佛山恒益熱電有限公司 王 超

1 引言

自動發(fā)電控制（Automatic Generation Control）系統(tǒng)是并網(wǎng)發(fā)電廠提供重要的有償輔助服務(wù)之一，發(fā)電機(jī)組在規(guī)定的出力調(diào)整范圍內(nèi)，跟蹤電力調(diào)度交機(jī)構(gòu)下發(fā)的負(fù)荷指令，按照一定調(diào)節(jié)速率實時調(diào)整發(fā)電出力，以滿足電力系統(tǒng)頻率和聯(lián)絡(luò)線功率控制要求的服務(wù)。保證發(fā)電出力與負(fù)荷平衡，維穩(wěn)系統(tǒng)頻率，在滿足系統(tǒng)安全性約束條件下，對發(fā)電量實行經(jīng)濟(jì)調(diào)度控制，進(jìn)而確保電網(wǎng)及發(fā)電機(jī)組的經(jīng)濟(jì)、可靠運行。

2 概述

某總裝機(jī)容量為2＊600MW火力發(fā)電廠（以下簡稱“某電廠”），通過220kV電壓等級接入電網(wǎng)。目前，兩臺機(jī)組均采用單機(jī)AGC直調(diào)方式，即調(diào)度端直接下發(fā)單機(jī)AGC指令調(diào)控每臺機(jī)組及儲能系統(tǒng)負(fù)荷。在兩臺機(jī)組正常運行期間，多次出現(xiàn)#1機(jī)組AGC負(fù)荷指令值歸零的異?，F(xiàn)象，經(jīng)現(xiàn)場檢查發(fā)現(xiàn)#1發(fā)電機(jī)測控裝置報警指示紅燈亮，測控裝置遙信狀態(tài)界面顯示“GPS失步”信號由0→1，“裝置閉鎖”信號由0→1，同時NCS系統(tǒng)監(jiān)控后臺發(fā)“#1發(fā)電機(jī)測控裝置GPS失步”“NCS系統(tǒng)#1發(fā)電機(jī)測控裝置閉鎖”告警報文。造成#1機(jī)組AGC功能自動退出并閉鎖AGC自動調(diào)節(jié)，同時給電廠的穩(wěn)定運行造成了較大威脅。

3 運行情況檢查及分析

3.1 NCS系統(tǒng)結(jié)構(gòu)簡介

某電廠NCS系統(tǒng)使用南京南瑞繼保電氣有限公司RCS-9700系列變電站綜合自動化系統(tǒng)，發(fā)電機(jī)測控裝置型號為RCS-9708C，此系列變電站綜合自動化系統(tǒng)采用開放性分層分布式網(wǎng)絡(luò)結(jié)構(gòu)，雙網(wǎng)雙主機(jī)冗余配置，系統(tǒng)從整體上分為站控層、網(wǎng)絡(luò)層和間隔層。實現(xiàn)了對整個系統(tǒng)的監(jiān)控功能。

站控層設(shè)備包括遠(yuǎn)動RTU主機(jī)、操作員工作站、遠(yuǎn)程通信設(shè)備、工程師工作站、值長工作站、遠(yuǎn)動運維后臺以及公用接口設(shè)備等。

網(wǎng)絡(luò)層采用雙網(wǎng)配置，支持100M高速工業(yè)級以太網(wǎng)。雙網(wǎng)采用雙發(fā)單收，有效保證了網(wǎng)絡(luò)傳輸?shù)膶崟r性和可靠性。

間隔層由計算機(jī)網(wǎng)絡(luò)連接若干個測控裝置，完成數(shù)據(jù)采集、就地監(jiān)控、同期及電氣防誤操作閉鎖（五防系統(tǒng)）等功能，即使在站控層及網(wǎng)絡(luò)失效的情況下，仍能完成間隔設(shè)備的就地監(jiān)控功能。

3.2 五防系統(tǒng)簡介

微機(jī)五防是一種采用計算機(jī)技術(shù)，用于高壓開關(guān)設(shè)備防止電氣誤操作的裝置，其通過網(wǎng)線接入NCS監(jiān)控系統(tǒng)網(wǎng)絡(luò)層交換機(jī)實時與NCS系統(tǒng)通信，實現(xiàn)與監(jiān)控系統(tǒng)的遙信互傳及對遙控操作進(jìn)行閉鎖。

3.3 AGC調(diào)控流程簡述及異常情況的分析

AGC機(jī)組負(fù)荷目標(biāo)值由中調(diào)EMS主站下發(fā)至電廠RTU遠(yuǎn)動主機(jī)（碼值下發(fā)），再經(jīng)發(fā)電機(jī)測控裝置完成碼值/模擬量的轉(zhuǎn)化后，通過硬接線方式送至機(jī)組DCS系統(tǒng)，實現(xiàn)對機(jī)組有功的實時調(diào)節(jié)。五防系統(tǒng)通過網(wǎng)線接入NCS監(jiān)控系統(tǒng)網(wǎng)絡(luò)層交換機(jī)與NCS系統(tǒng)進(jìn)行實時數(shù)據(jù)通信。

針對#1機(jī)組AGC負(fù)荷目標(biāo)歸零的異常情況，首先結(jié)合測控裝置的特點及調(diào)度側(cè)下發(fā)的AGC定值單（詳見表1）綜合分析，因有“遠(yuǎn)方有功設(shè)值下限”“AGC投入時給定值與實發(fā)值允許偏差”兩項定值的約束，在機(jī)組正常運行且AGC功能投入時，調(diào)度側(cè)不可能直接下發(fā)0MW的無效負(fù)荷指令值。隨后在NCS系統(tǒng)#1機(jī)組測控柜內(nèi)拆除#1機(jī)組AGC負(fù)荷指令信號接線（送至#1機(jī)組DCS系統(tǒng)#1機(jī)組有功負(fù)荷指令），并使用模擬量信號發(fā)生器對AGC負(fù)荷指令（模擬輸出4-20MA遙調(diào)信號）進(jìn)行收發(fā)測試。

表1 某2＊600MW火電廠AGC定值單

測試結(jié)果：#1機(jī)組DCS系統(tǒng)能夠正確接收所施加的有功負(fù)荷指令值，NCS系統(tǒng)也可接收到AGC目標(biāo)返回值，由此判斷測控裝置對DCS系統(tǒng)信道正常。故有極大可能性為測控裝置本身原因造成負(fù)荷指令值異常歸零。再進(jìn)一步分析，只有在裝置電源異?；蚓W(wǎng)絡(luò)流量突發(fā)增大兩種情況才會致使機(jī)組測控裝置重啟，測控裝置重啟的瞬間AGC負(fù)荷指令值歸零，根據(jù)現(xiàn)場設(shè)備的運行情況，現(xiàn)場無開關(guān)跳閘，直流系統(tǒng)也無相關(guān)失電的故障及報警記錄，再對測控裝置電源的供電電壓及裝置電源板工作狀況進(jìn)行進(jìn)一步檢查未見異常，由此綜合判斷因電源部異常導(dǎo)致負(fù)荷指令值歸零的可能性極小，故需重點對網(wǎng)絡(luò)流量及通信鏈路進(jìn)行排查。

3.4 數(shù)據(jù)流量檢查

3.4.1 scada服務(wù)器工作站ARP綁定情況檢查

某電廠NCS系統(tǒng)現(xiàn)共配置三臺scada服務(wù)器工作站及一臺運維后臺，sacada服務(wù)器使用Solaris系統(tǒng)，現(xiàn)場檢查scada1服務(wù)器ARP數(shù)據(jù)定時綁定情況良好，所有198.120/121.XX網(wǎng)段業(yè)務(wù)IP未出現(xiàn)松綁情況，而scada2、scada3服務(wù)器均未開啟數(shù)據(jù)定時綁定功能，隨即現(xiàn)場對兩臺服務(wù)器進(jìn)行數(shù)據(jù)綁定設(shè)置操作（將數(shù)據(jù)綁定指令執(zhí)行文件“arp_mac.sh”，放置在/deployment/bin文件夾下，再將此sh文件賦予可執(zhí)行權(quán)限），重啟服務(wù)器后，通過手動解綁單一業(yè)務(wù)IP的方式來驗證scada1、scada2、scada3三臺服務(wù)器每5min執(zhí)行一次arp自動定時綁定任務(wù)功能執(zhí)行正確，最后輸入“arp-a”指令查詢系統(tǒng)中緩存的“arp表”指令，再次確認(rèn)所有業(yè)務(wù)IP地址數(shù)據(jù)綁定成功，首先保證各測控裝置與scada服務(wù)器之間數(shù)據(jù)傳輸流量的穩(wěn)定正常，不會造成因服務(wù)器承載的數(shù)據(jù)流量大導(dǎo)致系統(tǒng)異常運行的情況。

3.4.2 數(shù)據(jù)網(wǎng)絡(luò)流量情況檢查

在確定scada服務(wù)器ARP綁定功能正常后，使用遠(yuǎn)動運維后臺電腦內(nèi)抓包軟件對NCS監(jiān)控系統(tǒng)進(jìn)行數(shù)據(jù)報文抓包，經(jīng)過一段時間的數(shù)據(jù)流量及報文監(jiān)測發(fā)現(xiàn)五防主機(jī)存在對NCS系統(tǒng)內(nèi)所有業(yè)務(wù)IP進(jìn)行廣播的非法行為，且五防后臺主機(jī)也在不間斷地對NCS通信，所以導(dǎo)致了NCS系統(tǒng)網(wǎng)絡(luò)中產(chǎn)生大量arp異常報文，覆蓋范圍大且流量占比較高。（五防系統(tǒng)通過NCS監(jiān)控系統(tǒng)A/B網(wǎng)交換機(jī)接入NCS系統(tǒng)并與NCS系統(tǒng)存在網(wǎng)絡(luò)連接及數(shù)據(jù)通信）。隨后利用抓包軟件抓取NCS B網(wǎng)段報文，同樣發(fā)現(xiàn)五防系統(tǒng)電腦主機(jī)198.121.255.251地址也發(fā)出大量的ARP報文。嘗試將五防系統(tǒng)后臺軟件及五防后臺主機(jī)安裝的360等相關(guān)軟件退出運行，異常報文沒有消失，問題未能解決。同時，通過對抓取的報文進(jìn)行分析發(fā)現(xiàn)五防主機(jī)和遠(yuǎn)動運維后臺產(chǎn)生了大量NBNS協(xié)議報文，如圖1所示。

圖1 遠(yuǎn)動運維后臺主機(jī)198.120.0.244發(fā)出NBNS報文截圖

隨即對遠(yuǎn)動運維后臺數(shù)據(jù)流量情況進(jìn)行監(jiān)測，根據(jù)圖2中訪問域名情況，可以判斷發(fā)送以上大量的NBNS報文與遠(yuǎn)動運維后臺主機(jī)中運行的360相關(guān)軟件有關(guān)，手動將NCS運維后臺上的360相關(guān)軟件退出后，運維后臺主機(jī)運行情況雖有所改善，但五防系統(tǒng)后臺主機(jī)（IP地址：198.120.0.250）仍在發(fā)送NBNS報文。

3.5 通信鏈路檢查

現(xiàn)場對五防系統(tǒng)主機(jī)通信鏈路檢查發(fā)現(xiàn)，五防主機(jī)不僅會與不相關(guān)測控裝置產(chǎn)生TCP連接，而且還會與遠(yuǎn)動運維后臺主機(jī)產(chǎn)生TCP連接，其兩者之間無任何業(yè)務(wù)聯(lián)系，不應(yīng)建立TCP連接，經(jīng)進(jìn)一步檢查，發(fā)現(xiàn)五防系統(tǒng)后臺主機(jī)以廣播報文詢問方式，主動問詢NCS系統(tǒng)網(wǎng)絡(luò)內(nèi)所有裝置并建立了非法通信，數(shù)據(jù)傳輸流量大且持續(xù)時間長。

4 原因分析

4.1 客觀原因

五防系統(tǒng)后臺主機(jī)行為異常，非法與NCS監(jiān)控系統(tǒng)測控裝置及遠(yuǎn)動運維后臺等設(shè)備建立TCP連接，且產(chǎn)生了大量的異常報文（包括ARP報文、NBNS協(xié)議報文，異常的TCP連接報文、360軟件運行異常報文），造成NCS監(jiān)控系統(tǒng)突增了大量不必要的網(wǎng)絡(luò)開銷，測控裝置傳輸數(shù)據(jù)流量異常變化，直接導(dǎo)致測控裝置重啟且AGC負(fù)荷目標(biāo)指令歸零，機(jī)組AGC功能自動退出并閉鎖AGC自動調(diào)節(jié)。

4.2 根本原因

五防系統(tǒng)后臺主機(jī)確定為中毒，因五防后臺主機(jī)禁止連接互聯(lián)網(wǎng)，導(dǎo)致所安裝360殺毒軟件的病毒庫也無法及時更新，病毒庫版本過于老舊，早已失去了殺毒及防范攻擊的功能。

5 處理方法及防范措施

一是重裝五防系統(tǒng)后臺主機(jī)的操作系統(tǒng)后再進(jìn)行數(shù)據(jù)流量監(jiān)測，發(fā)現(xiàn)異常的網(wǎng)絡(luò)報文及非法連接情況基本消失，大大減輕了機(jī)組測控裝置的負(fù)擔(dān)。后續(xù)觀察測控裝置及NCS系統(tǒng)的運行情況，已將五防系統(tǒng)后臺主機(jī)現(xiàn)使用的Windows XP系統(tǒng)升級為銀河麒麟kylin4.0.2國產(chǎn)操作系統(tǒng)以提高系統(tǒng)運行的安全性能。

二是啟用NCS監(jiān)控系統(tǒng)scada服務(wù)器arp定期數(shù)據(jù)綁定功能，縮減不必要的網(wǎng)絡(luò)開銷，測控裝置重啟現(xiàn)象明顯減少，并已編制相應(yīng)的定期NCS系統(tǒng)作業(yè)表單定期對scada服務(wù)器的arp數(shù)據(jù)綁定功能進(jìn)行檢查。

三是落實五防后臺主機(jī)防病毒措施的后續(xù)完成情況，安裝殺毒軟件，及時更新病毒庫（手動更新）、打補(bǔ)丁并定期開展查殺，確保病毒查殺徹底。按網(wǎng)絡(luò)安全要求在日常的維護(hù)工作中配備殺毒U盤、專用殺毒電腦、專用調(diào)試電腦等專用維護(hù)設(shè)備。

四是對五防系統(tǒng)后臺主機(jī)及NCS系統(tǒng)scada服務(wù)器主機(jī)均進(jìn)行了主機(jī)安全加固。已集中排查各類系統(tǒng)是否存在缺省用戶、多余賬戶、弱口令、權(quán)限設(shè)置不合理等情況，并已關(guān)閉生產(chǎn)控制大區(qū)禁用的通用網(wǎng)絡(luò)服務(wù)和主機(jī)不必要的服務(wù)、關(guān)閉已通報的高危端口、安裝高中危漏洞安全補(bǔ)丁、封閉各類電力監(jiān)控系統(tǒng)USB等接口以及多余網(wǎng)口和調(diào)試口。按規(guī)定嚴(yán)格實施移動介質(zhì)、終端接入作業(yè)管控。

五是現(xiàn)場NCS系統(tǒng)測控裝置運行年限久，一般來說測控裝置運行超過10年（規(guī)程規(guī)定運行不宜超過12年），硬件趨于老化，數(shù)據(jù)處理及抵抗大量網(wǎng)絡(luò)報文沖擊的能力均有所降低，后續(xù)可結(jié)合實際情況對測控裝置進(jìn)行升級改造。

六是將NCS服務(wù)器、五防系統(tǒng)后臺等電力監(jiān)控系統(tǒng)設(shè)備接入態(tài)勢感知裝置進(jìn)行統(tǒng)一的數(shù)據(jù)流量監(jiān)測，確保在第一時間發(fā)現(xiàn)各設(shè)備及系統(tǒng)內(nèi)數(shù)據(jù)流量異常并及時進(jìn)行處理，最終達(dá)到網(wǎng)絡(luò)安全風(fēng)險可發(fā)現(xiàn)、可控制、可溯源的目標(biāo)。

隨著電網(wǎng)規(guī)模的日益擴(kuò)大，電力系統(tǒng)的經(jīng)濟(jì)運行顯得尤為突出和重要，合理安排火電機(jī)組出力，能夠在一定程度上提高火電機(jī)組的經(jīng)濟(jì)運行指標(biāo)。AGC功能作為目前調(diào)度機(jī)構(gòu)對電廠機(jī)組有功負(fù)荷的最主要調(diào)節(jié)手段，其重要性不言而喻。且NCS系統(tǒng)作為AGC調(diào)節(jié)功能中最主要調(diào)節(jié)環(huán)節(jié)，其正常運行與否對直接影響了機(jī)組有功負(fù)荷的調(diào)節(jié)質(zhì)量。此異常事件中，NCS監(jiān)控系統(tǒng)內(nèi)產(chǎn)生的大量異常報文，增加了大量不必要的網(wǎng)絡(luò)開銷，導(dǎo)致測控裝置數(shù)據(jù)異常，進(jìn)而造成測控裝置重啟AGC負(fù)荷目標(biāo)指令歸零。故需利用合理的技術(shù)手段抑制數(shù)據(jù)流量突增，同時做好各系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控，加強(qiáng)各系統(tǒng)主機(jī)、服務(wù)器病毒防護(hù)工作，堅決杜絕非法互聯(lián)、社工等違規(guī)現(xiàn)象，皆為現(xiàn)階段發(fā)電廠各自動控制系統(tǒng)正常運行的先決條件，逐步加強(qiáng)涉網(wǎng)自動化設(shè)備管控，進(jìn)而保障發(fā)電廠的安全、可靠、經(jīng)濟(jì)運行。