(shù)據(jù)源標志并非實時狀態(tài)，數(shù)據(jù)源無效，關(guān)閉控制指令，退出控制操作。

圖3 數(shù)據(jù)安全邏輯示意

2.3 控制審計

通過誤控防范下達的操作控制指令，需進行授權(quán)、校驗多級認證，為保證網(wǎng)絡信息安全，防止授權(quán)碼泄露，每進行控制審計，均需進行控制授權(quán)碼校驗，校驗成功后，申請新的控制授權(quán)碼，供下一步控制審計，逐級認證成功后，方可將指令下發(fā)至目標控制對象；若認證失敗，禁止控制指令下發(fā)，并將控制指令銷毀，具體控制審計時序示意如圖4所示。

(1)控制操作接口控制審計。通過誤控防范下發(fā)的操作控制指令發(fā)送至控制操作接口程序，控制操作接口程序接收到該指令后，向控制審計模塊申請控制授權(quán)碼，進行授權(quán)碼注冊，控制審計返回授權(quán)碼，控制操作接口程序?qū)⒖刂浦噶罴笆跈?quán)碼發(fā)送至消息總線。

(2)消息總線控制審計。對于功率調(diào)節(jié)等無需經(jīng)過計算引擎的控制指令，消息總線將接收到的控制指令及授權(quán)碼，向控制審計模塊提交校驗申請，校驗通過后，重新向控制審計模塊申請新的授權(quán)碼，并將授權(quán)碼及控制指令發(fā)送至驅(qū)動程序。

(3)計算引擎控制審計。對于功率調(diào)節(jié)等經(jīng)過計算引擎的控制調(diào)節(jié)指令，消息總線將收到的控制指令及校驗碼發(fā)送至數(shù)據(jù)總線，由計算引擎對控制調(diào)節(jié)指令進行計算，向控制審計模塊提交校驗申請，校驗通過后，重新向控制審計模塊申請新的授權(quán)碼，并將授權(quán)碼及控制指令發(fā)送至消息總線，由消息總線發(fā)送至驅(qū)動程序。

圖4 控制審計時序

(4)驅(qū)動程序控制審計。驅(qū)動程序在接收消息總線發(fā)來控制指令及授權(quán)碼后，向控制審計模塊申請授權(quán)碼校驗，校驗成功后，將控制令下發(fā)至控制設(shè)備。

3 監(jiān)控系統(tǒng)控制安全策略應用

通過上述控制安全策略分析與研究，將其應用于水電計算機監(jiān)控系統(tǒng)中，有效避免非專業(yè)人員誤操作、誤入操作畫面、誤控運行設(shè)備、選錯機組、選錯設(shè)備、誤調(diào)負荷等誤操作范圍，大大提高電廠運行的安全性可靠性。

通過設(shè)置用戶角色，禁止非專業(yè)人員操作。非專業(yè)人士操作時，提示操作權(quán)限不夠(見圖5)，此外用戶管理可設(shè)置用戶監(jiān)控的設(shè)備或廠站，達到優(yōu)化資源分配，提高工作效率，節(jié)約生產(chǎn)成本。

圖5 控制權(quán)限閉鎖

對于具備控制操作點的畫面，設(shè)置打開前確認，提示工作人員是否打開該畫面，選擇確認可進入該控制操作畫面，否則保持在當前畫面，防止誤入操作畫面(見圖6)。

圖6 控制畫面提示框

設(shè)置控制條件和控制分組，控制條件滿足時允許下發(fā)控制令，否則禁止下發(fā)，對機組等控制對象進行正常和緊急分組操作，避免誤控運行設(shè)備(見圖7)。

圖7 控制條件與控制分組

對于操作、控制、調(diào)節(jié)等設(shè)備，對每個控制點設(shè)置操作校驗碼，校驗碼設(shè)置格式一般采用廠站名和機組號(如1號機組，設(shè)定校驗碼為lcu1f)，當校驗碼正確無誤時允許操作，否則禁止操作，避免選錯廠站、選錯機組、選錯設(shè)備(見圖8)。

圖8 控制校驗

對于機組有功、無功等遙調(diào)操作，每個遙調(diào)點設(shè)置調(diào)節(jié)限值，超過調(diào)節(jié)限值時，彈出2次確認窗口，若新調(diào)節(jié)設(shè)值與實發(fā)值或上次設(shè)值超過限值時，提示設(shè)置非法，避免誤調(diào)負荷(見圖9)。

圖9 遙調(diào)限值

4 結(jié) 論

對水電站計算機監(jiān)控系統(tǒng)誤控防范、數(shù)據(jù)安全、控制審計等控制安全策略的研究與應用，從根本解決了由非專業(yè)人員誤操作、誤入操作畫面、誤控運行設(shè)備、選錯機組、選錯設(shè)備、誤調(diào)負荷等誤操作及網(wǎng)絡安全方面引起的不安全控制問題，提高電廠運行的安全生產(chǎn)水平，減少事故發(fā)生，保障人身和設(shè)備安全，為電力系統(tǒng)安全生產(chǎn)工作作出了有力的保障。